もっと身近にセキュリティ

「システムの管理」ちゃんとできてますか?

さくらインターネット社が呼びかけた「ユーザへのお願い」が少し話題になったので、内容を紹介しながら考えてみたいと思います。

これは11月9日に行われた「JPAAWG 1st General Meeting」のセッションの中でさくらインターネット社から語られたもので、具体的には

1)パスワードはすべて適切な強度を満たすように設定する
2)なるべく自動アップデートを利用する
3)ファイアウォールを設定すること、
ウェブアプリケーションファイアーウォール(WAF)を活用する
4)持続的な運用または終了方法を考える

という対策を実施して欲しいというものです。

 

背景として、適切に管理されていないサーバが多数存在しているという状況があります。
古くからあるタイプのレンタルサーバサービスではOSやミドルウェアの管理をサービスプロバイダ側が行うことになるため(もちろんユーザ影響を考慮しながらではありますが)、それなりに管理され適切なタイミングでのアップデートが行われています。
しかし昨今では、VPSやクラウドサービスが主流となり、脆弱性対応も含めてOSやミドルウェアの管理がユーザ側に委ねられるサービスが多くなっています。
これらが人気な理由はその自由度柔軟性があるからに他なりませんが、脆弱性の対応もユーザ側が行わなければならず、サービスプロバイダ側としても強権を発動しづらいという事情があります。

記事の中でも触れられていますが、様々な事情から管理者が不在になったり、サービス利用の敷居が低くなったおかげで「手習い」として構築してみたものがそのまま放置されるという状況はよくある話だろうなとは思いつつも、そもそも「インターネット上に公開されているサーバは適切に管理されていないと他所様に迷惑をかけることがある」という当たり前の事実があまり認識されていないのだなと思うと、悲しみさえ覚えます。
利用料の請求などもされているはずなのに注意喚起が届かないというのはどういうことなのか、やや理解できない部分もあります。

一方で、きちんと管理者がいて適切な管理を行っているつもりでも、それが本当に適切で十分なのかという視点も意識したいところです。
システムの管理を行っている人がセキュリティに対する知見を持っているとは限らず、むしろクラウドサービス利用の敷居が下がったこともあり、本職ではない人がシステム管理全般を担っていることも少なくはありません。
とはいえ「セキュリティエンジニア」という職種が存在するようになり、「脆弱性管理」の必要性が叫ばれる中で固有・独特の難しさがあるというのも事実です。
そう言っている間にも日々新たな脆弱性や攻撃が明らかになっており、「脆弱性といかに付き合っていくか」は非常に重要な課題です。

必要な第一歩は、システムに関わる全ての人がセキュリティに対する意識を継続的に持つことではありますが、どうしてなかなかそれが難しいものでもあります。
脆弱性やセキュリティリスクとどう向き合っていくのかは、人間に例えれば健康や病気との付き合い方に似ていて、日常的・継続的・反復的な取り組みだということがもう少し知らしめられてもいいのにと思わずにはいられません。