現在地 HOME > 掲示板 > IT4 > 437.html ★阿修羅♪ |
|
2003-12-08 10:11:03
初級システム管理者のためのセキュリティ入門 第1回【物語風で面白く読めます。】
http://www.atmarkit.co.jp/fsecurity/rensai/beginner01/beginner01.html
第1回 それはある日突然に……
根津 研介
園田 道夫
宮本 久仁男
2003/12/6
※ご注意
本記事はフィク ションであり、実在の人物・組織などとは一切関係ありません。
本連載では、初級システム管理者が行うべきセキュリティ対策とはどんなことがあるかということを示し、管理者が行わなければならない対策やそのための情報収集の方法などについて解説します。企業の大切な情報資産を守るため、また被害を最小限に食い止めるべく、その対策方法を登場人物と共に学んでいただければ幸いです。(編集部)
それはある日突然に……(情報システム部への配置転換)
中村君は23歳。今年の春、H大学を卒業して、何とか就職を果たした。その会社は従業員150人ほどと中規模ではあったが、年商も着実に伸びている。立体駐車場の施工・保守・運用を主な商売としているが、土地の余裕がない都市部での商売は好調で、特にここ10年ほどで急速に業務が拡大し、それに合わせて社員数も倍々に増えてきたそうだ。
ある日のこと、中村君は部長に呼ばれた。
部長 「中村君、君はパソコンに強いかね? ちょっと私のパソコンがうまく動かないんで見てもらいたいのだが……」
中村君 「はい、分かりました。ちょっと、見てみます」(ごそごそごそ)
中村君 「部長、これでどうでしょうか?」
部長 「おお、ありがとう。君はパソコンに強いんだね」
中村君 「いえ、それほどではないのですが、以前、自宅のパソコンで同じような症状に出くわしたことがありましたので……」
部長 「いやいや、ありがとう。非常に助かったよ」
中村君は23歳、新米管理者の奮闘ストーリーである。
この一件以来、何かパソコンで問題が起きると必ず中村君は部長に呼ばれるようになってしまった。時には中村君の手に負えないようなこともあったが、何とかインターネットで調べたりすることで問題は解決できていた。
そのうちに中村君はあることに気付いた。この会社には、コンピュータに詳しい人がほとんどいないのだ。いろいろな情報を総合すると、どうやらIT化を積極的に推進しているのが社長で、この社長の鶴の一声で1997年ごろから全社的なIT化が強力に推進されてきたらしいのだ。また、情報システム部というのが会社の組織図にはあったが、これが実は総務部長が兼務している部長以外の部員は、社内で「コンピュータに一番詳しい」と評判の小野さん1人のみという部隊だった。わざわざ情報システム部という組織にしたのは、「当社には専門の情報システム部があり、全社的にIT化を推進している」ことを対外的にアピールしたいという社長の希望があったらしい。
そんな事情も見えてきたころ、中村君は部長から辞令を受けた。情報システム部への配置転換だ。
部長 「中村君なら詳しいから大丈夫だよ。私も自信をもって推薦しておいた」
中村君 (糸引いたのはこの人か……)「部長、確か情報システム部には小野さんがいらっしゃったと思いますが……」
部長 「小野さんは先週、病院で検査を受けたら、しばらく治療に専念することが必要ということで、急きょ、先週末で休職された」
翌日、情報システム部へ引っ越しをした中村君は、とんでもないことに気付いた。社内のイントラネットのネットワーク構成図がないし、インターネットとの接続ポイントがどこなのかも分からない。サーバマシンが何台あって、どこに置かれているのかも分からない。つまり、何も引き継ぎのドキュメントがなかったのだ。中村君は慌てて入院中の小野さんを訪問し、かろうじていくつかの実態を聞き出した(表1)。
●3台のサーバがイントラネットにあり、Windows NTでドメイン構成になっていること
●2台がWindowsNT Serverで、1台がLinuxであること
●メールとインターネットが1台のWindows NT Serverで運用されていること
●3台のサーバはそれぞれ「鍵のかかる部屋」ということで、情報システム部の部屋と副社長室に分散して置かれていること
●インターネットとの接続は、情報システム部のところにあるモデム経由で、128Kデジタル専用線でつながっていること
表1 小野氏から聞き出した社内ネットワーク構成などの実態
肝心のネットワーク構成図はないらしい。何でも、いまでは自社ビルのようになっているが、当初は1フロアだけの入居だったそうで、業務拡大のたびに社員を増やし、フロアを追加借りしてきたので、そのたびにネットワークも増えていて、つぎはぎの構成になっているようなのだ。ただ、基本的な方針として、フロア内配線は電話配線用の床下配管を利用し、階渡し配線も電話線の通っているところに必要になるたびにドリルで穴を開けて行っていたらしい。また、最初のころはよく「シェアードハブ(リピータ・ハブ )」の制限に引っかかってネットワークを追加できなかったりしたらしいが、ここ数年は安価な「スイッチングハブ」があったので、そういう問題は起こっていなかったという。中村君は何のことか分からなかったがメモしておき、横に「後で調べること!」と書いておいた。最後に、小野さんの主治医から、あまり無理をさせないよう、釘(くぎ)をさされてしまった。
もう、だれも助けてくれないのだ。中村君は頭を抱え込んだ。
現状を整理してみた……
中村君は、まず、現状で思いつく、しなければならないことを整理することにした。
イントラネットのネットワーク構成図がない。これは、何とかネットワーク機器や線の接続を追いかけて作らなければならないだろう。
イントラネットのパソコンの総台数やOSの種類、コンピュータ名も調べなければならないだろう。
サーバの役割や動いている機能と、実際に使われているのがどんな機能なのかも調べておかなければならないだろう。
“シェアードハブ”と“スイッチングハブ”の違いを調べておくこと。
そして、一気にやろうとしても難しいので、順番にやっていくことにした。まずは、1.については、フロア内の配線をたどるのは大変なので、機器構成を把握することから始めることにした。ところが、この作業をしている最中に、急に社長から呼び出された。
社長 「新聞で“マイクロソフトOSにセキュリティ上重大な問題があることが明らかに。緊急に対策用プログラムを当てることを推奨”といわれているが、当社ではどうなっているのか? 」
中村君 「まだ、前任者からの引き継ぎがきちんとできておりませんので、引き継ぎの作業をしておりました」
社長 「君は、新聞は読んでいないのかね? 小野君は、こういうときにはすでに情報を入手していて、状況判断と適用すべきかどうかを教えてくれたがね……。至急、調査して必要な対処を行うように。それから、セキュリティは最重要事項なので、いつでも最新情報を把握しておくように」
「セキュリティ」と聞いて中村君は動揺した。実態も満足に把握できていないのに、さらに「セキュリティを何とかしろ」といわれても……。セキュリティについて、世間ではいろいろいわれていることは見聞きしていたが、正直中村君はセキュリティについてはほとんど何も分からなかった。
パソコンに詳しいといっても、いくつかトラブル対策のノウハウを持っているだけで、OSについての体系的な知識があるわけでもないし、管理手法を理解しているわけでもない。だから全然自信がなかった。しかし、社長から厳にいわれたことを新入社員の立場で無視する勇気はない。中村君は以下の項目を“しなければならないこと”に付け加えざるを得なかった。
Windowsのセキュリティ情報を素早く入手する方法を調査する。
新聞で話題になったという情報を入手して必要な対処を行う。
中村君、初めてのセキュリティ対策を行う
早速、中村君はセキュリティ対策に取り掛かった。といっても、何をしたらいいのか分からないので、まずは情報を集めることからだ。問題の新聞を見たが、「Windows Updateをしましょう」としか書かれていない。試しに、社内にある手近なWindowsコンピュータでWindows Updateを行おうとすると、たくさんの修正プログラムが一覧で出てきてしまう。中村君は「詳細情報」からマイクロソフトのサイトに「セキュリティ問題一覧」が掲載されているページ「絵で見るセキュリティ情報」にたどり着いた。取りあえずこのページをWebブライザの「お気に入り」に登録しておく。
【参考】マイクロソフトのサイト「Security&Privacy」
さて、「重要な更新情報一覧」を見ると、つい最近登録されたもので「緊急」になっているものがいくつかあった。症状と影響、予測される攻撃などを見て、新聞報道に似たものがあったことを思い出した。対象となるWindowsのバージョンはWindows 98、Windows Me、Windows NT、Windows 2000、Windows XP、つまりほとんどすべてのWindowsにパッチを当てなければならないようだ。しかも、さらにインターネットで調べているうちに行き当たったのが、ワーム(自動的に自己複製して拡散してしまうウイルス)の存在である。話には聞いていたが、中村君は幸いにもいままでワームに遭遇したことがなかった。だが、公開されている記事などを読めば読むほど、一刻も早く「緊急」となっているものだけは社内に行き渡らせなければならないらしい。
中村君はちょっと気が遠くなった。というのも社内にあるパソコンは社員数と同数の150台以上存在し、小野さんから聞いた話ではほとんどがWindowsらしいのだ。そのパソコンすべてでWindowsUpdateをやらなければならないのだ。一体どのくらい時間がかかるのか……。
しかし、いずれにしても2.のリスト作りもやらなければならない。中村君は腹を決めてコンピュータ1台1台のOS種別やコンピュータ名、設置場所を記録しながら、1人でパッチを当てて回ることにした。最初はパソコンをちょっとは使いこなせそうな社員を捕まえてお願いしてみたが、実際にやってもらうとちゃんとすべての修正プログラムが導入されていなかったり、抜けやミスが多いので1人でやることに決めたのだ。
導入する修正プログラムは「緊急」のものだけにした。でなければ何日かかるか分からないからだ。1台に30分かかるとして、まともに1台ずつやっていたら30分×150台=4500分=75時間もかかってしまうわけだ。しかもそれを、持ち主が仕事をしていない時間などを見計らってやらなければならない。
中村君はとにかく空いているパソコンを見つけると片っ端からWindowsUpdateをやり始めた。
【参考記事】 修正プログラムに関する情報収集のポイント(@IT Windows Server Insiderフォーラム)
緊急事態! ワーム発生
しかし、間に合わなかった。ワームが発生してしまったのだ。ある週明けの月曜日、中村君は朝からWindowsUpdate実施作業に追われていた。人事部のパソコンを2〜3台やり終えたとき、技術部の稲本主任から呼び出しが掛かった。
稲本主任 「わたしのパソコンがどうも調子が悪くて使えないんが、何とかしてくれないか?」
中村君が稲本主任のところへ行くと、主任はほとほと困り果てた様子だった。
稲本主任 「何だか分からないが突然再起動したり、もうどうしようもないんだよ」
と、中村君が見ている間に、またしても再起動してしまう。これは本当に調子が悪そうだ。
取りあえず起動してくるのを待ってログインしてみると、何だかやたらと時間がかかる。ハードディスクに頻繁にアクセスする音がして、なかなか使える状態にならないのだ。もしかして……と中村君が思い始めたとき、稲本主任の周りの社員たちも「あ、わたしのもおかしくなった」などと騒ぎ始めた……。
いうまでもなくそれはワームだった。極めて間が悪いことに人事部が終わったらまさにこの技術部のWindowsUpdateに取り掛かる予定だったのだ。後になっていろいろ調べると、WindowsOSの「緊急」ランクの修正プログラムを導入していれば防げたのだ。しかしタッチの差とはいえ、発生してしまったからには何とかしなければならない。中村君はとにかく技術部のそのシマ(あるネットワークにつながっているグループのこと)のパソコンをすべてネットワークから物理的に引っこ抜いた。でなければワームはものすごい勢いで拡散して、会社全体をまひさせてしまう恐れもあるからだ。
中村君と会社にとって幸いだったのは、連絡してきた稲本主任が感染源だったことだ。どうやら稲本主任は、週末に自宅でインターネットに接続しながら仕事をして、そのときに感染し、月曜朝の会議が終わった後にイントラネットに接続してばらまきかけたらしかった。人事部と技術部は同じ階にあってすぐ駆けつけられたこともあって、感染は3台にとどまった。
中村君はウイルス対策ソフトウェアベンダのWebページや、マイクロソフト自身が公開しているWebページなどの情報を確認し、そこに掲載されていた情報に基づいて感染した3台からワームを除去した。手順は簡単だったが、後でよく調べるとワーム除去ツールなども公開されていたようだ。
しかし、本当に大変だったのはその後だった。今回稲本主任がばらまきかけたワームがまだ世間では大流行しているものだったので、現実的な被害を目の当たりにしてしまった中村君は、まだ50台以上残っていたWindowsUpdateを行っていないパソコンに、その日のうちにパッチを導入し終えたのだ。文字どおり目を血走らせて徹夜で作業を終えた中村君だったが、マイクロソフトから無償で提供されているSoftware Update Services(SUS)という便利な仕組みがあることを知ったのは、すべての作業を終えた後だった。
【参考記事】 Microsoft Software Update Servicesの実力を探る(@IT Windows Server Insiderフォーラム)
【今回の教訓】
1. まず現状を把握しよう
中村君が実施したのは、まず自分の管理対象がどのような状態になっているか? という点の把握である。まず、自分が管理しなければならないものとその規模、そして状態が把握できないと、具体的な管理計画を立てようとしても困難を極める。
2. 何らかのセキュリティインシデントが発生してしまった際の対処を明確に
今回中村君は、ワーム発生に伴い、ネットワークの切断を実施した。このアクションは、セキュリティの観点から見ると正しいものだが、別の部署で同じことをやろうものならば「業務が止まった」などというクレームがつかないとも限らない。このようなことを未然に防ぐためにも、何が起こったらどうする、という対処手順と命令系統を明確にしておこう。
3. 未然に防ぐための対策を考えよう。
今回は残念ながら間に合わなかったが、例えばマイクロソフトから無償で提供されているSoftware Update Serviceという仕組みを使うことで、ある程度の(メンテナンスの)手間の軽減ができたであろうことは想像に難くない。
(1)システム全体の管理
(2)個別端末の管理
(3)上記管理の明文化
というのを念頭に、少しでもいまある以上に(環境を)よくしていくことを考え、1つ1つ明確にしていこう。
◇
次回予告:今回のことで懲りた中村君は、もっとシステマチックにセキュリティ上の事件に対処する仕組みを導入しようとする。そこで、中途半端なままで放り出してあった調査を再開したら、とんでもないことが分かったのであった……。
次回は1月掲載予定です
index
第1回 それはある日突然に……
それはある日突然に……(情報システム部への配置転換)
現状を整理してみた……
中村君、初めてのセキュリティ対策を行う
緊急事態! ワーム発生