1998年11月04日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1内側からのセキュリティ危機次の記事 >> このエントリーをはてなブックマークに追加

最近は一段落していてあんまりネタがありません。と、いうことでいつか書こうと思っていた「内側からのセキュリティ危機」についてお話しようと思います。
最近「セキュリティを確保したい」といえば、「ファイヤウォールを導入する」というのが一般的になっているのですが、内部でのユーザー教育が悪いと何もかも崩壊するというお話です。
ファイヤウォールは防火壁ですが魔法の壁ではありません。 設定されたルールに従って判断するだけで、善悪に基づいて判断しているのではないのです。 内部に協力者がいればトンネルを作ることができます。
まったく悪意はなくとも、協力者になってしまうユーザーもいます。というより、産業スパイのような特殊なケースを別にすれば 「悪意のないユーザーをだまして」協力者にさせる ケースの方が多いものと考えられます。
ある日、あなたはWebの検索ページで(仕事の資料|Hな写真)が載っているページを見つけます。そのページに行ってみると確かに魅力的なデータがあるのですが、それを見るためには別にプラグインを入手する必要があります。
さっそく、そのプラグインのバナーをクリックして、必要事項に記入してプラグインをダウンロード。実行したら無事インストールされ、件のデータを入手することができました。
というようなことを行うと 大変なこと になる可能性があります。
実はこの魅力的なデータがあるページは、侵入者が用意したページなのです。もちろんプラグインにも侵入者が細工をしており、ある種のウイルスが仕込んであります。
このウイルスは、侵入者の秘密のページで侵入者の指示を受け、ファイヤウォールの内側で入手した情報やファイルをこっそり侵入者に伝えたり、書き換えたりするのです。データの受け渡しはWebページの閲覧と同様のやり取りで行いますから、 これを阻止することはほとんどのファイヤウォールで不可能です。
こうして、知らない間の内部からの手引きによって「内側からのセキュリティ危機」は発生します。
何百万かするファイヤウォールを導入したけれど、セキュリティ体制が全然だめだということが一目で分かる組織もたくさんあります。こういう組織ではファイヤウォール導入で安心したために、かえってモラルが低下していたりしてある程度以上の知識のある侵入者にはかえって無防備だったりします。
ファイヤウォール導入はセキュリティ問題の絶対的な答えではありませんし、選択肢の内の一つでさえありません。 セキュリティを向上させるための様々な対策のうちの一つであることを忘れてはいけません。

■ 関連記事

■2セキュリティチェックリスト<< 前の記事 このエントリーをはてなブックマークに追加

  • サーバのNTでWebページを見たりしている
  • NTはみんなadminで使っている
  • パスワードとユーザー名はみんな共通
  • ブラウザのプラグインは抵抗なく入れる
  • パスワードとユーザー名が同じだ
  • パスワードは会社名・部署名の略称だ
  • サーバのログをチェックしたことがない

一つでも当てはまったら、あなたの組織では「極めて危険」な運用をしています。
ここで言う「極めて危険」というのは、侵入者がやってきて、サーバのデータを根こそぎ持っていった挙げ句に適当に書き換えられていても「誰もまったく気づかない」可能性があるということです。
ひょっとすると、既に侵入されていてたまたま侵入者がおとなしくしているだけかも知れませんが・・・
付記:「プラグインに化けて侵入」内側から蝕むウイルスですが、絵空事ではありません。作るのに技術的困難はありませんし、ここで名前を挙げるのは控えますがそのようなものはすでに流通しています。

■ 関連記事

詳細はこの日の詳細から

1998年11月05日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1セキュリティに敏感な組織ほど・・・ このエントリーをはてなブックマークに追加

ベンチャー企業のビジネスプランの作成についてセミナーを受けてきました。実はウチの会社は、ベンチャー企業の公募事業(長崎県新企業創出事業)の支援で立ち上がったので、ベンチャーの動向にも興味はあります。
最近は希に見る不景気時代なので、金利も低く、人も確保しやすく、大企業が後始末に追われた状況で動きにくく、創業には良い時期なのかも知れません。特にインターネット業界の裾野には、まだまだ面白いビジネスチャンスがあると信じているのですがいかがでしょうか。
ウチの会社では、「インターネットの技術的な知識はないけれども、インターネットを商用で利用してビジネスを立ち上げたい」という方へ「技術的な問題はすべてお任せ下さい」というお世話をしたいと思っています。
さて話題はコロッと変わるのですが、「セキュリティに関して脅しすぎ」という批判をいただきました。確かに「脅し」ているような部分は否定できません。
しかしながら、セキュリティあるいはコンピューター上の問題には、「起こる可能性のあることは必ず起きる」という黄金律があります。それならば、穴を空けたままで侵入を受けてから慌てて対策をするよりも、見えている穴を塞いだ方が合理的です。
先日発表されたセキュリティ問題に関するアンケートでは、セキュリティ問題に敏感な組織ほど多くのアタックを報告しています。つまり、敏感でない組織の多くはアタックを受けながら気づいてもいないと思われます。
もしあなたの組織が、この数ヶ月1度のアタックも検出していなかったら、アタックの検出に問題があるのではないでしょうか。

■ 関連記事

詳細はこの日の詳細から

1998年11月09日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1UPSとATXケース次の記事 >> このエントリーをはてなブックマークに追加

派手にサボりました。といいますか、他の仕事が忙しくて手が回らなかったのです。楽しみにされていた方(いるか知らん?)ごめんなさい。
昨日は博多までお買い物に行ってきて、サーバを2台ほど購入しました。コンピュータの世界、半年もするとすっかり浦島状態で、Slot1のCPUが普通になってしまっていて困りました。
実は、サーバにはずっとATケースを使ってきたのですが、そろそろATXに移行せざるを得ないかなぁという気がしています。なぜATケースにこだわるかというと、横幅とUPSからの復帰の問題なのです。ATXだと電源断した後にコンセント繋いでも、立ち上がってくれないんですよねぇ。Powerスイッチを細工して押しっぱなしにしても、できたりできなかったりします。
ただ最近の市場動向を見ていると、ATの新製品は少ない様で、供給を考えるとATXに移行しないといけないと感じます。
仕方がないので、パーツを集めてきてUPSとATXの電源を操作するハードを試作中。複数台のサーバをUPSにつないでも、シャットダウン終了後にUPSを自動停止して、さらに電源復帰時にはATXマシンをWakeupするハードが出来上がる予定。
ところで、UPSを導入していても 自動シャットダウンしない サーバって結構ありますね。クライアントだったらまだしも(使用者が自分の判断でシャットダウンした方がお得な状況もまれに有りうる)、サーバがオートシャットダウンしなきゃUPSの価値は半分以下です。設定しているつもりで、いざ停電の時には動作しなかったっていうパターンもあるので注意。定期的にチェックすることをお勧めします。

■ 関連記事

■2今日のお客さん<< 前の記事 このエントリーをはてなブックマークに追加

  • DNSのゾーン転送要求×2
  • pop3ポートスキャン×1
  • プロクシー系ポートスキャン×1

いずれも海外から。最近ステルススキャンも増えてきて対応が大変です。

■ 関連記事

詳細はこの日の詳細から

1998年11月10日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1ハロウィン文書 このエントリーをはてなブックマークに追加

毎週楽しみにしている 「がんばれ!!ゲイツ君」[http://www.asahi-net.or.jp/~FV6N-TNSK/gates/] のページで、 ハロウィン文書が日本語で読めるページ[http://www.post1.com/home/hiyori13/freeware/halloween.html] があるのを知りました。
ハロウィン文書については、 解説:Linuxの優位性を指摘するマイクロソフト社内メモ[http://cnet.sphere.ne.jp/News/1998/Item/981105-3.html] という記事があるのでこちらを読んで頂くのが良いかと思います。
どうしてLinuxに関しての議論がマイクロソフトで交わされたかといえば以下の様な事情でしょう。例えば、私がデスクトップで使っているOSはWindowsです。どうしてかと言えば、アプリケーションの数が多いからという理由で、それ以上の理由はありません。ですが、サーバにNTを使おうという気にはなりません。理由はこの後で述べていきます。
ところがマイクロソフトとしては、高収益を上げるサーバーOS市場で苦戦する訳にはいきません。そこで強力なライバルであるLinuxに代表されるオープンソースの流れを分析している訳です。
で、この文書なのですが、なかなか勉強しているところもあります。オープンソース勢力に勝つための戦略も鋭いです 「プロトコルやアプリケーションの脱共有化」
確かにこれこそがマイクロソフトがインターネットに対して取ってきた戦略です。多くのマイクロソフト製品がインターネット上の情報交換規則に違反するのは、そういう事情だった様です。考えてみれば、メールソフトのバグ等もユーザーサイドでのパッチで対処できる程度の物を放置しているところなど、「バグではなく仕様」なのかも知れません。
こうやって、MS製品どうしでしか通用しない規則を作り上げていくことによってインターネットを分断させ、クライアントOSとしてのWindowsの優勢を利用して、サーバ市場でも覇者になろうというのが、長期的な戦略なのかも知れません。
ところで、先ほど述べた「サーバにNTを使わない理由」ですが、現段階のNTの信頼性はともかくとしても「独自規格」が多すぎるところが将来的に不安だからです。
「独自規格」は闇の中にあって、その規格すらオープンにされない場合があります。サーバを構成する部分の一部に致命的な問題を発生したら、もう対処の方法がない訳です。
例えば、ファイルシステムが公開されていないデータベースソフトの保守を考えてみて下さい。何か問題が発生しても、そのソフトの中でしか問題を解決する方法は用意されていません。ソフトの開発元がそのシステムの生殺与奪を支配することになります。開発元がサポートを打ち切れば、そのシステムは朽ち滅びていく運命にあります。
オープンソース文化のOSであれば、ファイルフォーマットが公開されないということはありません。何しろソースが公開されている訳ですから。例えそのソフトを使うのが自社だけになったとしても、開発者さえ連れてくればいつまででもメンテナンスしつづけることができます。
弊社の様なプロバイダではインターネットインフラは会社の生命線です。会社の生殺与奪の権限をマイクロソフト一社に委ねたくはないのです。これが、サーバにNTを導入しない根本的な理由です。

■ 関連記事

詳細はこの日の詳細から

1998年11月11日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1ポートスキャン次の記事 >> このエントリーをはてなブックマークに追加

セキュリティメモ[http://www.nanet.co.jp/~kei/security/index.html"] に、 ポートスキャン[http://www.nanet.co.jp/~kei/security/portscan.html] の記事を追加しました。最近、本当に多いです。
昨日はあたり日だったらしく、海外からポートスキャンが2件、Webの/phfあたりのスキャンが2件。それから国内からも1件やってきました。
これだけポートスキャンが行われているということは、 「セキュリティホールを抱えて公開しているマシンは必ず攻撃される」 ということです。「無知によるセキュリティ」(有名でないから攻撃対象にならないだろう)は通用しない様です。

■ 関連記事

■2昨日のおつまみ<< 前の記事 このエントリーをはてなブックマークに追加

市場に出掛けてお肉屋さんに寄ったら、牛タンの固まりがあったので買ってくる。1本丸ごとで約3,000円。1Kg強あって新鮮だったのでまぁお買い得。
タンテキにして食べて、残りを塩漬けしておいた。白ワインで洗って、塩こしょうをしっかり(表面一面に)振って、粒コショウと食塩を混ぜたものでくるんで冷蔵庫で1日程放置しておくと水分が抜けてくる。
表面に残っている塩と共にお湯に入れ、1時間ほど弱火で煮ると、自家製コーンタンもどきの出来上がり。本当は2週間くらい掛けて皮付きのまま調味液に漬け込むのだけど、これはこれでお手軽さが良い。少々やせるのが難点だけど。
お酒はバーボンが良く合います。牛モモ固まりの安いのを買ってきて同じように作ってもそれなりのものができます。

■ 関連記事

詳細はこの日の詳細から

1998年11月14日()<< 前の日記 | 次の日記 >>
この日の詳細

■1アドレス空間総当たり このエントリーをはてなブックマークに追加

昨日はかなり派手なスキャンを受けました。アドレス空間総当たりだった様です。
普通はスキャンをやる時は目立たない様に色々と注意を払います。発覚して管理者に連絡されたりすると、例え踏み台を使って攻撃していても、貴重な踏み台を失うからです。
ゾーン転送を使っての探索にしてもアドレス総当たり探索にしても、順序通りにはやらずに広大な空間を離散的に探索する等の方法を使って、ログをチェックした時になるべく不審に思われない様に細工したりします。例えば、192.168.0.1, 192.168.2.2, 192.168.2.3 という順序でログに記載されていれば、これは当然スキャンを疑うわけですが、間に時間が空いていれば気づかないで見逃す確率は大きくなります。この間は全く違うアドレス空間をスキャンしている訳です。
これに対応するためには、ログは少なくとも2週間程度保存したいところです。Webサーバのログは1日でも相当の量になりますから、不審なアクセスのみ(phfのスキャン等)を切り出すスクリプトを用意して蓄積しておくと良いでしょう。
ところが、最近は踏み台になるようなホストがごろごろ転がっているのかあるいはスキャンに気づいても連絡しない人が多いのか、非常にアグレッシブなスキャンを掛けてくることが多くなった気がします。まさに絨毯爆撃といった感じです。
ウチの上流プロバイダはOCNなのですが、OCNのアドレス空間は、
  • ある程度固まっている
  • ネームサーバやルータのアドレスが分かりやすい
  • 管理者の経験が浅いところが多い
といったところから、非常に狙われやすいと言う話もあります。そういった事情で、非常に多くスキャンを受けているのかも知れません。

■ 関連記事

詳細はこの日の詳細から

1998年11月25日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1内部向けサーバのリプレース このエントリーをはてなブックマークに追加

月末で超多忙モードです。
ただでさえ納期と決算で忙しいところに、ついつい、「内部向けサーバも遅くなってきたなぁ。」という悪魔の囁きに負けて、入れ替えを持ってきたもんだから大変。
と言うわけで公開用の日誌はお休みでした。作業日誌が多くなる時ほど、公開日誌が少なくなると言うのは一つの矛盾です。
現在の内部サーバのスペックは、Pentium166,64MB,SCSI 4G×2という構成でして、ファイルサーバを主にこなしています。
ファイルサーバにだけ使うんだったら十分なスペックなんですけど、他のマシン用のバイナリやカーネルをこいつでビルトすることが多いので、そろそろパワーアップを図ろうという計画なのです。
値ごろ感から、CPUはCeleron333と決定。Slot1となると、ATのマザーは極端に選択肢が狭くなります。どうせもう一台組み上げるのでケースを購入するのは構わないのですが、ATXマザーだと停電時の自動復帰ができない場合があって困っていました。
ところが、ASUSのP2Bには「AC PWR Loss Restart」という便利な設定がありました。ACラインが接続されたら、パワーオンの状態から立ち上がってくれると言う便利な機能です。
これで今までの問題が解決されて、安心してATXマザーを使うことができます。
パーツを揃えて組み立てに入ったのですが、ATXマザーを使ったのは初めてで、少々悪戦苦闘しまして、約1時間半掛かりました。
ディスク類はすべて外付けで組んであるので、繋ぎかえるだけで入れ替え完了になりますが、万全を期すためにバックアップを取ってから、入れ替え作業を行う予定です。
ファイルサーバはマシン本体をアップグレードしながら長年にわたって稼動させることが多いので、ディスクは全部外付けSCSIにしておくのがお勧めです。

■ 関連記事

詳細はこの日の詳細から

1998年11月29日()<< 前の日記 | 次の日記 >>
この日の詳細

■1ファイヤウォール このエントリーをはてなブックマークに追加

早いもので11月もあと1日を残すのみとなりました。やっと確定申告も終わって、やっと一息ついたところですが、すでに次の仕事が待ち受けています。近所に住んでてネットワークやプログラミングに興味ある学生さん大歓迎です。色々お仕事あります。
さて、 前回の日誌[http://www.nanet.co.jp/~kei/diary/199811.html#19981125] で「ATXマザーだと停電時の自動復帰ができない」話を書いたのですが、「もう少し詳しいことを」というメールを頂いたので補足します。こういった指摘は「確かに読まれてるんだ」と実感できてありがたく思います。
以前にも UPSの話[http://www.nanet.co.jp/~kei/diary/199811.html#19981109] は書いたのですが、停電時にシャットダウンはできても、商用電源復帰時に再立ち上げしないサーバというのが結構あるようなのです。
ATケースであれば電源をハード的に制御していますから、電源が供給されれば立ち上がってくるのは当たり前なのですが、ATXケースなどはソフト的に電源を制御していますので、何らかの仕掛けがないと電源が供給されても立ち上がってこないのです。
これがサーバでなければさほど問題はないのですが、停電から復旧しても立ち上がってこないとなると、ビルなどの管理のための作業停電(夜間や休日に行われることが多い)の度に管理者が出てこないといけなくなります。
頻度としては滅多にあることではないのですが、電源ボタンを押すだけのために付き合わないといけないというのも嬉しくない話ですから考慮しておきたいポイントだということです。
この間から「ファイヤウォールの設定仕様作成」というお仕事を頂いています。ところで、ファイヤウォールというのは「ファイヤウォール箱」というのが一つあって、それに全部お任せできるものではなくて、「ファイヤウォールシステム」と呼ぶべきものなのです。
ですから今回の場合は、名目はどうあれファイヤウォール箱単体よりも、むしろサイトセキュリティ全般の仕様を考える作業ということになります。
基本としては、「何を許して何を許さないか」「誰から何を守るのか」ということを明確にしていくところから始めます。もちろんこれはネットワーク全体の設計にも影響を与えます。
例えば、信頼できないマシンと守らなきゃいけないマシンが同一セグメントにあったりしたら、外でどういうフィルタリングをしても意味がありません。できたらルータ、せめてスイッチングハブで分割したいところです。
インターネットでのセキュリティというと「信頼できないインターネットから大事な社内ネットワークを守る」という面からフィルタリングに注目し、その点だけから「ファイヤウォール箱を入れれば大丈夫」ということになりがちですが、ある程度以上のセキュリティを確保しようとすれば、社内にも目を向けないといけなくなります。
別に悪意を持っていなくても、侵入者の罠に掛かるユーザーが結果として内部から手引きをしてしまう場合もあります。
あまりフィルタリングを厳しくしすぎて、不便を感じたユーザーが深い考え無しにトンネルを掘ってしまうこともあります。これがセキュリティ上の重大な危機を招くこともあります。
こういう問題を防止するにはやはり、何を守りたいのかということを明確にするところから始めないといけません。ある程度は安全性と可用性のバランスの問題に直面するかも知れませんが、最初の方針を誤っていなければ大きな問題は生じないことが多いようです。
何か精神論的なことになってしまって、技術ネタを期待していた読者の方はつまらなかったかも知れませんのでクイズを一つ。 良かったらメールで解答をお寄せ下さい。もしご希望でしたら先着1名の方に、次回当社がビルトした時点でのFreeBSD2.2.7-ReleaseのCD-Rを差し上げます。最新版リリースが欲しいけどCVSupも大変だしビルトする環境もないしというごく一部の方は嬉しいかも知れません。
では次回までごきげんよう。

■ 関連記事

詳細はこの日の詳細から

以上、8 日分です。

指定日の日記を表示

前月 1998年11月 翌月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project