SEAWorks Network!

ちょっとだけセキュリティーについて考える

 ここでは、私の知っている範囲でのセキュリティーについて語ってみたいと思います。本格的に書き出すと、この話題ひとつでサイトが出来あがってしまいますので、にわかシステム管理者として必要最低限の事に絞って書いてみたいと思います。


セキュリティーってなんだ?

 日ごろ私たちは、な〜んにも考えずにインターネットに接続しています。しかし、良く考えてみてください。インターネットは世界規模のネットワークです。そこに接続されているユーザー数はとてつもなく膨大です。もちろん善良な方もいれば、悪意に満ちた犯罪者だっています。これは、現実の世界と少しも違いがありません。実際に、インターネットでおきた犯罪はたくさんあり、手口も巧妙です。また、コンピュータやインターネットの仕組みそのものが理解し難いために、一般のユーザーでは容易に想像できないようなことまで起こります。そして、私たちは、それらの攻撃から身を守っていかなくてはいけません。その身を守る手段をセキュリティーと呼びます。


実際に起きうる事件

 テレビを見ていると、毎日毎日これでもかってほど殺人事件や類するニュース、詐欺・窃盗・不正など、さまざまな事件が報道されています。これは、基本的に「人が集まる場所」でおきるものです。加害者もいれば被害者もいます。同じようにインターネットも人が集まる場所です。では、実際にどんな事件が起きるのでしょうか。

不正な進入

 私たちのようなにわかシステム管理者がもっとも注意しなくてはいけないのは、やはり外部からの進入です。私たちの使っているインターネットでのIPアドレスを検索し、あっという間に自分たちのネットワークに進入され、データを盗まれたり、改ざんされたり、果ては破壊までされてしまいます。

踏み台サイト

 さて、実際に進入された場合、そのような被害が起きるのでしょうか。一般に、にわかシステム管理者の扱うようなネットワークには、日本や世界経済に影響を及ぼすほどの重要なデータがあるわけでもありませんし、盗まれて困るようなものも少ないですね。しかし、セキュリティーに注意を払わなければ、簡単に外部からの進入を許してしまうことになります。ネットワークを自由に出入りされると言うことは、誰でもが同じ条件でLAN内のユーザーと同じことができるようになるということです。ちょっと考えてみてください。あなたがLAN用のFTPサーバーを公開していたとしましょう。FTPサーバーは、自由にファイルの読み書きが出来て便利ですね。社内WEBのデータ更新にも利用していることでしょう。しかし、PROXYやルータ、モデムなどでインターネットに接続している間は、インターネット上にもあなたのFTPサーバーが公開されていることになります。そうなると、きちんと利用者を限定していないあなたのサイトは、違法コピーや悪質なプログラムの絶好の公開場所となります。また、悪質な行為を働くための隠蓑として使われることもあります。つまり、PROXYなどを通して、あなたのアカウントを利用し、他のサイトへの攻撃をすることも考えられます。また、たちの悪いことに、これは第三者責任を問われる可能性があります。不正を働いた人との共謀関係がなかったと証明されても、当然良い顔はされないでしょう。

スパムメールの中継

 本人にとって不要なメールを大量に送りつけられるスパムメールや、インターネットを使った電子メール配信ではご法度となっている巨大なメールを送りつけるメールボムなど、いやがらせのメールは後を絶ちません。通常、これらのメールは、送信元がわからなくなるように送信元本人とは関係ないSMTPサーバーを中継して送信されてきます。これに対し、最近プロバイダ側では、自局の管理するメールアドレスを持つメールしか中継しない、自局へダイヤルアップ接続したメールしか中継しないなど、それなりの対策を実施するようになってきました。しかし、われわれが安易にSMTPサーバーを公開することにより、これらの悪質なメールの中継点とされる可能性があります。

※2000.03.16追記

データの改ざんや漏洩

 進入されました。あなたの会社のWEBサーバーで公開している情報は大丈夫ですか?しらぬまにデーターが改ざんされ、不特定多数を相手にした嫌がらせなどを書いたページになっているかもしれません。また、会社の機密を公開していれば、あっという間にデータを盗まれてしまいます。この広いインターネットだからと油断していると、実は身近なライバル会社に仕事を持って行かれてしまうかもしれません。

メールの恐怖

 最近はだまされる人も少なくなりましたが、デマウイルスに関するチェーンメールが日本でも流行ったことがあります。確かに以前は「テキストだけのメールに、パソコンを破壊する力なんかあるわけない」で通用していました。でも本当でしょうか?現在HTMLメールなる物がもてはやされるようになってきました。これは、HTML文書と構造的に同じものです。HTMLの読込でおきる障害が、そのまま引継がれる可能性があります。また、添付ファイルも怖いですね。たしかに送り主は普通のプログラムを添付したつもりで、しかも、受取人が電話などでそのプログラムの名前や中身まで聞いていたとしましょう。受け取った本人は、聞いたとおりの添付ファイルがきたので、早速ハードディスクなどへ書きこみ、実行しました。あ〜ら不思議、なんとウイルスに感染してしまいました。どうしてでしょう?それは、インターネットの仕組みそのものに問題があるのですが、送られたメールが複数のサーバーを経由するために起きる改ざんです。悪意の第三者が、中継したサーバーで待ち構えて、ウイルス入りの同系プログラムを添付しなおして、受信者へ送ったのです。

コンピュータウイルス

 若干ネットワークセキュリティーとは別物となりますが、コンピュータウイルスもあなたのもつコンピュータやドキュメント資源などを破壊する可能性を秘めています。最近では、電子メール経由で、インターネットを含む全世界に影響を与えかねない重大なコンピュータウイルスも増加傾向にあり、その影響は個人のパソコンにとどまらず、友人知人、取引先またはそれ以上にも重大な被害を与えてしまう可能性があります。「自分は別にあっちこっちからソフトをダウンロードするわけじゃないし、ウイルスなんて関係ないや」なんて思っておられる方は、考えを改めなければいけません。個人のずさんな管理により、全世界に影響を与えかねないということを広く理解するようにしましょう。
大半のウイルスは、単にいたずら目的であり、画面にわけのわからない文や画像を表示したり、一時的にパソコンを停止させてしまったりと、影響の少ないものです。しかし、なかにはハードディスクの内容をすべて消し去ったり、パソコンを起動不能に陥れるなど、非常に悪質なものも存在します。また、メールクライアントの不具合を悪用して、次々にウイルスを含めた電子メールをばら撒くなど、影響の大きいものも多数存在しています。現在、個人で使用している端末でさえ、非常に資産価値の高いデータが保存されており、削除されると影響の大きい情報が多数存在します。ネットワークにつながっていれば、破壊されたときの損害は、想像を絶するものになることは容易に想像することが出来るでしょう。

※2000.03.16追記

各種サーバーへの攻撃

 Yahoo!がDDoS(分散型サービス拒否攻撃)でサービスが一時停止してしまったことや、省庁関係のWebページが一部書きかえられてしまった事件は記憶に新しいところです。省庁関係のWebページ書き換え事件については、管理者がWebサーバーのソフトウェアの更新を怠っていたため起きた事件ですが、Yahoo!の場合は、高度なセキュリティー対策を施した上で起きました。もちろん、管理している方々も、われわれにわかシステム管理者よりはるかに高度な知識を持って管理運営されていたことと思います。これらは、インターネットや、そのネットワーク上で稼動しているサーバー用のソフトウェアの仕組みそのものにも問題があり、必ずしもすべてを防げるわけではありません。幸い、われわれの規模のネットワークに、そこまでして攻撃を仕掛けられることはあまりありませんが、逆に、その攻撃の踏み台とされる可能性はかなり高いといえるでしょう。また、実際にこれらの攻撃を受ける可能性も、やはり否定できません。

※2000.03.16追記

実は、一番怖いのが内部ユーザー

 あなたは、それなりのセキュリティーの知識があると仮定します。ネットワークに関しては問題なく一定のセキュリティーを確保しました。しかし、それだけで良いのでしょうか?にわかシステム管理者の扱うネットワーク程度では、内部ユーザーが直接脅威となることは少ないと思います。なにより、「パソコンをちょっと知っている」ってだけで管理者にされてしまった人も多いことでしょう。しかし、内部のユーザーも、時間が経つに連れてスキルを増してきます。ちょっとしたいたずら程度なら出来るようになることでしょう。さらに、もっと怖いのは適正なセキュリティー対策の施されていないWebブラウザです。インターネットエクスプローラやネットスケープナビゲータなど、とても頻繁にセキュリティーホールなどが話題となりますが、これらの中には、接続したクライアントパソコン内のデータを見たり、改ざんしたりする可能性のものが少なくありません。たかが個人のクライアントパソコンと侮ってはいけません。レジストリデータを盗まれたり、ワープロやエディタで作ったデータなどを盗まれる可能性も十分考えられます。盗まれたデータそのものにはたいした価値がなくても、それらに記載されている情報からパスワードやユーザー名を類推するのは、ハッカーやクラッカーの常套手段です。Windows95やWindows98のダイヤルアップネットワークは、そのパスワードだけで接続管理されていますので、接続さえ確立してしまえば、まったくの無防備と言うことにもなりかねません。


にわかシステム管理者でも出来ること

BJDで出来ること

 BJDで出来ることは、接続可能なユーザーをIPアドレス単位で制限できることです。一種のファイヤウォールとして機能させることができます。BJDをインターネット接続用として利用している場合、インターネットへ接続しているのはBJDとそれを稼働させているパソコンと言うことになります。そこへ接続できるユーザーを限定することで、かなり高度なファイヤウォールとすることができます。最近は、パソコンと言えど相当な演算能力があります。「うちはダイヤルアップだから・・・」なんて油断していると、わずかな接続中の時間内に、あっという間にIPアドレスを検索され、アクセスされてしまうことでしょう。もちろん専用線ならユーザーの制限は必須と思ってください。できることから少しずつでも実行しましょう。

BJDのユーザーの制限

前もって、ユーザーの各クライアントパソコンのIPアドレスを固定にするか、DHCPサーバーを利用している場合には、IPアドレスの範囲を設定しておきましょう。そして、利用可能な全てのIPアドレスだけを利用者の欄に登録します。

●プロキシの設定●

1. [利用者]タブをクリック
2. 指定したユーザーのアクセスのみを[on]許可する
3. 名前[山田花子]
※許可するIPアドレスのユーザー名を適宜登録
4. アドレス[192.168.1.1]
※接続許可するIPアドレス
5. 【追加】ボタンを押す
6.

追加ボタンを押すことにより、ダイアログボックス内の一覧に追加されて表示されます。また、以上の事を接続を許可する台数分繰り返します。一覧からチェックマークをはずすことにより、予約としてIPアドレスを確保しておくことも出来ます。

 同様に、IPアドレス単位による利用者の制限は、Personal Mail Serverなどでも設定可能です。また、Tiny FTP Daemonでは、anonymousユーザーなどを制限してしまうことにより、それなりのセキュリティーを確保することが可能です。
※2000.03.16追記: BJD Ver2.00 ベータ18以降では、IPアドレスのアクセス制限がデフォルト(初期値)になりました。

Windowsで出来ること

 Windows95/98は、ご家庭での使用を念頭においたOSで、当初からセキュリティー能力の低さを指摘する声がありました。実際、ネットワークOSとして使用するには、ユーザー毎の制限ができないなど、お世辞にもアクセス管理がしっかりしているOSとはえません。とりあえず行っておきたいことは、インターネットへ接続するプロトコルのバインドから、Microsoft ネットワーク共有サービスを外しておくことです。環境により、バインドを外すプロトコルは、モデムやLANアダプタなどになりますが、これで、とりあえずファイルとプリンタの共有をインターネット側から使うことは出来なくなります。WindowsNTなら、リモートアクセスのWANラッパーなどを無効にしておきましょう。
 また、基本的なところでは、インターネット接続に使用するパソコンでは、Webサーバーやftpサーバーを稼動させない方が無難です。これらのサーバー機能は、外部からのアクセスを容易に受け付けてしまうので、外部からの攻撃対象になりやすく、とても危険です。また、意図的に公開する場合は、絶えず公開するサーバーアプリケーションのセキュリティーホール情報に気をつかい、常時最新のものに入れ替えることにより多少のセキュリティー向上の効果があります。

※2000.03.16追記

パスワードについて

 パスワードとは、ある特定のシステムへのアクセス認証のための一連の文字列の事です。システムでは、このパスワードを基にそのユーザーやアクセス権を識別します。これらは通信のときに漏洩してしまう恐れがあります。また、前述のように進入された場合も非常に危険です。安易にメールでパスワードを送ったりするのも危険です。中継途中で盗まれる恐れがあります。これら通信経路での盗難に対しては、暗号化を使えばある程度解決します。しかし、あくまでも「ある程度」です。解読できない暗号化はありえないことに注意が必要です。そこで、ユーザー側では、いくつかの防御策が必要と言うことになります。たとえば、パスワードで使う文字列は8文字以上にする。また、定期的に変更するなどです。また、これはシステム管理者一人の問題ではないため、ユーザーへのアピールも必要となります。

ブラウザのパッチ

 最近のブラウザには、JavaやJavaScript、VBScriptなどを実行する機能があります。これらはとてもHTMLの見栄えを良くしますし、高度なアプリケーション開発さえ可能にしてくれます。反面、クライアントとなる端末のさまざまな部分にアクセスしたりできますので、それなりのリスクを伴うものでもあります。これらのトラブルが起きることは、セキュリティーホールとしてさまざまなサイトで情報が発信されます。管理者としては、それらの情報をいち早く収集し、対処することがのぞまれます。各ブラウザのサイトでは、セキュリティーホールに対する確認がとれ次第、何らかのコメントを発表します。また、後日パッチを配付となっていた場合は要注意です。管理下にあるユーザーに対し、パッチが配付されるまでスクリプトなどの使用を停止させ、配付後すぐに全端末にパッチをあてます。ある程度クライアントの台数が増えてくると、やはりシステム管理者一人では対応することが出来ません。これもユーザーへアピールし、協力を依頼しましょう。ただし、その後の確認は、自分で行うのが確実だと思います。

ウイルスチェッカーは義務付けしたほうが・・・

 にわかシステム管理者の管理するネットワークでは、ユーザーが「す〜ぱ〜初心者」である場合が多いことでしょう。従って、ほとんどの場合ウイルスの脅威や、システムの破壊などに対して無頓着です。もちろん自分の行ったことの責任など、理解できるはずもありません。これに対し、システム管理者の立場としては、社内のユーザーに対し啓蒙活動を起こす必要がありますが、それも限度があります。つまり、社内のユーザーは「コンピュータ関連技術の専門職ではない」と言う事です。専門外の知識を身につけるのは、日々の業務の中でわずらわしい以外の何物でもありません。ここはひとつ、アンチウイルスソフトのインストールを義務付けるようにしてはいかがでしょう。とりあえず一般的なウイルスの被害は減らすことが出来るでしょう。また、常駐し、ブラウザのスクリプトやアプリケーションのマクロなどを検出できるものであれば、なおいっそうの効果が得られると思います。しかし、油断は禁物。社内WEBでも構築し、セキュリティー関連のページを作成し、正しいウイルスの知識を広めるなど、できる限りの策は講じていく必要があります。

外部からの進入。決め手はこまめなログチェック

 外部からの進入に対してどんなセキュリティーを施しても、それ以上の技術を持って進入してくるハッカーやクラッカーが存在します。私たちに出来ることと言えば、知っている限りのセキュリティー対策ですが、それよりも大事なことがあります。それは、実際に起きてしまったトラブルを把握するために、こまめなログチェックをすることです。幸いBJDやPersona Mail Server等でも、アクセス記録などが詳細にログとして保存されていますので、毎日とまではいかないものの、時間さえあれば見ているようにするだけでネットワークの状態や不正利用など、さまざまな情報を与えてくれます。当然見知らぬIPアドレスからのアクセスがあれば、相手先を調べ、プロバイダなどに訴えるなど即座に対応するようにしましょう。また、これらログをチェックすることにより、社内ユーザーの使用状況や利用方法の誤りなども早期発見することが出来ます。病気と同じで、早期発見が健康を取り戻す秘訣ですね。「こまめなログチェック」を必ず実行しましょう。


最後に・・・

 なお、セキュリティーに関するWebサイトはとても多く、検索サイトで簡単に探し出すことが出来ます。ここでは、とりあえず国内のセキュリティー関連の情報を流している代表的なサイトを2つだけ紹介しておきます。ぜひご覧下さい。

●情報処理振興事業協会
http://www.ipa.go.jp/index-j.html

●コンピュータ緊急対応センター
http://www.jpcert.or.jp/

 以上、皆様の安全をお祈りしつつ、これにて失礼させていただきます。長文を読んでいただき、誠にありがとうございました。


[Back] [SEAWorks main]