他の物事と同じように,ネットワーク・セキュリティにおいても,ある行為(または行為の欠如)が,それ以外のあらゆる個所に重要な変更を生み出す「連鎖反応」が起きることがある。その代表例がソフトウエアの開発である。開発者がセキュリティの低いコードを書けば,その影響は広範囲に及ぶ。もしかしたら,企業の評判そのものを落とすかもしれない。
企業における連鎖反応の典型例は,管理コストの増大である。しかし,これだけではない。情報の漏えいやシステムの乗っ取り,企業イメージの低下,その他諸々の悪影響が発生する。
解決策は明確である。プログラマにより良いコードを書かせることである。例えば,米国のセキュリティ研究機関であるSANS(System Administration Networking and Security Institute)は,セキュアなコード作成に関するプログラマ向け評価/認定プログラムを発表している(関連記事:SANS,「セキュアなプログラムを作る技術」の認定試験を開発)。もしあなたがプログラマならば,たとえいわゆるサンデー・プログラマだとしても,この記事を読んでリンク先を参照していただきたい。役に立つ模擬テストを受けられるし,どうすれば認証を受けられるかが分かるだろう。
連鎖反応のもう1つの典型例は,システムのセキュリティが不適切なために,マルウエアの侵入やスパムの被害を受けてしまう場合である。自分たちのシステムを適切に防御しない企業は,そのシステムに対するマルウエアの侵入を許してしまうことになる。
最近のクラッカたちがマルウエアを作ったりばらまいたりする目的は,ごく一部の企業システムやデータを破壊することだけにとどまらない。今日のマルウエアは,より様々な目的を持っている。その1つがスパム・メールの送信による金儲けだ。従って,もしあなたの会社がセキュリティ関係の必要な対策を怠って,マルウエアの侵入を許してしまったとすれば,世界中の人にばらまかれるスパムがそれだけ増えてしまうのである。
筆者は先日,英国の「The Register」で,有名な企業のネットワーク内にあるシステムがスパムを送信していたという興味深い記事を読んだ(関連記事:So who sent you that spam? HP or Oracle?)。明らかに,これらの企業はセキュリティに関する必要な施策を怠っていたのである。なかでも罪の大きい企業として名指しで批判されているのが米Hewlett-Packard,米Oracle,そして米Best Buyである。
The Registerの記事は,セキュリティ監視ソリューション・プロバイダである米Support Intelligenceが収集したデータに基づいたものである。Support Intelligenceは多くのスパム・トラップを運用しており,これらのスパム・トラップが受信した電子メール・メッセージのヘッダーを分析している。このようなヘッダー・データには,メッセージの転送に使用されたメール・サーバーのIPアドレスが含まれており,これらのアドレスからネットワークの運営者を特定できる。
Support Intelligenceのブログによれば,彼らはそのスパム・トラップ・データを使用して,ネットワーク内でボットを運用しているFortune 1000企業を特定している。Support Intelligenceは,「アメリカのすべての企業のセキュリティが完全なものとなるまで」検索結果の公表を続けるとしている。
Fortune 1000企業がネットワークを浄化すれば,すべての人が受け取るスパムは確実に減るだろう。それは確かに望ましいことである。ただし,それ以外の企業にとってもこれは同じことであり,企業が本来やるべきことに着手する前に,The Registerのようなニュース・ソースやSupport Intelligenceのような企業によってさらし物にされるのは,本当に恥ずべきことである。
特にOracleやHPのような,セキュリティの様々な面において,最優等生でありリーダーであると考えられている企業にとっては憂慮すべき事態である。このような特定のスパム監視の動向について興味があれば,Support Intelligenceのブログに注目していただきたい。
