新しいシステムを企業で構築する場合,システム・インテグレータ(SIer)に依頼するのが一般的である。「システムを知り尽くした専門家に頼んでいるからセキュリティも安心」と思いたいところだが,実際はそうでもない。手間ではあるが,構築後にセキュアな設定になっているか,セキュアな運用がなされているかをユーザー企業が確認する必要がある。
セキュリティ・コンサルタントの吉田氏はネットワーク経由での企業システムのセキュリティ監査を手掛けるが,「監査の結果,SIerが施した設定や運用のずさんさが明らかになることが少なくない」という。
ずさんな設定の典型例が,規則性のある文字列のパスワードである。「SIerが利用しているシステムの管理用パスワードがある決まった法則に基づいて作成されていることがよくある」(吉田氏)。ユーザー名やパスワードにSIerの社名や納入した製品の名称,誰でも簡単に推測できる文字列を使っているケースを何度も見付けたという。
しかも同じSIerが構築する場合,構築先の企業が別でも同じパスワードを使っていることが少なくないようだ。吉田氏は「担当者が変わってもパスワードが分かるように,SIer内で規則があるのではないか」と推測する。
システムの穴もふさがれていないことが多い。「マニュアルに沿って構築していくためか,同じSIerのシステムでは同じ場所にぜい弱な設定が見付かることがしばしばある」(吉田氏)。企業がSIerとサーバーの保守契約を結んでいても,パッチが当てられていないケースが散見されるという。「外部に公開するWebサーバーにもかかわらず,チャットやネットニュースのサーバー・ソフトが勝手に入れられていたケースもあった」と語る。
吉田氏は「少なくともSIerに,利用しているパスワードがぜい弱ではないか,パッチ適用をちゃんとしているかなどを問いただした方がよい」とアドバイスする。
