どれだけセキュリティ・レベルを高めることに苦心していても,どこか1カ所に脆弱性を残してしまうだけで,努力が水泡に帰すことがある。本来,こうした穴を作らないように努めるべきセキュリティ担当者が,その責を負える力を持っていないときには,一体どうなってしまうのか――。
前回は,慢性的な人手不足からセキュリティ対策に十分な工数をかけられず,ずさんな状態に陥ったケースを取り上げた。そうした問題を防ぐべく,セキュリティ担当者を置き,きちんと予算を割り当てて対策に取り組む現場は少なくない。
だがその実態は,着々と成果を上げている現場がある一方で,「スキルがない」「やる気がない」「人が育たない」といったケースも多い。一向に問題が解消されず,取り組みが停滞していることもある。期待された成果を上げるまでには,まだ長い道のりがあるように思われる。
このような現実の底辺にあるのは,セキュリティ担当者に求められるスキルの問題だ。セキュリティ担当者は,ネットワーク,OS,データベース,プログラミングなど,多岐にわたる分野の知識を一通り押さえておく必要がある。また,日々発生する新しい脅威に対して,情報収集力や対応能力も求められる。このハードルを越えないと十分なセキュリティ対策を打てないが,担当者がそのレベルに達するまでには,相応の時間がかかる。多くの現場は,現在この過渡期にあり,悪戦苦闘しているところである。
今回は,セキュリティ担当者に求められるスキルの観点から,現場で起こった様々な問題を検証していきたい。
開発できても設定法は知らず
川上氏(仮名)が勤務する会社で,自社運営のECサイトが「他社サイトを攻撃するときの“踏み台”にされる」という事件が起こった。この会社のIT部門に所属する川上氏は,同僚の無知に起因するトラブルにあきれかえっている。
このECサイトは,自社内に開発を担える人材がいたため,ほぼ内製で構築していた。同社としては,初めてのECサイトということもあり,セキュリティ対策業務を含むECサイト専属の管理者を置くことにした。その役を任されたのは,開発プロジェクトのメンバーだったA氏である。システムの内容を隅々まで把握している点が評価された。
そんな状況の中で事件は起こった。A氏は,ある企業から届いた一通のメールでそれに気付く。そこには「お宅のサイトからうちのサイトにDoS攻撃と見られるパケットが大量に送りつけられている」と記されていた。
慌てて事実確認をしたところ,メールの内容は正しかった。ECサイトには,いつの間にかDoS攻撃ツールがしかけられていた。侵入経路を調べてみると,ECサイトのお粗末な運用実態が明らかになった。このサイトは,オープンソース・ソフトを多用して構築していたが,LinuxやApache の設定をほとんどデフォルト値のまま運用していた。このため,外部からDoS攻撃ツールを自由に設置できる状態になっていた。
「そんなことも知らなかったのか…」。この事件のてん末を部内連絡で知った川上氏の第一印象はこうだった。セキュリティを高めるために,OSやWebサーバーの設定を細かく調整するのは常識である。なぜデフォルト値のまま放っておいたのか,川上氏には全く理解できず,ただ驚くばかりだった。
川上氏の印象通り,A氏は,開発についての知識は持ち合わせていても,安全なサイト運営に必要なセキュリティの知識を持っていなかった。それでも,専門書やインターネットから様々なセキュリティの実用情報が得られるので,「ある程度の対策は打てたはず」と思われるが,A氏はそうした基本的なことも実践できていなかった。
川上氏は自社で起こった事件が「個人情報の漏洩といった最悪の事態にならなかったのは不幸中の幸い」と胸をなで下ろす。ただし,それはただ単に運が良かっただけと思える節もある。
問題が明らかになった直後,いったんサーバーを停止し,インターネットで調べた情報を基にサーバーの設定を変更するなどの対策を施した。さらに万全を期すため,同社は外部の脆弱性検査サービスを利用して,Webサーバーの安全性をチェックした。すると,ほかにもまだまだセキュリティ・ホールを抱えていることが判明したという。
このケースからは,二つの教訓を学び取れるのではないだろうか。
一つは,「優れたアプリケーション開発者が,必ずしも優れたシステム管理者やセキュリティ担当者であるとは限らないこと」。当たり前のことと思われるかもしれないが,システム開発のスキルとセキュリティ対策のスキルは基本的に別物である。この会社が犯したミスは,A氏のセキュリティ担当者としてのスキルを見極めずに,ECサイト運営のすべてを彼に任せてしまったことだろう。
もう一つは,「少しかじったくらいの知識では,十分なセキュリティ対策は打てない」という点だ。これも当然と言えば当然だが,一般に「セキュリティ担当者」と呼ばれている人々の多くは,まだこのレベルなのではないだろうか。A氏がインターネットで調べた情報を基に対処してみたものの,セキュリティ・ホールをいくつも残していたことがよく表している。
結局,このケースでは,DoS攻撃の踏み台にされた事件を重く見た経営陣が,セキュリティ対策の運用を根本的に変更することで決着した。具体的には,セキュリティ対策をA氏任せにせず,週1回の頻度で脆弱性検査サービスを受けて問題点を洗い出す方法に切り替えた。このために,セキュリティ対策の予算も増額した。
これは,単にA氏のセキュリティ対策のスキルが不足しているから外部のサービスに頼ったというわけではない。セキュリティ担当者の仕事が,それ相応のスキルや情報収集力がないと,簡単には果たせないことに気付いたからである。ECサイトのセキュリティを望ましいレベルで維持するには,社内の人材だけで運用することを当面避けるべきと判断し,その間は外部の専門家によるサービスに頼ろうという結論に至った。
