ある企業のシステム管理者から『夏季休暇は分散取得しているが,それでも8月13日から取得する社員が一番多い。システム管理者として長期休暇の前後に徹底すべき事項があれば,アドバイスしてほしい』と相談を受けました。
年末年始,ゴールデンウィーク,夏季休暇などの長期休暇の前には,セキュリティに関連する様々な団体や企業からセキュリティ対策の注意喚起が行われます。例えばマイクロソフトは8月4日に,「長期休暇の前に セキュリティ対策のお願い」というレポートを公開しました。これは2003年12月10日に初めて公開したレポートを更新したものです。
長期休暇に伴う注意喚起のレポートは,それぞれの長期休暇によって内容に変更がある訳ではなく,基本的には同様の内容で公開されます。
ただ日本の場合は,特に「夏季休暇」に注意すべきです。というのも,マイクロソフトのセキュリティ情報(パッチ)の定期リリースのスケジュールが「第2火曜日の翌日」となっており,日本の「夏季休暇」と重なるケースが多いからです。
余談になりますが,マイクロソフトのセキュリティ情報の定期リリースは,第2水曜日と勘違いされているケースが多いようですが,正確には「第2火曜日の翌日」で,日本では「第2水曜または第3水曜日」となります。”事前通知公開予定日”と”セキュリティ情報公開予定日”の具体的な日程は,「セキュリティ情報リリース スケジュール」に公開されていますので,チェックしておきましょう。
私は,マイクロソフトのセキュリティ・パッチの場合,「公開されてから24時間以内に評価を完了し,48時間以内にパッチ適用を完了する」ことをお勧めしています。これは,セキュリティ・パッチそのものをリバース・エンジニアリング技術で分析することにより,数時間で攻撃コードの作成が可能になるケースがあるからです。
[関連記事]「パッチから攻撃プログラムを自動生成」,米研究者が実験に成功」(2008/04/21)
昨年8月の定期リリース日は,長期休暇の最終日が多いと想定される8月15日(水)であり,緊急が6件,重要が3件でした。一方,今年8月の定期リリース日は,長期休暇の開始日が多いと想定される8月13日(水)であり,緊急が7件,重要が5件です。
概要は,「マイクロソフト セキュリティ情報の事前通知-2008年8月」(8月13日に「8月のセキュリティ情報」に置き換わる予定)に記載されていますが,緊急のうち,Accessのものは「マイクロソフト セキュリティ アドバイザリ(955179)Microsoft Access Snapshot ViewerのActiveX コントロールの脆弱性により,リモートでコードが実行される」に対応するセキュリティ・パッチだと思われます。Accessのセキュリティ・ホールは回避策が存在したとはいえ,攻撃コードが存在し,標的型攻撃も強く懸念されていたため,早急な対応が必要です。
冒頭の相談を受けたケースのように,パッチの公開日(8月13日)から長期休暇に入った場合,例えば休暇明けが翌月曜日(8月18日)だとすれば,パッチの公開日から実に5日間も”未対応の空白期間”が生じることとなります。このため今年の夏季休暇明けのパソコン使用開始時には,普段の長期休暇明けより,より慎重に対応する必要があります。
長期休暇明けの利用者としての使用開始手順は,以下の通りです。未読のメールが気になりますが,順番通りに対応していきましょう。
- 玄関や廊下に,『パソコン起動禁止』の張り紙がシステム管理者から掲示されていないかのチェック
- パソコン起動後,ウイルス定義ファイルの最新化の実施
- 「Microsoft Update」によるマイクロソフトのセキュリティ・パッチの適用
- IEを使用して,社内のポータル・サイトへアクセスし,注意事項がないかをチェック
- 社内のポータルで,マイクロソフト以外のアプリケーションやプラグインのアップデート指示があった場合,アップデートを実施
- メールが普段より大量にたまっている状況の中,雑になりがちな添付ファイルや不審なメールへの対応を慎重に実施
またシステム管理者は,ウイルス定義ファイルの更新やセキュリティ・パッチ適用の集中で,ネットワークのトラフィックが増大し,これに伴ってレスポンスが低下する可能性があるなら,アクセスのタイミングを調整する必要があるかもしれません。
さらに,長期休暇中に発生したセキュリティに関する注意喚起情報の収集や,使用しているアプリケーションのセキュリティ・バグなどの情報を収集するために,様々なセキュリティ情報サイトにアクセスし,必要に応じて社内のポータルサイトなどで,事前にアナウンスします。
最新状況のチェックには,手間を掛けずにスマートに情報収集するために,以下のような参考になるセキュリティ関連WebサイトのRSSフィードの情報を利用しても良いと思います。
■ITpro Security
■JVNRSS Feed - Update Entry
■JPCERT/CC RSS Feed
■IPAセキュリティセンター:緊急対策情報 - Update Entry
■警察庁セキュリティポータルサイト@police-Topics-
■Microsoft セキュリティ情報
■日本のセキュリティチーム (Japan Security Team)
著者について 以前,ITproで「今週のSecurity Check [Windows編]」を執筆していただいた山下眞一郎氏に,情報漏えい対策に関する話題や動向を分かりやすく解説していただきます。(編集部より) |