ディアイティ(DIT)は2013年6月26日、ユーザー企業のUNIX/Linuxシステム上で使われている暗号通信ユーティリティーであるSSH(Secure Shell)について、SSHコマンドの認証に利用する公開鍵/秘密鍵の管理実態を調査してレポートするSIサービス「暗号通信リスク調査サービス」を発表した。8月1日にサービスを開始する。価格(税別)は、調査対象50台で15万円から。
前提となるSSHとは、暗号化通信とユーザー認証によって、遠隔ログイン/遠隔コマンド実行やファイル転送/コピーなどを安全に実施できるようにしたツールである。業務サーバーとして使っているLinux/UNIXシステムの多くで、データ転送などのバッチ処理やシステム管理業務などに使われている。リモート接続時のユーザー認証手段としては、公開鍵/秘密鍵を用いるのが一般的である。
今回DITが提供する暗号通信リスク調査サービスは、ユーザー企業のLinux/UNIXシステムをオンサイトで調査し、SSHの公開鍵/秘密鍵が適切に管理されているかどうかをレポートにまとめて報告するサービスである。管理実態の調査には、フィンランドのSSH Communications Security(関連記事:DIT、SSH公開鍵の把握/管理を容易にするソフトを出荷)が開発した調査ツール「SSH Risk Assessor」を利用する。
調査は、DITがユーザー企業先でオンサイトで実施する。調査対象のLinux/UNIXサーバーにSSHで接続して調査用のPerlスクリプトを送り込み、調査対象サーバー上でPerlスクリプトを実行させてデータを収集する(実作業は半日程度で終わる)。こうして集めたデータをSSH Risk Assessorの解析ツールで解析すると、自動的にHTML形式の解析レポートが生成される。この解析レポートをDITが持ち帰り、状況や改善策などを分かりやすくまとめた報告書を作成する。後日、報告会を開いて、報告書の内容を説明する。
SSH Risk Assessorで調査する内容は、UNIX/Linuxサーバー(SSHサーバー)上にあるSSHの秘密鍵と公開鍵を検出し、これらの利用実態を調べる。例えば、SSHサーバー上に存在するすべての公開鍵を検知し、これらの鍵を利用しているユーザー数を報告する。ソースIPアドレスやホスト名の制限がない鍵の情報や、複製または共有されている秘密鍵の情報、パスフレーズで保護されていない秘密鍵の情報、その他の情報を報告する。秘密鍵が漏えいした場合に到達できてしまう範囲も表示する。
