玄関の鍵をこじ開けて盗みに入るのは,空き巣の常套手段である。警察庁が2000年8月4日に公表した「平成12年上半期の犯罪情勢」でも,特殊用具を鍵穴に差し込み,鍵を壊さずに開ける「ピッキング」が急増したと報告している。
では,これをネットワークに当てはめるとどうなるか。当然,企業システムの“玄関”から,さまざまな手口を使ってアタックを試みる不正アクセス行為者はたくさんいる。しかし,狙われるのは“玄関”だけではない。セキュリティの弱い個所を見つけ出され,そこを突かれるケースも多い。その代表が企業内に設置したRAS(remote access service)サーバである。
RASは非常に便利な機構だ。RASサーバを設置すると,場所に関係なく社内にいるのと同じネットワーク環境で仕事ができる。例えば,自宅から社内サーバにあるファイルを参照したり,作成した書類を社内サーバにコピーするといったことが可能になる。移動中の空き時間に日報を書き,携帯電話やPHSを使って,その日報を社内サーバにコピーしておくこともできる。
しかし,RASサーバは重大なセキュリティ・ホールにもなり得る。もし,悪意を持った人がRASサーバのユーザIDとパスワードを手に入れたらどうなるか。社内サーバにある重要情報を簡単に奪われてしまう可能性が高い。そうなると,高価なファイアウォールを使って“玄関”を厳重に守っても何の意味もない。
不正アクセス行為者は,電話帳やホームページに載っている企業の代表番号を元に,それに近い電話番号を総当りでアタックし,そのなかから「モデムの口」が開いている番号を見つけ出す。これを自動実行するツールは,インターネットにいくつも出回っている。「モデムの口」を見つけた後は,管理者がいない深夜にパスワードを盗み出す。辞書を使って,パスワードを類推するツールも数多くある。一般的なユーザIDと安易なパスワードの組み合わせなら,簡単に破られてしまうだろう。
対策はいくつかある。
(1)容易に見破られるパスワードを設定しないようにユーザを教育・強制する,(2)ワンタイム・パスワード(使い捨てパスワード)機構を導入してパスワードの強化を図る,(3)RASサーバにアクセスできる電話番号(着信者番号)を限定する,(4)接続要求があった場合にあらかじめ決められた電話番号にコールバックするようにRASサーバを設定する,(5)RASサーバで使用する電話番号を自社の代表電話番号から推測できない番号にする,(6)RASサーバの着信応答ベル回数を増やす(不正アクセス行為者はツールを使って次から次へと電話をかけまくるため,着信応答ベル回数を増やせば増やすほど不正アクセス対策になる),などだ。
RASサーバをファイアウォールの外側に設置し,RASサーバ経由のアクセスをファイアウォールでフィルタリングする方法もある。
具体的な対策を施す前に,RASサーバ利用のルール(セキュリティ・ポリシ)をきちんと定め,その運用を徹底させる必要もある。
例えば,ある大手パソコン・メーカのシステム管理者は「セキュリティ上,社内のコンピュータにモデムを接続してはいけないルールになっている。社内と外部がつながっているのはインターネットと常時接続した個所だけで,そこはシステム部が厳重に管理している」と胸を張る。しかし,現場の従業員に話を聞くと「自宅で仕事をしたいので,勝手に自分のマシンにリモート接続できるようにしています」という。これでセキュアだとはとてもいえない。
セキュリティ・ポリシを策定する場合,難しいのは制限することと使い勝手のバランスをいかに取るかということである。一般に,制限事項を増やせば,ユーザの使い勝手は悪くなる。例えば,RASサーバの着信応答ベル回数を増やすという対策を取った場合,着信応答ベル回数を増やした分だけ正規のRASユーザはイライラする。すると,個人で勝手にRASサーバを設置する従業員が出てくるかもしれない。
インターネット犯罪の増加とともに,今後セキュリティ対策を重視する企業は増えていくだろう。しかし,“玄関”だけのセキュリティ対策は意味がない。「せっかく玄関の鍵は閉めておいたのに・・・」と後悔しないように,社内のRASサーバを再点検してみてはどうだろうか(*)。
(藤田 憲治=日経バイト副編集長兼編集委員)
