解決策は「意外に安い」

 実効性を期待できると判断し,宝ネットワークシステムは2004年3月,米Argus Systems Groupのセキュリティ強化OS「PitBull」(国内販売はインフォコム)を社内に試験導入した。Windowsには導入が容易な簡易版「PitBull Protector Plus」を,Linuxには導入/管理はやや難しいが安全性の高い「PitBull LX」を,それぞれ選択した。他社製のセキュリティ強化OSもあったが,「国内外での採用実績が多いことを重視した」(内山氏)。

 試験導入したのは,顧客からの問い合わせメールなどを管理する社内の業務サーバーだ。実際にPitBullを導入し,手順と工数を評価した。導入や管理が難解だと,かえってコスト高になる恐れもあったからだ。

 その結果,「サーバー1台当たりの導入費は実質で250万円以下と,意外に安く済んだ」(内山氏)。内訳は,ソフトの定価がLXで68万円,Protector Plusで85万円(ともに税抜き)。担当者2人のトレーニング受講料が2日間で約50万~60万円(移動・宿泊費込み)。導入・設定の実作業を人件費に換算すると,LXで100万円,Protector Plusで30万~40万円。導入後の動作検証は,20万~30万円。アプリケーションの変更は必要なかった。

 LXの導入・設定の実作業が割高なのは,アクセス制御のルールであるポリシー定義を管理者が自分で記述する手間がかかるため。Protector Plusの場合は,GUIベースの設定ツールが用意されていることと,担当者がLXについて修得済みだったため,作業を効率化できた。

 十分採算に合うと判断し,公開WebサーバーにPitBullを導入する意向を固めた。ただし,公開Webサーバーで採用しているLinuxディストリビューションは「Miracle Linux」であるため,今後LXを導入する際にはサポート対象である「Red Hat Linux 9に移行する必要がある」(白坂氏)。

セキュリティ対策の時間を買う

 PitBullを導入したからといって,Webサーバーのパッチ適用が皆無になるわけではない。OSのシステム・コール内部の脆弱性や,PitBullそのものの脆弱性などを狙われると,アクセス制御の仕組みが破られ,被害を被る恐れがあるからだ。

図3●既存の運用ルールに変更はないが,実質的な工数削減につながった

 それでも宝ネットワークシステムは,従来よりはパッチ適用の件数が減り,緊急性も低くなると見込む。例えば,IISなどのアプリケーションの脆弱性を修正するパッチであれば,適用しないか,定期メンテナンスまで適用を待つという運用が可能になる。適用しない選択をすれば,試験環境での検証や本番環境での適用などの作業がなくなり,実質的に工数とコストの削減につながる(図3[拡大表示])。

 後から適用するとしても,休日出勤してまで適用しなければならないパッチの数は減るし,検証・適用をまとめて実施できる分だけ,効率は良くなる。「セキュリティ対策を講じる時間を買ったようなもの」(内山氏)。

 さらに,万一セキュリティの侵害を受けることがあっても,PitBullが監査可能なログを記録しているため,被害状況の把握と原因の分析に役立つ。一般的なWindowsやLinuxでは,Administratorやrootといった管理者特権を奪われると,ログの改ざんも自由になり,被害発覚後の実態把握すら困難になるところだ。宝ネットワークシステムは,個人情報保護法が施行される2005年4月までには,自社が運営するECサイト「DigiStyle京都」にLXを導入し,顧客情報を保護する考えだ。

(実森 仁志=hjitsumo@nikkeibp.co.jp)