セキュリティ診断、その注意点(2)

呉井嬢次(Johji Kurei) 2005-12-16 19:25:00

 システムのセキュリティ診断している時に、知らないソフトウエアがインストールされていたら、あなたなら最初に何をするだろうか。私なら、ソフトウエアを別なメディアにコピーする。そのソフトウエアが存在した証拠にするためだ。

 企業の情報システムに対して診断を行う時、情報システム部門のシステム管理者の存在は大きい。彼らは自社の情報システムを導入から運用に至るまで携わっており、社内ではITに詳しい。もちろん、コンピューターウイルス対策、不正アクセスに対する情報(知識)も持ち合わせている。しかし、その知識の多くは、コンピューターベンダーやインターネットから入手できる内容で、一部のセキュリティー情報に限定されている。セキュリティ事件や事故に関する経験が足りないため、同じ情報を受け取っても、セキュリティに関係する問題であることを理解できないことが起きる。

ウイルス対策ソフトからのメッセージの真意

 実際に、こんな事があった。ウイルス対策ソフトウエアが正しくインストールされていることを確認した時だった。PCの画面には次のようなメッセージが表示されていた。私の隣には、システム管理者がいた。

「ウイルスに感染していません。
前回検出したウイルスは XX件 でした」

一般の利用者なら、次のように解釈すると思う。

 解釈1:このPCにはウイルスは感染していない
 解釈2:このPCは以前に感染した際に、XX件発見されたが、今は問題ない。

 このシステム管理者も同じような解釈をしていた。このPCが毎度同じメッセージを表示し、見慣れていた。だから、セキュリティー診断なんて不要ですよ、みたいな顔をしている。しかし、この解釈には盲点が1つある。メッセージを下から読んで解釈すると、次のように解釈することもできる。

 別解釈1:過去に検出したウイルスは、実は未だ駆除されていない
 別解釈2:そのウイルスは未だ感染活動を行っていないだけである

 こんな条件が発生するウイルスの類は存在する。正解は、スパイウエアの一種であるアドウエアだ。ここまで気がつけば、セキュリティー上の問題は半分解決したようなものだ。

スパイウエアを特定する

 ウイルス対策ソフトのログから、スパイウエア(アドウエア)の場所を突き止める。ここで単純に削除してはならない。巧妙に仕組まれている場合、一部を削除しても、また復元する機能を有しているからだ。このため、削除する前に、どの種類のスパイウエアであることを調べる必要がある。そこで話は最初に戻る。知らないソフトウエアを発見した場合は、ひとまず、私は、別のメディアにコピーする。それから知らないソフトウエアの素性を調べていく。本当にスパイウエアなら、正しい駆除方法に従って削除する。そして、別メディアにあるソフトウエアを証拠として保管しておき、セキュリティ診断を続けるのである。

セキュリティー診断には証拠が不可欠

 セキュリティー診断を実施したら、問題箇所をシステムの責任者(システム管理者)に伝える。そこで重要になるのは、報告に書かれている内容が、事実であったことを示す証拠である。「パソコンAが、コンピューターウイルスに感染してました」と報告書に記述した後で、「そのパソコンは、前日にウイルス対策ソフトで検査しましたので、感染している筈がありません」とシステム管理者から反駁されることはよくある。その報告書は、システム管理者の上司に提出されるのだから、システム管理の仕事をしていない証拠は減らしたい意図は明白だ。だからシステム管理者はさまざまな反論をしてくる。そこで有効なのが、動かぬ証拠である。画面を操作している記録、エラーメッセージ、時刻などがあれば、動かぬ証拠となる。

 セキュリティ診断過程で得られた経過や情報は証拠として残し、報告書に対して質問、意見が発生したときに提出できるようにしておく。セキュリティ診断ツールの中には、結果が画面に表示され、ファイルに記録されないツールもある。また、ファイルに保存しても、その結果を表示するには専用のソフトウェアを使わなければならないこともある。

 セキュリティ診断を個人が自分のマシンに対して行う場合も、考え方は同じだ。診断した日時、証拠となるデータを保管しておけば、セキュリティを強化した後で、有効に機能しているかどうかをチェックすることが容易になりる。

 セキュリティ診断する側だって人間だ。誤設定や操作ミス(ヒューマンエラー)をするかもしれない。このようなミスを防止する点からも、診断結果の証拠保存は欠かせないのである。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!