セキュリティはなぜ必要なのか


パソコンの低価格化、低価格ルータの出現、OCN、ODN等の低価格専用回線の普及によりインターネットサイトを自社でもつ事は既に夢物語ではなくなっている。サイトを構築するための参考書籍も数多く出版され、その気になれば個人ですらインターネットサイトを所有す事は不可能ではない時代に突入した。

また、このような時代背景を反映して専用回線の申し込みからインターネットサーバ、ルータの設定/設置までをセット商品を販売している業者も数多く出現している。

今さら説明するまでもなくインターネットは誰でも自由にアクセス出来るネットワークである。インターネット文化が普及すると言うことは有用な情報がオープンに公開され、距離と時間の垣根が世界レベルで無くなる事を意味する。これは実に喜ばしい事ではあるが、と同時にインターネットは世界中のクラッカーとも接続されいる事を忘れてはならない。

1-1.bmp (19502 バイト)

日本の地続きで隣接する国境を有しない地理的特徴に育てられた国民性に因しているのかなのか確信が持てないが、今日の危機管理意識に疑問を覚えることが多い。

マスコミは「おいしい所だけ」を取り上げて報道する傾向にあり、ダークサイドに触れることは少ない。あるいはダークサイドにふれたとしても、本質的な問題まで立ち入った報道はあまりみかけない。数年に一度ウイルス騒ぎがテレビで報道されしばらくは話題になるが、「喉元過ぎれば熱さ忘れる」で一ヶ月もすると人々の意識から忘れ去られてしまうのも否定出来ない現象である。

最初ウイルスは他人事に思えたかも知れないが、インターネットの出現で一気に身近な存在になったことは周知の事実である。しかし、クラッカーの存在はどうだろう。「クラッカーは著名な会社(サイト)やプロバイダだけ相手にしおり、わざわざウチみたいな所までクラックしに来ないだろう」と思っていたら大間違いでる。クラッカーたちは思った以上に活発に活動している。著名な会社(サイト)やプロバイダはガードが固いので、ガードの甘い小さなサイトを狙っているのである。「ウチには盗まれて困るような情報が無いからセキュリティなど必要ない」と考えているのなら問題は更に深刻になる。

前述のインターネットサーバ販売業者からサーバを購入したとか、業者にサーバ構築を発注した場合はどうだろう。「プロがセットアップしているから大丈夫」とあなたは思っているのではなかろうか? このようなケースの場合ほぼ間違いなく「セキュリティ監視」は実施されていないだろう。業者との保守契約でセキュリティ監視が条項に含まれている場合もあるが、これも十分に機能していない場合があり得る。本書を読んでいただければ理解頂けると思うが「セキュリティ監視」は思った以上に手間のかかるものである。数多くのサイトを保守している業者はそれだけのマンパワーを割かなくてはならず、必然的に保守費用が高くなる。真面目に監視している業者ならば良いのだが、「安価を売り文句」にしている業者ではセキュリティ監視に関して期待出来ない。

セキュリティに関するノウハウがある業者なら対策は何とかなるのだが、一番厄介なのはセキュリティに関するスキルが低いにもかかわらず、儲けになるからとインターネットサイトを構築してしまう業者である。インターネットサイト構築に関する書籍は数多く出回っているので、TCP/IPとサーバにOSに関する知識がそこそこあればインターネットサイトは簡単に構築出来しまう。ところが、困った事に彼らが参考にしている書籍には「セキュリティ確保技法」に関する記述はほとんど無いのである。ここ最近セキュリティに関する書籍が数多く出回りはじめたのは喜ばしいのであるが、残念ながら抽象論に終始していたり、高度な知識が無いと読みこなせない物が大半である。スキルの低い業者が、このような高度な知識を要求する書籍から具体的な手法を導き出すことはあまり期待出来ない。

それではユーザとしてどうすべきなのか?インターネットサイトを開く事が当初の目的であったと思うが、インターネットサイトを開くと言った当初の目的を達成した瞬間からクラッカーとの戦いが始まるのである。その戦いは防衛戦であるために過酷を極める。侵略を試みるクラッカーにしてみれば100回侵略を試みて99回失敗しても1回でも侵略出来れば勝利であるが、防衛する側には99回撃退出来ても1回侵略されてしまえば負けである。つまり防衛側には完全な勝利が訪れる日は来ないのである。

1-2.bmp (19502 バイト)

クラッカー同士の情報交換の場では侵入に成功したサイトとその侵入方法、入手した管理者のIDとパスワードが戦利品として流通している。一度侵入されたサイトは何かしらの対策を施さない限り他のクラッカーからの再侵入も許してしまう。信じられないかもしれないが、侵入のためのツールはインターネット上で配布されているのである。多くのクラッキングツールはアンダーグラウンドサイトやアンダーグラウンドメーリングリストで配布されている。つまり、ネットワークやサーバOSに対して深い知識が無くても、これらのツールを入手することによりセキュリティの脆弱なサイトはいとも簡単に侵入されてしまう。天才的クラッカーが見つけ出した侵入方法が駆け出しのクラッカーあるいはクラッカー予備軍にに伝授されるのは時間の問題である。天才的なクラッカーはほんの一握りに過ぎないが、予備軍を含めるとその数は数え切れない人数になってしまう。あなたのサイトを狙っているのはこの「駆け出し」と「予備軍」達なのだ。

1-3.bmp (33326 バイト)

このような状況下であなたは何をすべきであろうか?それは「自己防衛」するしかないのである。最低でも「日々の監視」を怠ってはならない。クラックの兆候は監視する事により早期発見出来るのだ。兆候を早期発見し対策を立てれば侵入される可能性はかなり低くすることができる。

本書の読者であれば馬鹿げた話に聞こえるかもしれないが、筆者が独自に調査したサイトの中には管理アカウントにパスワードが入っていないサイトをいくつか発見した。管理アカウントとはそのサイトを自由に変更出来る権限をもっている。そのアカウントにパスワードが入っていないサイトは「クラッカー様歓迎」と大きく看板を出しているようなものだ。その程度のセキュリティ設定であれば当然監視もしていないと容易に推測出来る。あなたのサイト大丈夫ですか?

[目次] [次ページ]

Copyright © MURA All rights reserved.