文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント（上）

文系管理者や経営者が昨今のセキュリティ事件に不安を持っていろいろ質問をしても、エンジニアの返答は何を言っているかよくわからないことが多いだろう。そういう方のための三回連載です。

個人情報は金になる。インターネット上には個人情報を売買するサイトが存在するし、クレジットカード情報は高値で取引されている。メールアドレスならば、直接ネットカジノ業者、出会い系業者、ワンクリック詐欺グループが欲しがる。一方で、個人情報を保有している企業も、当然セキュリティー防御策を講じている。企業に不正アクセスし、個人情報を手に入れるには、不正アクセスを防止する仕組みを回避または、突破しなければならないことになる。

しかし、現在不正アクセスの被害に遭っている企業の多くは、対策が不十分な企業が多い。つまり、当然やるべきセキュリティ対策すら満足に行われていない。不正アクセスする奴らは、強固にセキュリティ対策が施されている企業ではなく、セキュリティー対策が甘い企業を探し、攻撃していく。彼らのポイントを知ることは、すなわち不正アクセスの防止につながる。一般に、不正アクセスを防止するには、技術的な対策が多く取上げられる。しかし、経営者、管理職の立場で十分に防止可能な対策もある。ここでは3回に分け、狙われやすいポイントを解説していく。

●事例１：有効期限切れの放置

不正アクセスされやすい企業には幾つかの特徴がみられる。その例を実際に存在するホームページを例に説明していこう。例えば、先日不正アクセスによって個人情報が漏えいして話題となったアデコのホームページには、次のような記述がある。

　http://www.adecco.co.jp/security.html

「SSL(Secure　Sockets　Layer)の採用
お客様の個人情報を保護し安心してご利用いただくために、米国ベリサイン社のSSL（Secure Sockets Layer）暗号化通信方式を採用しております。SSLとは、皆様の大切な情報が盗まれたり、意に書き換えられることを防止するためのものです。SSLが採用されているページには、ブラウザの右下に鍵マークが表示されます。」

その横には、ベリサインのセキュア・サイトを証明するマークを確認できる。安全を証明するには、マークをクリックできる仕組みが用意されている。実際にクリックすると、証明に関して有効期限が切れていることが表示される。

─抜粋（ここから）─
　ステータス Expired
　有効期間(GMT) 22-DEC-03 - 21-DEC-04
─抜粋（ここまで）─

ステータスとは、証明が有効か無効の状態を示し、この証明によれば、Expiredつまり「無効」となっている。有効期限は昨年12月に切れている。現在は2005年7月、既に半年経過していることがわかる。たった2行の事実から、このサイト運営状況が垣間見えてくる。例えば、次のような現実があるかもしれない。

・安全を証明する費用を何らかの理由で、削除している。
（例えば、お金が無い、利用者に安全を確保する必要性は無いと判断している、経営者の判断、等）
・たまたま確認したホームページは、古いホームページである。
（ホームページの編成を行っており、古いホームページへリンクが貼られている単純なミス）
・ウェブサーバーのシステム保守や運用作業に滞りが発生している可能性がある。
（システムに対するトラブルに十分な対応ができないことが予想される）
・代替できると判断したセキュリティ対策を施したので、既に不要となったが業務に直接影響しないので放置している
（ちなみに、同社はプライバシーマークを取得済みである）。

これらの理由は、著者の想像に過ぎない。しかし、不正アクセス先を探している者なら、「このサイトはセキュリティ対策が十分に機能していない」と認識するだろう。つまり、企業はホームページで自ら狙われやすい情報を提供しているのである。

教訓１：安全を保証する証明書は、有効期限が切れたら撤去すべし。

【執筆：佐藤隆】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd