文系システム管理者・経営者のための自社サーバーの安全管理チェックポイント(下)
文系管理者や経営者が昨今のセキュリティ事件に不安を持っていろいろ質問をしても、エンジニアの返答は何を言っているかよくわからないことが多いだろう。そういう方のための三回連載です。
特集
特集
電子証明の期限切れ、保守のタイミングについて説明してきた。最終回は、実際にサーバーに置かれているコンテンツ自身から発見できる脆弱性を見つけるポイントを解説する。システムを動かすには、エンジニア以外の視点も大切なことを理解して頂きたい。
●コンテンツのバラツキ例(1)関連会社同士の運用ポリシーの不一致
グループ会社のホームページを比べると発見されることが多い。同じグループ会社A社とB社ではセキュリティーや個人情報に関する指針が異なっていることがある。一方の子会社(A社)では、親会社の指針をそのままコピーしてホームページに公開しているが、もう一方(B社)は、独自のルールを追加している。このようなケースは珍しくない。この場合、脆弱なサイトは、A社となりやすい。公開して2年経つと、A社の指針はそのままで、B社は独自ルールを見直す。ホームページにルールを更新していくからだ。過去のホームページの違いを確認するには、検索サイトやアーカイブサイト(ホームページを保存するサイト)を利用すれば簡単に発見できる。見直しを行わないA社は既にホームページに公開した内容は安全と思い込んでいる。このため、不正アクセスされても気づくことが遅く、狙われやすいのである。
関連会社には、海外に拠点を持つ現地法人のサイトにも同じことがいえる。国内にある企業と海外現地法人のサイトのドメインが異なる場合、プロバイダーが異なったり、運用ポリシーが異なることがある。システム管理者は、所属する組織が管理する情報システムを管理するので、組織を超えて課題を見つけ出すことは得意ではない。セキュリティー担当者または経営者が技術とは違った視点で脆弱性を見つけ、克服していかなければならない。
不正アクセスを試みる者は、海外現地法人(たとえば、ABCDEメキシコ)のサイトに対して成功すれば、国内のABCDE社を狙わずに、他の海外現地法人(ABCDE台北)のサイトを攻撃していく。攻撃者は日本の本社にはシステム管理者が多い事、セキュリティ対策が施されていること、不正アクセスに関する法律を適用するには膨大な手間がかかる事実を知っている。だからエンジニアの手薄な海外現地法人のサイトを狙うのである。
【執筆:佐藤隆】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》
