セキュリティ対策メモ20070203
ネットワーク屋という看板を掲げているつもりですが、
社内では、コンピュータやネットワークに絡んでわからんことがあったら、
まずasatakaに電話しよう、メールしよう、ということになっているみたいです。
2000人近くから撃たれる日々。。。独立したらもっと稼げる気がする(苦笑)。
つまりアウトソースしたらもっとお金がかかる(泣)。
そんなんはどうでもいいですが、いろいろとセキュリティ面で直しておかないとまずいことが
多々あるので、そんなことをメモしておこっと。
・ウイルス対策ソフト統合管理ツールから、ウイルス対策ソフト未導入PCが検出された場合に、
そいつに向かってメールとか「net send」コマンドで警告を投げる仕組み。
たぶんSQLで検出記録をDBから引っこ抜いて、コマンド発行するバッチを1時間に1回くらいスケジュールしておく感じ。
・社内システムとかそういう情報を見る場合は、必ずVPN。DMZは顧客向けに。
社員向けだけどどうしてもDMZ、というのならば、セグメントを分けるべき。
・やっぱり教育。社内ブログとかできたみたいだから、そこで講座を張るべきかな。
教育用コンテンツ作ってる時間を業務と認めてくれないかなあ。。。
あとはそのあたりの得意な人たちが部署越えで集まれたらいいんだけど。
・サーバのパッチ適用。サーバがとめられないからって、年1回とかまずいでしょ。
そのあたりの運用をどうするのか。専業で一人、割り当てるのか。
各システムの担当者が面倒を見るのか。24-365とかほんとに必要か?
ロードバランサは何のためにある? サーバの冗長化で1ヶ月交代で稼動? コストは? リスクは?
そのへんのアセスメントできてる? このあたり、やっておかないと。
・バルネラビリティの情報収集。そんなんやってるヒマはない。でもやんないと。
自動化できない部分。アウトソース?外任せでいいの?ターゲットベースじゃないと意味なくない?
そもそもレイヤ7以上のバルネラビリティは企業風土とか社員の性格とか。
。。。俺自体が脆弱点ですが、なにか?
・無線LAN。全チャネル、全周波数帯に対して妨害電波を出すとかね。物理的な使用禁止。
使う必要があるところだけ、ジャミングを外していく。ベースDeny、部分Accept。そういう考え方が必要。
無線は見えないだけにより重要。
・ログ取らないと。なにが正常かわかっていないと、異常なことが起こっても、異常かどうかわからんしね。
あとはそのログをならして、ログをチェックする必要があり。
ただし、ログは現象面しかわからないので、CovertChannelとかSQLインジェクションとか
正規のアクセスに紛れ込んでこっそり行われるアタックには対応できないし、
IPSとかIDSとかTripwireとかがいるよね。SSLもアクセラレータを使って、処理を分離して、
デクリプションしてからIPSかけて、サーバにパケット渡すようにしたい。ホントは。
まだまだ続く。
ログ解析のシステムを導入する提案書を書け、といわれたのが、
そもそもこんなのを書いている発端。
ログの管理って、運用全体のどの部分なのか、わかんないしねー。
・インターネットへのHTTP/HTTPSでのアクセス。
いまや唯一の通り道。SkypeもWinnyもSoftEtherもここを通り抜けていく。
ユーザーが明示的に認証を通過しない限り、インターネットにHTTP/HTTPSを通さないプロキシを。
認証はLDAPとかと連携。あとはアクセスの記録をがっつり取得。
HTTPSもURLからSkypeとかWinnyとかSoftEtherとかわかったらいいんだが。
IPアドレスでのインターネットへのHTTP/HTTPSを止めてしまおうか。
・リスクアセスメント。セキュリティ対策に使えるリソースが企業規模に比べて小さいと思うけど、
その小さなリソースでどうやって対策していくか。
極端な話、大事なサーバ以外はつぶれても、クラックされてもOKとか言える状態に持っていくとかね。
このサーバが潰れたらお仕事できません。このシステムが止まったらお仕事できません。
このデータが飛んだら支払いできません。この人が死んだら、ネットワークを維持できません(苦笑)。
というところを被害額に換算するテクニックが必要。被害額とそれが起こる確率がリスク(コトニー法?)。
で、それに対していくらお金をかけるか、っていう議論ですよ。asatakaの勤め先はそれができない。
なんでか?コンピュータとかサーバとかネットワークがなくても、最悪、仕事できるから(苦笑)。
リスクが算定できない状態でのセキュリティ対策は勘で総当りになるわけで、ああ、胃が重たい。
なんで俺がここまで考えなきゃ。。。ぶっちゃけ、あの会社、辞めたい。。。他人事にしたい。。。
とは言うものの、できることはしておいてあげよう。どちらにしろ、実家継ぐまでにあと1、2年しかないしな。
ちょっと細かい話まで落とそうか。
・サーバの運用。
サーバには、
基幹業務(昔、メインフレームでやってた部分)、
分散システム(各種申請業務とか人事管理とか)、
事業部もの(設計支援システムとかCAD系とか単なるファイル+イントラWebサーバとか)、
ネットワークもの(メールとか社内ポータルとか社内ブログとか)、
個人もの(自分のPCでこっそりWebサーバとかCVSサーバとか動かしてるやつ)
があるんだけど、
それぞれに対して、どうやって運用していくか。
正直、個人ものや事業部ものの面倒は見たくないけど、こいつらを見ておかないと、
ここを踏み台にされたり、こっからCovertChannel張られた場合にどうしようもないことになる。
しかも、インシデントがおきたら、ネットワーク屋のasatakaの所為にされると思う。
(ことコンピュータ+ネットワークに関してはみんなわからないから無責任になりがちなのだ。
自分が悪いと明示的にわかっていれば他人を非難しにくいが、自分が悪かったことがわからんからね。
責任範囲を明確にできていないのも良くないんだけどさ。何のために子会社かしたの?>情報システム部門)
というわけで、結局はこいつらのパッチ管理をしなきゃいけないわけだが。
検出の仕組みはある。導入してもらうこともできるだろう。が、パッチ当てはどーする?
再起動したくない、とか、大丈夫なの?検証とった?、とか。
そういうときのために二重化してほしいわけだが、そこまで頭が回る人がいるはずもなく、
考えてみたけどリスク算定ができないために説明できなかったりして、じゃ、どうする?
止めるしかない。バックアップをとって、パッチ当てして。
でもMSは月に一回、パッチをリリースするよ?月に1回、そんなことするの?誰が?
俺、休日出勤したくないよ。平日休むと仕事溜まるし。組合もゆるしちゃくれないよ?
このあたりで、サーバの仮想化、という話が出てきてくれると嬉しいですね。
電気代も馬鹿にならんのですよ?
・いらないサーバの撤去。ひとつのサーバで複数のWebサービスを立ち上げられることをご存知ない方が
結局、多すぎるんじゃなかろうか。しかもそのサーバは工場の片隅だとか、事務所の窓際におかれている。
おいおい。それで24時間365日の運用を要求するのか?
・サーバルームの空調とか電源とか。電源、止まるよね。定期点検で。自家発とかないよね。
ほんとに24時間365日動かしたいものは外に出しておかないと。。。
でもほんとに24時間365日動いてほしいのって、メールぐらいだよね。。。
・さてさて、結局、コンテンツのことまで考えないといけないみたい。やっぱり勘でアセスメント?
<時間帯での稼動要求>
A=24時間365日無停止レベル、B=日曜日停止レベル、C=土日停止レベル、D=平日9時5時レベル
<データがなくなったときの被害度>
A=会社としての存在がアウト、B=会社全体のビジネスが停止、C=事業部のビジネスが停止、D=会社全体に影響はあるけど、代替は可能、E=事業部に影響はあるけど、代替は可能、F=誰かが怒られるくらい(俺?)
<情報漏洩時のインパクト>
A=顧客情報とか世間的にマズイ、B=業者への発注とか見積もりとか一部ビジネス的にマズイ、C=社員にごめんなさい
アセスメントって難しいね。なんか基準とかあればいいんだけど。
コンサルタントの人が高いお金をもらっているのもわかる気がする。
でもね。アセスメントって外に出したらダメな気がするんだけど。
っていうか、それができる人間が会社に一人もいない、っていうのが大ピンチだと思うんですけど。
コメント
無線については使用禁止を徹底して、電波管理を推奨したい。
アンテナ持って不定期で見回る。
違反についてはペナルティも辞さない。
許可制にするならそれくらいやっても良いんじゃないかな。
あと、個人的な意見としてはasatakaデータベースの作成。
Wikiでも何でも良いけど、asatakaの問い合わせを受けた内容は会社としてネットワークシステムを見直す全てのネタ元になる情報なわけで・・・その情報を毎月でもまとめてレポートを出すだけでも大きな資産になると思うけどね。
投稿者: IGA | 2007年02月04日 04:19
無線LANをどうするかについてお偉方が方針を出せていない。というわけで下手に動けないが、俺の手は「みかか」の提案を片手に無線LAN調査の提案書を書き始めていたりする。(笑)
asatakaデータベースはちと無理。
俺の受けてる問い合わせ内容は問い合わせ自体がグレーで(汗)。それに問合せ内容を細々載せても、それをうまく汲み取って現実的なネットワークの形に落とし込める能力(権力?)のある人がいない、ってこと。
全社から撃たれていて思ったんは、結局、教育しかないよなあ、ということ。だからブログで啓蒙活動を行うのですよ。ただ、権力をもってる年寄りは見ないだろうなあ。。。
投稿者: asataka_kirikuzudo | 2007年02月07日 22:37