能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

製品・サービス・業界動向 業界動向

・増加する危険な管理者

 webサーバを構築することは、決して難しいことではない。むしろ、簡単といってもよいだろう。Windows環境であれば、きわめて簡単に構築し、世界に向かって情報発信を行うことができる。
 web構築の容易さが、企業および個人の情報発信を促進する一方で、サーバ管理者として問題のある人々が激増している。

 問題のあるサーバ管理者が激増している状況は、Code Red 、Nimda およびその亜種の被害状況を見れば一目瞭然といえる。パッチあてなどを日頃怠っていて、被害を受けてあわてて対処を行うというのもほめられた話しではないが、さらにひどいのは、平気でそのまま放置するというサーバ管理者がいることである。もちろん、知らないで放置しているというサーバ管理者もいるし、知っていても兼任で他の業務が忙しいからとりあえず後回しにしているサーバ管理者もいる。
 彼らの多くは、社内でさまざまな業務をひとりで行っていて手が足りなかったり、単にパソコンにくわしいというだけで、担当にさせられたりと、同情すべき点もある。
 しかし、中には、同情する点が少ない人々もいる。

・さらに危険 意味もなく自社サーバをたてたがる管理者

 多くの場合、人手不足、技術不足であればレンタルサーバを借りれば、かなりの問題は解決する。webに特化した業務を多く行っているのでなければ、レンタルサーバの方が、安全で管理も行き届くし、人件費を考えればコストも下がるはずである。
 しかし、こうしたメリットがあるにも関わらず自分でサーバをたてたがるサーバ管理者がいる。
「手元にサーバがないと、急ぎでなにかする時に不便です」
「せっかく、ブロードバンド接続をしているのだから、ここでサーバたてた方がコストが安いです。」
「外でサーバを借りると制限が多くて、結局、会社案内以外は、なにもできなかったりします。」
「外のサーバだと、業者によっては、突然、つながらなくなったり、品質が悪かったりするんです。品質のいい業者は、高くなるので、結局、社内でやるのが安くて、安全なんです。」
 彼らからは、社内にサーバをおく時のメリットがいくらでもでてくる。

 彼らが、社内にサーバをおきたい理由は明白である。サーバをいじるのが、好きなのである。
 その種の嗜好のない人には、理解不能なのだが、世の中には、パソコンやネットワークを自分でいじるのが、大好きな人々がいる。サーバ管理者として問題を抱える人々の中でも、特に危険な人々といえる。彼らを仮に「サーバ・モンキー」と呼ぶことにする。

 彼らの関心と優先度が、会社の便益よりも自分の趣味にある以上、脆弱なサーバをたてることにより、外部の第三者に迷惑をかけることなどは、気にかからない。
 Nimda にwebを改竄され、長期間バックドアをつけられていた会社のサーバ管理者は、自社のweb上でこのように書いていた。
「小さな会社ではサーバー1台入れ替えるのも大変なのよ・・・。時間ないし・・・。まあ、Webサーバもちょっと早くなったんでOKか。やっと、いろいろ実験できる。」
 この会社では、サーバ(第三者に迷惑をかける状態)を正常に戻す時間をサーバ管理者に与えていないが、実験を行う時間は与えているとでもいうのだろうか?
 これは、会社の方針ではなく、サーバ管理者の関心と優先度が、第三者への迷惑よりも自分がサーバでやりたい実験にあるということなのだ。
 問題が自社のことだけにとどまるのであれば、別に、自社の評判を落とすだけだが、踏み台にされたり、感染拡大を加速するなど、社会的な問題は少なくない。

・サーバ・モンキーの見分け方 なぜ、自社サーバなのか聞いてみよう

 あなたが、企業の経営者あるいはそこそこの責任あるポジションにあるならば、サーバ・モンキーには、充分に注意する必要がある。彼らを決して、自分の社のサーバ管理者にしてはならない。複数の担当者をおけない中小企業では特に注意が必要である。

 彼らを見分けるのは、簡単である。
 自社でサーバをたてた時とレンタルサーバを借りた時の比較をやらせてみせれば、明らかに偏った回答を出すはずである。あるいは、すでに自社サーバをたててしまっていて、それに不安を覚えているのであれば、自社サーバにした理由を聞いてみよう。
 サーバで行うのは、会社案内とPR業務くらいといっておけばよいだろう(将来の構想などは、とりあえずいわないでおこう)。おそらく、サーバ・モンキーなら、すでにそういった時点で「会社案内とかPRといってもパソコンにくわしくない人が簡単に更新できるような仕組み・・・CGIっていうんですけど、最近は、PHPとかフロントページとかっていう方がいいんですよ。JSPもいいなあ。そういう便利なものを自由に使おうと思うと・・・」
 このように、サーバ・モンキーは、意味のないうんちくを語りながら、自社サーバの優位性をこんこんと説明して、正体を暴露するのである。

[ Prisoner Langley ]

(詳しくはscan本誌でご覧ください)
http://www.vagabond.co.jp/vv/m-sc.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×