2004年、セキュリティを強化しよう

Tim Mullen（SecurityFocus）
2004年1月13日 10:19 GMT

　SecurityFocus のコラムニスト Tim Mullen 氏は次のような意見を述べている。私は "新年の決意" の熱心な信奉者ではない。あなたは新年を迎えて今年こそはアレをしよう（あるいはコレを止めよう）と決意するのだろう。しかし、その新年の決意は、ぐずぐず物事を先に引き伸ばす口実に過ぎないのではないかと思う。

　しかし、去年を振り返り、我々が直面したいくつかのセキュリティ問題を思い返してみると、新年の決意にふさわしい抱負をいくつか思いついた。それは、何度も同じ間違いを繰り返すのではなく、我々の影響力を拡大させることだ。我々の間で行っているセキュリティ対策と同様の措置を実行させることである。殆どの人がこの提案を単純明快だが、ありきたりと思うだろう。だが、2003年に起こった事件は、そのような措置が講じられていなかったことを示している。

●サービスを導入する際は、徹底的にセキュリティについて考えなさい。

　我々は何度もこの作業を行う必要がある。しかし、セキュリティの必要条件は滅多に実行されない。信用されていないネットワークにサービスを提供する際、当然セキュリティについて考える。しかしそのセキュリティに関する検討は、サービスを導入した時点で終わるべきではない。それは始まりに過ぎないのだ。そのサービスに関連する他のセキュリティ措置も考える必要がある。例えば、ファイアウォールの設置、OS の強化、アプリケーションのフィルタ、境界ネットワークなどだ。サービスのセキュリティ確保を実現するために他の措置も導入している場合、そのセキュリティ計画はより堅牢なセキュリティを提供することになるだろう。それを実行することだ。

●将来を視野に入れて、現在のセキュリティ確保に努めなさい。

　私の所謂 "Microsoft 寄り" の見解に対して、多くの批判を受けた。そして一部の人たちは、私がソフトウェアの "あるべき" 形を十分に認識していない、あるいは他のオペレーティング・システムもしくは開発モデルの恩恵を理解していないと考えていた。しかし、それは違う。私は現実主義者だ。セキュリティ専門家は常に将来を見据え、この先より堅牢なセキュリティの構築を目指さす必要がある。他方、我々は現在の状況も受け入れなければならない。

　インターネットのセキュリティが確保されるようあらゆる Microsoft 製品のインストールが実現される必要がある、ということについては異論はない。しかし今のところ、そうなってはいない。我々はその事実を十分に承知しており、従ってそれに対して責任を負うつもりだ。まず、セキュリティを強化するインストールを学びなさい。低い権限でサービスを設定する方法を学びなさい。自分のシステムの安全性を確保するツールを用いることを学びなさい。そして、目先の欲望から現在の地道な作業を怠ってはいけない。以上のことを実行すること。

●ユーザに何をしなさいと指図するのではなく、彼らに考えさせなさい。

　多くの管理者は、ユーザに日時を教えない（NTP はそのためにあるのだから）。しかし、セキュリティ問題になると、その殆どはユーザレベルに原因がある。具体的には、添付ファイルの開封、脆弱なパスワードの使用、スパイウェアのインストール、機密情報の漏洩など。つまり、自分で自分の首を絞めているようなものだ。このようなことを阻止するため、通常はユーザにすべきこと、してはいけないことだけを教え、その先の掘り下げた説明などは十分に行わない。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec