2001.10.30
サーバーのセキュリティ対策
今日、ちょっと Microsoftのセキュリティ対策の考え方について書かれた記事を読んだ。
この記事を読んで、こういう事を書く奴は現場を見ていない証拠だなあと思った。
もちろん現場とは、自分や自分の会社が担当する現場のことではなく、ほぼ素人の作ったネットワークの現場だ。
まず、何故、WindowsNT/2000サーバーのネットワーク被害が増大したのかを見なければいけない。そこには Microsoftだの UNIXだのは言うべき事ではない。言わなければいけないのは、サーバー(ネットワーク)管理者のスキルのことだ。
Windowsサーバーにしても UNIXサーバーにしても、数々のセキュリティホールが存在し、そのセキュリティホールにはかなりの重大な問題を引き起こす物がある。
さてここで考えてみたいのは、Windowsサーバーの管理者と UNIXサーバーの管理者のスキルの違いだ。両者共にスペシャリストは存在するだろうし、素人同然もいるだろう。ただ、大きく違うと思われるのはその割合と人数だ。Windowsの場合、スキルが低くてもある程度のサーバーを安定動作させることは可能だ。管理者にとってやりやすいと言うことが、素人でも扱いやすいと言うことにつながってしまっている。UNIXの場合はどうだと考えると、まともなサーバーにするにはある程度のスキルが必要になってくる。最近の Linuxディストリビューションは便利になって、素人に限りなく近くてもサーバーを起動することは可能だが、公開サーバーとするにはいろいろな問題がつきまとう。この問題をクリアするためにはある程度のスキルが必要になってくる。
Windowsサーバーの台数とか UNIXサーバーの台数はいろいろなところで調べられているようだが、管理者のスキルはどうなのか?調べることは非情に難しいと思う。また、その上でセキュリティ対策をちゃんと考えているサーバー管理者はどのぐらいいるのだろうか?
Windowsにしろ、UNIXにしろ、セキュリティ対策とウィルス・ワームはいたちごっこである。常にセキュリティ情報に目を向け、セキュリティホールがつぶされるたびにパッチをあてなければいけない。また、管理者ならそのパッチの検証もしないといけないだろう。日々移り変わっていくそういう情報を逐一チェックしている管理者はたくさんいるだろうか?たくさんいるならば、先日のワーム騒ぎのような(現在進行形だが)事件は少しは未然に防がれたのではないだろうか?
たしかに、Windwosと UNIXでは大きく違う点がある。もちろんそれは、オープンソースか否かと言うことである。現状、Linuxサーバーが非常に増えているので、この図式が成り立つ。Apache等はオープンソースだから、他の UNIXサーバーでもオープンソースといえるかもしれない。
オープンソース自体がセキュリティホールをつぶすために一役買っていることも事実だろう。
が、問題はそんなところではないと僕は考える。それは、上述のように、サーバー管理者の意識の問題だと言うことだ。たとえオープンソースでセキュリティホールのパッチがあたっていても、それをシステムに反映させるのはサーバー管理者なのだ。
よく、ソフトウェアでは脆弱性だとか堅牢性を問われるが、あくまでも壊しやすいか壊しにくいかであって、壊れないと言うことではない。壊すか壊さないかは使っている本人次第と言うことになる。ちょっと直せば壊れにくくなる物を放って置いては壊れやすいままだ。管理者がしっかりしていれば、壊れやすい物も壊れにくく使うことができるかもしれない。逆に壊れにくいはずの物も何もしなければ壊れてしまうだろう。
結局、作る側だけでなく、使う側にも責任があると言うことを考えなければいけない。共有資源を利用しているのだから。