2007年9月アーカイブ

なにげにふと思ったこと。

これまで、マルウエア（コンピュータウイルスの類）感染のリスクは Windows プラットホームが他のプラットホームより圧倒的に高いと思ってきた。これは、現実に発見されるマルウエアのほとんどがWindowsプラットホームを狙った物であるし、マルウエア作者のモティベーションから言っても、感染対象が多い方がインパクトが大きく、成功（つまりは大アウトブレークを引き起こすこと）の快感も大きいだろうから、当然みんな Windowsを狙うだろう、ということが理由だ。

しかし、よく考えてみれば、この前提は最近崩れつつあるのではないかと気がついた。たとえば、最近のマルウエア攻撃は、大量感染よりも特定のターゲットを狙ったいわゆるスピア攻撃とか targeted attack と言われるようなものに変化しつつあると言われている。この攻撃の特徴は、大量感染を引き起こさず、特定の組織や個人を狙ってマルウエアを送りつけ、感染、潜伏させ、様々な不正を行うものだ。一般に発見しにくく、既存のウイルス対策ソフトウエアでも１０％～１５％程度は見逃すと言われている。もし、このようなもので、目的を果たした後、自己消滅するような物があったとしたら、それはほとんど発覚することがないだろう。つまりは、マルウエアの統計には現れないわけだ。つまり、発見されるものが氷山の一角でしかないということになれば、ここで、第一の前提が崩れる。

次に、マルウエアを作る目的の変化だ。ボットネットは最近、各国の犯罪組織がスパム業者への貸し出しを通じて資金源にしているとの報告もある。これに限らず、ある目的（多くは営利）をもってマルウエアを作る傾向が強まっていると言われている。一方、最近、愉快犯的な大量ばらまきはなりをひそめつつあるのも事実だ。となると、第二の前提も怪しくなる。

Windowsプラットホームはセキュリティが甘いとよく言われるが、本当にそうだろうか。最近、どこの組織でも、ウイルス対策ソフトの導入やセキュリティパッチの更新を義務化し、監視を強めている。現実的にこれ以上の対策は一般の組織としては困難なところまで管理は進んでいるのではないか。マイクロソフトもセキュリティの向上には多くの努力を払っている。（システムの複雑さ故、まだまだ後手に回っていることは否めないのだが）

一方、最近のオープンソース流行で、Linux サーバなどを導入する（もしくはSIerなどが提案する）ケースは増えつつある。インターネットに公開されているサーバはさておき、イントラネットのサーバとして使われているこれらのセキュリティ面での管理状況はどうなのだろう。これはとても気になるところだ。はたして、不要なサービスは止められているのだろうか。パスワード管理は大丈夫なのだろうか。セキュリティパッチはきちんと更新されているのだろうか、もしくは侵入防御の手段は講じているのだろうか。

こう考えると、今後、マルウエアが狙うのは必ずしもWindowsでなくてもいいように思われてくる。むしろ、今、脇が甘くなっているのは、Non windowsプラットホームだったりしないだろうか。

Macを除いて、Windows 以外向けのアンチウイルスソフトはまだ少ない。また、こうしたプラットホームに対する攻撃に対し本当に有効かどうかもわからない。たとえば、自分の個人環境としてLinuxとStar Officeで仕事をしている・・・というような奇特な方々を除いて、サーバのマルウエア対策は一般に言われる侵入対策の基本をおさえることにほかならないと思う。もう一度、自分の組織の non windowsサーバの管理状況を確認してみてはいかがだろうか。

天気がよかったので、久しぶりにお昼休みの散歩に出かけた。ららぽーと豊洲まで歩いて、さて、ロングコースで戻ろうかどうかというところだったのだけど、結構暑くなってきて断念。同じコースを歩いて帰った。船着き場には、卑弥呼号が停泊中。帰りに春海橋まで来たところで、出航した卑弥呼号が橋の下を通過していった。

さて、このところ運動不足だったので、今日は帰りも晴海通りを有楽町まで歩いて帰った。ついでに夜景撮影。

しばらく歩いていなかったのでさすがにちょっと疲れた。帰りの電車は大井町で座れたので一眠り。気がついたら、まだ蒲田に停車中。先の踏切でなにやら燃えていたようで消火作業やもろもろで15分ほど遅れて蒲田を発車した。最近、人身事故もさることながら、踏切トラブルも結構多い。電車相手に悪さをしてうさばらしはやめてほしいものだと。でもまぁ、テロでないだけ幸せなのかもしれないが。

さて、1日短い今週、明日はも金曜日・・・。しかし、仕事は減らない・・・・・（苦笑）。今日はそろそろ寝て、明日もがんばろう。

西の方にいる台風のせいだろうか、昨日から風がやたら強い。今でも時折、風の音が窓の外を通り過ぎていく。

風が強かったものの、この三連休はなかなかいい天気で、どこにも出かけなかったのがちょっと惜しかった気もする。でも、この風、なんだか生ぬるくて、湿気が多い。なんだか、グアムのホテルのベランダで海風を浴びてるような感じだ。南の島ならいざしらず、このあたりでこの風はちょっといただけない。

昨日から洗濯してベランダに出していた大量の洗濯物は、今日の夕方になっても、いまひとつすっきり乾かず、結局、室内に取り込んで、エアコンの風で乾かすハメになった。

（実は、昨日、30年ぶりに洗濯機を買った。（笑）　学生時代から続いたコインランドリー生活もこれで終わり）

この三連休は荒れまくった部屋の大掃除をしたのだけど、3日かかっても、いまいちすっきり片付かない。かなり重症だ。この分だと来週も掃除か・・・・。（苦笑）　

部屋の中でがさごそやってるうちに夕暮れになってしまい、ちょっとものたりない連休最終日だった。夕暮れには、久しぶりに富士山が見えた。

ひとっ風呂浴びてまったりしてるのだけど、一日中、中腰で片付けをした後遺症で腰のあたりがちょっと痛い。少しストレッチしてから寝よう。

・・たしか５・・だと思うけど。（笑）　で、いつものコンビニMのグチ話。

私はここのサラダ（大きめの野菜いっぱいのやつ）が気に入ってて、見つけると必ず買うのだけど、こいつが時々、賞味期限切れで棚に並んでいる。生野菜なのであまり日持ちがしないのは確かなのだけど、レジまで持って行ってから、賞味期限切れが発覚して、それが最後の一個だったりするとがっかりである。最近はレジでバーコードを読ませると賞味期限チェックが入って、打ち込めないようになっているので、賞味期限切れのまま買わされることはないのだけど、どうも、それに頼り切ってか、棚のチェックが甘くなっているのかもしれないなと思う。

今朝も、ひっかかったのだけど、賞味期限切れを並べておくなよと、ついつい文句が口をついて出た。これで何度目だろうか・・・。たぶん少なくとも3回はひっかかってる。まぁ、実害はないとはいえ、あまり気分がいいものでもないな・・・と思う。入荷時に商品は登録されているはずだから、賞味期限が切れた時点で回収アラームを出すようなことも可能なはずだ。店もぎりぎりの人数でやってるみたいだし、システムでのサポートは必須かもしれないなと思った次第。

こんなことを書いてる私も暇なんだろうけどね。

この連休は、これといって予定もないので、今日も一日まったり。何をするでもないあいだに時が流れ、もう夕暮れになってしまった。ちょっと散歩がてら外に出てきた。いつもの散歩コースからの夕暮れ。

ふと見ると西の方になにやら奇妙な雲。レンズ雲とその右側に、のろしのような雲が・・・。地震雲か・・・（笑）と騒ぎになりそうだけど、想像するに、飛行機雲のなれの果てではないかと。

散歩しながら自宅まで戻ってきたら、そろそろあたりも暗くなってきた。西の空には三日月。そういえば、月探査衛星「かぐや」は順調に月への飛行を続けているようだ。ハイビジョンカメラの画像が楽しみなのと同時に、探査の成果にも期待したいところだ。アポロの月面中継をリアルで見て育った世代としては、しょうもない政治劇場なんか見ているより、よほど胸躍る。子供達がこんなまたとない機会に接して、科学に興味と夢を抱いてくれることを期待したい。

会社帰りの土砂降り（一昨日）、トリトンスクエアの運河沿い。５０Ｈｚで点滅する照明で、雨が点線になって写っているのがおもしろい。2つめは昨日の午後、外出しようと外に出た時に撮影。渦をまくような雲が不安定な天気を象徴している。

今週もすでに後半にさしかかって、3連休までもうひとがんばり。でも、お天気はしばらくはこんな調子みたいで、秋の長雨が続きそうだ。この前の大雨で増水した多摩川の河川敷は、朝の電車から見ると、大量のゴミが散乱している。まだまだ雨や台風が続きそうな感じだから、片付けのタイミングも難しいだろうなと思う。

そういえば、我が国の首相殿はとうとう息切れしてしまったのだろうか。永田町もまた風雲急の様子。なんとなく国民不在で空転してるように思うのは私だけ？

RedHat Enterprise Linux 5 (RHEL5) に syslog-ng を入れた。ローカルのログはうまく扱えたのだけど、リモートからのログを受信してくれない。syslog-ng.conf にエラーはないし、フィルタを最小限にしてもファイルには何も書かれない。そもそも syslog-ng が出したログを見ると、ネットワーク側からは何も受け取っていないことになっている。

しかし、syslog-ng 自身はきちんと tcp/udp の 514ポートを Listen しているし、tcpdumpで見ると syslog のパケットもマシンには届いている。ファイアウォール設定も入っていないから、外部から 514/tcp を叩いてもちゃんと connectする。（udp側は確認できていないが、転送はtcpでも試してみた）　ちなみに、syslogd だと、外部ログを受信するのに引数オプション指定が必要だが、syslog-ng の場合は、syslog-ng.confに source を定義するだけだ。まったく原因がわからず、疲れ果てた。 rpm ではなく、最新版をソースからコンパイルして入れたのだが、それが裏目に出たんだろうか・・・・。

半日悪戦苦闘の末、解決出来ずに帰ってきたので今夜は夢見が悪そうだ・・・・

今借りているシャッター付き駐車場が都合でお取りつぶしになるため、冬タイヤの置き場所に困り、レンタルボックスを借りた。1．5畳のミニ倉庫なので、結構使える。タイヤ、スキー板、スノボ、その他、自宅にあふれていた品物をとりあえず移動。車で15分くらいの場所だが、結局3往復した。おかげで物置と化していた自宅の洗濯機スペースがあいたので、遠からずコインランドリー生活からは解放される予定。（一昨年、近所のコインランドリーがなくなってから、かなり不便だったので、洗濯機を買いたかったのだけど、荷物に置き場を占領されていたので買うに買えなかったわけで、まぁ、駐車場を変わるという面倒と引き替えに、ちょっと生活改善できそう。

そんなこんなで今日も一日暮れてゆき、週末もあっという間に終わり。来週末は三連休なのだけど、これといって予定はなし。さて、荷物の置き場ができたことだし、部屋の模様替えでもしようかな・・・。

このところのストレスのタネにもなっている社会的パラノイア。Winny情報流出頻発の影響で、なにやら妙ちきりんな状況になりつつある。

情報漏洩対策（・・・・というよりは情報管理）を強化するのはいいが、それを自己目的化してしまうと、本来使ってこそ意味がある情報やシステムが必要な局面で使えなくなってしまうという本末転倒が発生する。ルールを決めるのはいいが、それが本来の仕事を大きく阻害してしまえば、結果的にルールそのものが形骸化する。なぜなら、資本主義の社会である以上、仕事＝稼ぎが至上課題であるからだ。本来このバランスを考えるのが、セキュリティを管理する人たちの仕事であるはずなのだが、どうも世の中を見てみると、そうはなっていない。それもそのはず、こうした人たちの多くがセキュリティ以前にITをよく知らない。たとえば、P2Pという言葉の本来の意味も知らなければ、Winnyとウイルスを混同していたり、ウイルス対策ソフトを入れて最新のパターンを使用し、パッチをすべてあてておいてもウイルス（広い意味での・・・）感染はゼロにできないことも知らない。これを読んで、「えっ？」と思った人はちょっと考えた方がいいかもしれない。（マジで）　リスクとかリスクの管理という言葉は知っていても、それがビジネスの効率とのバランスの上に成り立つことを知らない。もっと言えば、セキュリティリスク＝自分の首へのリスクだと考えている人たちが多すぎるような気がする。

そもそも「性悪説」という言葉を使いたがるのもこういう人たちだ。これまで何度も書いているが、この言葉ほど会社にとって危険な言葉はない。言いたいことはわかる。これまで社員はみんな善良な人だという前提で考えてきたが、これからは悪い人がいることを前提で考えたい・・・ということなのだろう。しかし、そもそも「性悪説」という言葉の意味はそんな意味ではない。Wikipwdiaによれば、「悪」という言葉自体の解釈が、いわゆる「悪人」の「悪」とは違うらしいのだが、哲学的な意味はさておいても、聞く側にとって非常に響きが悪いのも事実だ。この言葉を言われた側は、お前らはみんな性悪（しょうわる）だと言われたのに等しい衝撃を受ける。これほど、善良な社員のモティベーションを下げる言葉があろうか。そういう意味で会社にとって非常に危険な言葉なのだ。

あえて言うならば、まっとうな会社で、その社員のほとんどは善良な人間である。でなければ、会社なんて成り立つはずがない。ただ、善良な人間とて、間違いはあるし、場合によっては悪事に手を染める可能性もないとはいえない。中には、すでにダークサイドにむしばまれた悪人も少数ながらいるかもしれない。つまり、会社は善意の上に成り立っているが故、悪意に対して備えていなければならないのである。一握りの悪人から、会社と多くの善良な社員を守る努力は、「性悪説」なんか振りかざさなくても、当然の責務といえる。情報漏洩の謝罪会見で、これからは性悪説で・・・などど言うようなおバカな会社幹部は、つまりは、この責務を果たしていなかった言い訳をしていたにすぎないのだ。

話を戻そう。さりとて、リスクとビジネスのバランスを取ることは言うほど簡単ではない。定量的なリスク評価をして、金額的に天秤に・・・というほど単純なものでもない。結局、セキュリティの施策を打ったら、その有効性だけではなく、それがビジネスにどんな影響をあたえているかを含めて定性的、定量的にきちんとサーベイし、問題があれば改善していくというサイクルをこまめに繰り返していくしかない。それがセキュリティ管理におけるPDCAサイクルの本質だと思う。

情報漏洩対策への意識の高まりは、これまでセキュリティに無頓着だった企業や行政を目覚めさせたという意味はある。しかし、それが企業や行政のセキュリティ管理の成熟につながるかどうかは、セキュリティ管理に携わる人たちが、きちんと勉強し、まじめにセキュリティを考えていくかどうかにかかっているといっても過言ではないだろうと思う。自戒もこめて考えていきたいと思う。