新米ネットワーク管理者の「やってはいけない」

第3回ネットワークの「やってはいけない」

第1回は内部ネットワークにおけるPCやユーザ、第2回はサーバを管理する上での「これやるべからず」を紹介しました。3回目となる今回は、ネットワークそのものを管理する上での注意点などを取り上げていきます。

状態把握を怠ってはいけない

多くのPC、サーバ、ネットワーク機器を管理するようになってくると、全体の情報把握の頻度はどうしても下がってしまいがち。各機器の状態把握が疎かになればなるほど、脆弱性が生まれやすい環境になってしまいます。

Windowsについては第1回で触れたようにMBSA:Microsoft Baseline Security Analyzerを使用することでパッチ適用状況の調査など、ある程度管理負担を軽減することができますが、LinuxサーバやMacOS、ネットワーク機器など、ネットワークに接続されている端末は多岐にわたるため、それらを包括して脆弱性がないか調査するには、ネットワーク管理が手に負えない状況になってしまう前に、脆弱性スキャナなど、リモートでまとめて状況を調査してくれるツールの導入を検討する必要が出てきます。

安易な運用をやってはいけない

脆弱性検査は、管理対象の脆弱性や設定不備などを自動的に検出し通知してくれるので、管理の負荷を軽減しつつセキュアな状態を保つことが可能となるなど、一見メリットばかりに見えます。ですがそのメリットとは裏腹に、週1回といった間隔で継続的に脆弱性スキャンを実施している組織は、それほど多くないように感じられます。

「無償のスキャナすらある現状でなぜ実施しないのか」と、疑問に思われるかもしれませんが、理由は単純で、脆弱性スキャナの存在自体があまり知られていなかったり、使用できる人材がいない、有償の製品を使用することにより金銭的負担がかかる……などの懸念事項が多く、費用に対して売り上げ増などが見込める類のものではないため、積極的な運用とまでは至っていないところが大半です。

しかしながら、脆弱性を早期に発見し対策を講じることができるということが致命的な損失を防ぎ、結果的に利益を生み出すことを経営陣などに理解してもらえれば、おのずと実施の運びとなるのではないかと考えられます。コスト=無駄という意識を組織的に改革する必要がセキュリティ対策には求められるのです。もちろん、対策を重視するあまり、コストのかけすぎることのないようにバランスを取ることが大切です。

コストに対する理解を得られた後についても、脆弱性スキャンなどの各種検査が運用に乗った際には、ネットワークの帯域を占有するほど大量の通信を発生させる場合がありますので、営業時間に実施するのではなく、深夜帯に実施するなどといった点を考慮する必要が出てきます。

勝手に作業してはいけない

脆弱性スキャンに限らず、ネットワークに影響を与える作業を実施する際には当然ですが、事前の連絡と承認が必要です。通知を行わず検査などを実施してしまうと思わぬ事象(障害)を招きかねません。管理ネットワーク内であったとしても、利用しているユーザや組織へ事前連絡を行うべきでしょう。

管理者として深夜帯の作業など、運用面で負担が大きいと感じるのであれば、検査サービスを提供している企業もあるので、管理ネットワークの規模や予算により検討する必要も出てきます。先にメリットとして挙げたセキュリティ管理の証明という意味では詳細なレポートを提供してくれますので、上司や経営陣への提案もしやすいといえます。

攻撃行為をやってはいけない

ひとつ、著者が経験した事例を紹介します。

筆者はネットワークを流れる通信を日々監視し、ボットやワームによる通信をはじめ、お客様のネットワークで影響を受けるような通信を発見し次第、状況を確認し顧客に連絡を実施する、いわゆるセキュリティ監視業務に携わっています。

先日、監視対象となっている顧客管理ネットワークより、管理ネットワーク外に対して攻撃が行われていたため、連絡を行い対処をしてもらいました。ここまではよくあることなのですが、しばらくして担当者より連絡があり、何を思ったのか発生していた通信をテストとして実施すると言われました。

通信先の許諾を得ているのか確認したところ「確認していない」との回答を受けたため、当然のことながら管理ネットワーク外への攻撃行為に該当するので担当者には即刻テストであっても中止するよう提言し、事無きを得たという事例です。

発生している事象の把握を正確に行わないとこのような事例が発生しかねません。この事例については、担当者が「テストだから」という思いこみから管理ネットワーク外へ同様の通信を実施しようとしてしまったことが原因でした。同じようなことのないよう、管理者として注意してください。

管理ネットワーク外へ攻撃行為を実施してしまった場合、次のようなことになりかねません。

  • 所属組織の社会的信用の失墜
  • 損害賠償による訴訟

「おたくの組織から攻撃が来ているので止めてもらいたい」という連絡が来たというのをよく耳にしますが、ボットやワームによる攻撃であれ、テストと思い込んで実施した通信(攻撃)行為であれ、管理ネットワーク外にそのような通信が流れてしまうと、あそこの組織はセキュリティ対策ができていないと思われてしまいます。そうなると、社会的信用は失墜する可能性はもちろん、通信先に悪影響を与えてしまった場合には損害賠償を起こされかねません。これは大げさな話でもなんでもなく、不正アクセスを予見/予防できなかった責任を問われる可能性は大いに考えられます。それ故に、管理者として常に最新の情報に気を配り、対策/対応を行っていかなければならないのです。

ボットやワームの感染、油断してはいけない

管理ネットワーク外へ攻撃行為が行われることによる危険性は先に書いたとおりですが、いくら対策を行ってもすべてを防げるわけではありません。ボットやワームなど、常に新しい手法で対策の裏を書くようなに攻撃を試みてきます。メール感染型の場合、メールの件名や本文に誘われて添付ファイルを開いてしまうなど、人間心理をつくこともあり、対策の徹底は困難です。そのため、万が一感染してしまったときのことを想定して、対策を行うことが重要となります。

ボットやワームについては二次感染が大きな脅威になるので、感染が確認されたホストは即時の切り離しが必要になります。

また、二次感染してしまった時を考慮して、関連ネットワークそのものをいち早く切り離せる準備をする必要があるでしょう。これは、自宅が火事になってしまった場合に周りの家屋へ被害を及ぼさないように、燃えていないところを壊して延焼範囲を減少させるのに似ています。

状況によっては、管理ネットワーク外への攻撃通信を防ぐため、通信すべてを管理ネットワーク外へ出ていかないように対応する必要があるかもしれません。しかし、すべての通信を止めるとなると、その影響範囲の大きさから決断に迷いが生じ、二次被害が発生してしまう可能性も考えられます。そのため、常に最悪の状況を想定して事前に緊急時の連絡方法や対処法を定めておくなどの対策を準備しておくことで、いざという時、素早く決断を行うことができます。あらかじめ起こりうる事象を可能な限り確認しておくことが大切です。

次回、最終回となる第4回は、管理ネットワークを守るための防御方法を具体的に紹介します。

おすすめ記事

記事・ニュース一覧