Eyes, JAPAN Blog > セキュリティ意識の違い

セキュリティ意識の違い

Masato Kaneko

この記事は1年以上前に書かれたもので、内容が古い可能性がありますのでご注意ください。

私は、しばらく前から趣味で自分のサーバを管理・運用しています。
余談ではありますが、Gentoo Linux という少しマニアックな Linux ディストリビューションを使っています。
今までサーバを運用してきて、非常に安定していて特に大きな問題もなく動いているので、サーバ管理者としては非常に嬉しい事だと思います。
自分のサーバでは、サーバソフトウェアの設定や OS の設定、ファイアーウォールの設定などの多様な設定項目に関しては、自分専用に独自にカスタマイズしたものを主に利用しています。
そして、当たり前ではありますが、自分の施した各種設定は正しいと信じて運用してきています。
ここまで入念に設定が施された環境であれば、セキュリティ的にはほぼ万全なので、攻撃者に攻略されることはないだろう、と思っていました。
外部からサーバはどう見られているのかなど、セキュリティ的な観点から自分でも色々と考えを巡らせてみましたが、なかなか脆弱性にあたる部分も思い当たらず、いわば現状に満足していました。
(ここまでの流れから、サーバが誰かに侵入されてしまったかのように受け取れるかもしれませんが、決して自分のサーバが誰かに侵入された訳ではありません。)

しかし、最近別の環境で FreeBSD サーバをメインに利用するようになって、FreeBSD 環境でもほぼ同様の設定を施して運用し始めました。
自分のサーバを外部に立ち上げるときは、大抵自分である程度のセキュリティのテストは行うようにしています。
そして、違う環境でサーバのセキュリティを見つめ直してみると、今までの環境でも脆弱性になりうる部分などが目についてきました。
固定観念にとらわれずに自分の環境を見直す事が出来たので、非常に良かったと思っています。

個人的な印象ではありますが、企業の経営者の方や、セキュリティが専門ではないエンジニアの方などで、

「うちはファイアーウォール設置してるからセキュリティ的には大丈夫」
「とりあえずうちは IPS のシグネチャは毎日更新してるし安心」
「最新版のウイルス対策ソフトが入ってるし万全」

と言ったように、ベンダーのセキュリティ製品を設定・導入すれば絶対大丈夫という風に、セキュリティ製品を過信し、安心しきっている風潮があるように感じます。
逆に、DEFCON などのセキュリティの祭典に集まるようなアナーキーな感じの個人のハッカー達は、常に新しい事を考えて警戒しているように、趣味でハッキングを行ってきた人たちと、仕事でセキュリティ対策を行ってきた人たちで、心構えが大きく違うように感じます。
この温度差こそが、セキュリティ対策を難しくしている要因のひとつなのかもしれません。

言うまでもありませんが、セキュリティ対策に完璧は存在しません。
なので、上で挙げたように 高をくくる ようになってしまうと、非常に危険なのではないかと考えています。
自分もそういう意味で、現状に満足してしまっていて、高をくくっていた部分があるので、セキュリティを考えないといけない技術者としては失格でした。
世界のハッカーのカンファレンスや、有名な CTF などでは、一般常識を覆すような未知の手法で攻撃を成功させたりということは、当たり前のように行われています。
セキュリティを考える上では、常識にとらわれずに、それでいて高をくくるような事はせず、常に警戒している心構えが大切なのではないでしょうか。

Author: M. K.

Comments are closed.