orangeitems’s diary

40代ITエンジニアが毎日何か書くブログ

セキュリティーリスクを減らしたいときにありがちなこと

 

仕事が落ち着いたので、最近はセキュリティーリスクを減らすことに力を注いでいる。特に問題が発生したということじゃなくて、世間のニュースを見ていると不安だからだ。いくつものニュースを見たけれど、一つたりとも起こっていいことはない。

セキュリティーリスクのないシステムなど一つもない。なぜなら、何かしらの形で入口や出口がないとシステムが使えないからだ。一番最強なのは閉じ込めておくこと。しかし誰も入れないのでこれはこれで、不正解だ。利便性は確保しながらも、不都合なことが起きないようにしなければいけない、という矛盾と戦わないといけない。

システムに事故が起こるにしても利用開始から0秒で起こるということはない。穴を作っても、穴から攻撃が成功するまでは時間がかかる。この時間はおそらく等しくどんなシステムにも与えられている。タイムアップまでに気が付き塞ぐこと。これができるかが、システム運用者には問われている。

最近の気づきとしては「こんなに長い時間問題がなかったんだから、この仕組みから問題が起こるはずがない」という思い込みが人間には発生しやすいということ。でも、仕組みを作った人間からすると「こうすれば簡単に破れるんだよな~」という感覚はある。まだ攻撃者にバレていないか、その動機が生まれていないだけだ。いつか対策は必要になる。しかし、忙しいときに仕組み自体を変えようとすると、たくさんの人に案内をし、混乱を起こし、そして不便をかけることになる。だからなかなか手を付けられない。

実際そういう部分に最近手を付けはじめたのだけど、これがまた結構思ったよりもスムーズに物事が進んだ。やっぱりいろんなニュースや周知が世間でされているせいで、「セキュリティー強化のため」という文言って強いんだなと思った。だからこそやるときはスパっとやる。問答無用です、例外ありません、なんて言いきった方が絶対にいいと思った。個別対応しないことが重要極まりない。閉めてから穴を開けることほど無意味なものはない。

昨今の企業は、特にシステムへの依存を深めている。システムが動かないと仕事ができないくらいの様子になっている。五年以上前に作られたシステムは、まだ牧歌的な感覚がやや残っているように見える。2010年代、考えてみれば世の中は平和だったな。今はどうだ。物理攻撃以上にシステムへの攻撃が効果的であることがわかっている。だからこそ、今感じる「こわさ」を古いシステムにも適用しなければいけないのだ。あのころならまだ許された実装が、今はもう許されない。あのころにはなかったセキュリティーを高めるいろいろな機能、たくさんある。でも、昔のシステムだからしょうがないよね昔のままでいいよね、と放置されるならきっとひどいことが起こる。そう思って、思いつく限りの今できる対策を様々実行中である。

こう作業をやっていると思うんだよね。「入口も出口もなくしてしまおう」という発想。いやそれやると誰も使えなくなるから。そこまでは行かなくても、強固なセキュリティーをかけてしまうと利用者が使用しずらくなってしまう。このバランスを取るのが相変わらずとても難しい。ひとまず、今の時代には必ず実装しておかなければいけないレベルの常識的なものに抑えよう、という葛藤も感じている。それすらないシステムも多いから、やらないより絶対に良い。

とりあえず言えることは、利用者も、セキュリティー強化のための不便に対しては、やさしくなっている。だから、運用者は、利用者に感謝の念を持って強化策を積極的に導入しよう。運用者も利用者も単に時間を与えられているだけであって、何も起きないことが保証されている人は誰もいないのだから。