9.4 クライアントとセキュリティ

メイルでも少し出てきましたが、Nimda や Blaster などの流行など、現在では クライアントシステムの防御も重要です。圧倒的多数のクライアントシステム から攻撃などがあると、簡単にネットワークやシステムは過負荷となります。 また、これらのウィルスやワームは単にメイルのみならず、感染したウェブ サーバへのアクセスや、クライアント自身からのアタックにより感染するために、 非常に感染力が高かったのも特徴です。システムのセキュリティホールを きちんと塞いでいないクライアントが次々と感染したことを見ても、クライアント システムをクリーンに保つための措置と、ユーザ教育が重要です。当然、メイル 添付への注意は今もなお重要ですが、ネットワークにつながっているだけで感染 する場合があることを教育する必要があります。そして、それは職場のネットワーク で遂行されていても、家庭などで感染したクライアントを職場内につなぐだけで 感染するという点にも注意しなければなりません。

このようにクライアントが汚染されたならば、システムのセキュリティは風前の 灯火となります。何故ならば、ファイアーウォールはここでは最早無力だからです。 クライアントには内部ネットワーク特有のサービスが提供されており、クライアント 自体もパスワードなどを利用します。クライアントにスパイウェアが侵入して いたならば、キーボード入力を全て奪取されていると考えるべきです。この場合には、 SSHですらも危険となります。明らかに、秘密鍵とその秘密鍵を解読するパスフレーズ が盗まれることになり、結果として侵入プログラムがそれを外部の侵入者に自動的に 通知した時点で、侵入者はSSHを使って大手を振ってシステムにアクセス出来る 権限を有するようになるからです。

このようにウィルス、ワーム、スパイウェアなどからの感染予防には十分な措置を 行わなければなりませんが、ウィルス駆除ソフトと言えども実はこれらを最初は 防げないことに気づいていなければなりません。ウィルス駆除ソフトは、発見された ウィルスを分析し、そのファイルの特有のパターンからウィルスを特定することで ウィルスを見つけ、駆除します。この事は、発見されていないウィルスは駆除出来ない ことを意味します。すなわち、ある種の危険性は常に存在し、それはSSHやその他 の手段でも防ぎ得ない種類のものであるということです。唯一の解決策は、全てを 遮断し、一切との交渉を絶つことですが、それは現実的ではありません。

また、ネットワーク速度の向上は基本的にはファイアーウォールという解決を無力化 するでしょう。ファイアーウォールは如何に速かろうと、ネットワークの速度には 原理的に追い付くことは出来ないからです。つまり、ここでの問題は分散化した ネットワークがインターネットの本質であり、その分散化したものをファイアーウォール という集中化したソリューションで解決しようとしていることにあります。 当面は、ファイアーウォールを並列化するなどの措置で延命はされるでしょうが、 いずれは破綻するでしょう。つまり、分散化したシステムは、分散して守るしか 手がないということなのです。このことは、ファイアーウォールは全てのシステム に最終的には必要になることを意味しています。IDSもまた同様です。そして、 一部では既にそのような対策はパーソナルユースを中心にしてなされつつあります。 従って、個々のクライアント自体の防衛を行うためのシステム的な措置と、 それを実行し、実行レベルを常に同じ水準に保つための組織的保証がなければなりません。 勿論、将来的にはそれら個々のセキュリティレベルの監査システムや、通知システム なども可能になっていくでしょうが、個々人の意識のレベルでは何時になっても必要 だと思われます。



Noriyo Kanayama