河端善博 ログ

自分の作成したプログラム、システムのセキュリティ対策は、できていますか ?

1.より広い層へ

評価できる取り組み:
　告知方法の充実 (メール, Web、雑誌)
　告知内容の改善 (絵で見るセキュリティ)

カバーが弱い層:
　高齢者、地方在住者
　コンピュータに関心のない方
　マスコミに情報源を依存している方

意識:
　脆弱性は、リコールと同じ
　すべてメーカー、マイクロソフトの費用で対策すべき
　ワーム、ウィルスがいっぱいの Windows。
　そうそう　「TV でいってた、あれ、だいじょうぶ ?」。

希望:
　a. TV / マスコミ向け記者会見の実施
　　* 脆弱性/修正プログラム提供時
　　* ワーム発生の可能性が高まっているとき
　　* ワーム発生時
　　* ワーム沈静化まで随時
　　マイクロソフトでのストリーミング配信も実施

b.Windows Update 自動更新をデフォルト

　c.ICF デフォルト ON
　　ICF ON 状態で運用するための情報提供
　　c.1 : LAN Server-Client 環境向け
　　c.2 : LAN Client でのファイル共有環境向け
　　c.3 : ISV, Developer 向け自作アプリケーション
　　　　　の ICF 対応方法

　d.接続時自動更新
　　ネットワーク接続時に、自動更新し、完了後にネットワーク利用を許可。
　　※更新完了前の感染を防ぐ

　e.修正されていないコンピュータからの接続を拒否
　　サーバー上のサービスは、クライアントの修正プログラム適用が不足している場合、
　　接続を拒否できるようにする

2.Windows Update の充実

評価できる取り組み:
　Windows Update の充実
　自動更新, SUS の無償提供
　MBSA, HFNETCHK の提供

Windows Update での不満:
　修正プログラムで別の問題が発生
　修正プログラムが適用できない
　Office, SQL などに対応していない
　リブート頻度が高い

希望:
　a.アンインストール機能必須
　　Office Update は、アンインストール機能がない

　b.リブートを徹底的に減らす

　c.Microsoft Update へ
　　すべてのマイクロソフト製品をWindows Update へ統合

　d.回避のみの自動設定
　　修正プログラム適用ではなく、回避設定のみ、行う機能
　　ポートの閉鎖, IE/OE のセキュリティ制限

　e.ICF の機能強化
　　ネットワーク経由の攻撃パケットを ICF にてフィルタリングする機能の実装

3.デフォルトセキュアの浸透

評価できる取り組み:
　全製品でのデフォルトセキュアの取り組み
　デフォルトセキュアに対するヒアリング
　利用者のサービスとセキュリティの意識の向上

デフォルトセキュアでの不満:
　想定以上の機能が提供されている
　使っていない機能でのセキュリティ対策を求められる
　例1: ブラウザの ActiveX は、FlashとAcrobat だけに限定したい
　　　Office などのヘルパアプリは、すべて OFF
　例2: SQL Server の public ユーザーにレジストリ読み取り権限がある

希望:
　a.利用者、管理者が必要なアプリケーションを選択できる
　　脆弱性発生時、アプリケーションを無効にできる

　b.SQL Server も含めた対策

1. ブラウザから、MS03-032Check.aspを参照する
2. テストをクリックする
3. 問題がある場合、ダイアログを表示して警告する。
4. ダイアログから、Internet Explorer のセキュリティ設定を変更することができる
   イラスト参照

実行例:
C:>fileversion "vbe6.dll"
ファイルバージョン: 6.04.9969
正式ファイル名:
製品バージョン: 6.04.9969
説明: Visual Basic Design Time Environment
著作権: Copyright c 1987-2003 Microsoft Corp.
登録商標: Microsoft and Windows are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries.
会社名: Microsoft Corporation
言語: ニュートラル言語
製品名: Visual Basic Environment
内部名: VBE6.DLL

fileversion "vbe6.dll" 6.04.99.69
errorlevel:
　0: バージョン一致
　1: バージョン不一致
　-1: その他のエラー

バージョンは、部分一致させることができます。
例: 6.4　6.*.99

• RSS セキュリティ情報

ファイル名

CheckQfe.vbs

利用方法

書式: cscript CheckQfe.vbs 修正プログラム番号 [コンピュータ名] [ユーザー名] [パスワード]
例:
　cscript checkqfe.vbs 823980
　cscript checkqfe.vbs 823980 192.168.0.2
　cscript checkqfe.vbs 823980 192.168.0.2 Administrator Pass
調査するコンピュータがドメインに参加していない場合は、管理者のユーザー名とパスワードを
指定してください

エラーレベル ERRORLEVEL

1: 見つからない
0: 見つかった
-1: そのほかのエラー

参照

Visual Basic スクリプトを使用してリモート ホスト コンピュータにセキュリティ修正プログラム 823980 (MS03-026) をインストールする方法

自動車セキュリティと比較

自動車は、リコールという制度で、メーカーから手厚いサポートが得られています。
しかし、自動車の盗難や荒しに対しては、一部の高級車を除いて、放置されていると
思われます。
自動車は、ガラスを割れば簡単に中のものを盗めます。タイヤやガソリンの盗難も頻繁です
では、この点に対して、自動車メーカーは、なにかしていますか ?
タイヤを盗む方法がひとつでもあれば、それに対して、盗めなくする対策を提供する ?
なんてことは、ありませんね。

家のセキュリティと比較

家は、使い勝手の悪い点があれば、一年程度、施工者に修理を依頼することができます。
しかし、空き巣や、強盗に対して、施工者がなにかをすることはありません。
一部の施工者は、泥棒対策を標準にしていますが、それ以外は、なにもしません
壁に落書きする方法が発見されたら、落書きを防止するカメラや防止塗装に無償で変更することは
ありません。

非常に強力なワームが発生しています。
日本全国で感染したコンピュータが 20台に達しています

• 日付表記を日本にあわせてほしい
• 脆弱性番号をいれてほしい (例 MS03-033)
• 番号表記の場所を固定してほしい(例: 860999 xxxx)
• .NET Framework SP2 は、日本語版だけの表示にしてほしい
• 詳細情報へのリンクをタイトルに設定してほしい
  概要説明文の中に、「詳細情報へ...」とリンクがある
• 詳細情報のウィンドウを大きくしてほしい

• .NET 1.0 用 ? .NET 1.1 用 ?
• このページの表記が、混乱しているのでは ?
• バージョン確認方法のとおりに表示されない
• バージョン確認方法が面倒すぎませんか ?
• 適応されていた ? インストール履歴にはないのに
• サポートライフサイクルでは、SP1 がサポート対象外になっている
• リリースされたのは 8/7 ? 8/8 ? 8/13 ?

• Windows Update はアップデートをずいぶんと楽にしたので、◎
• Windows Update は、どのレベルのユーザーをターゲットにしているのか ?
  一見簡単に思われるが、ITシステム管理者レベルがたくさんある。
• Windows Update と自動更新についての、一般向け説明書がない ?
  Windows Update FAQ が相当するのかも ?
  Windows Updateからリンクされているの ?
• 自動更新からインストールした直後でも、Windows Update に重要な更新がある
• 「ヘルプとサポートの利用」にセキュリティに関する問い合わせ窓口へのリンクが
  Windows Update にない !?
  問い合わせ先ページ へのリンクは、必須 ?
• Windows Update による更新後に調子が悪くなった人はどうすればいいの ?
• ウィルス対策ソフトやファイアウォールを中止しろ ?
  Windows Update FAQの最後のほか、いくつかのページで、Windows Update が
  うまくいかないことがあるので、常駐プログラムを中止しろとありますね。
  ブラスタに感染するわけですね。
• 一般の方のパソコン教室で、Windows Update や自動更新を教えていませんよね
  ビデオやVideoCD を利用してでも、パソコン教室利用者に確実に利用してもらえるようにしませんか ?

• インターネットに接続して Windows Updateしようとして感染
• 企業、行政、学校にて、数百台単位で感染
• IT従事者も、自宅コンピュータで感染

概要

ネットワーク接続開始時に、修正プログラムの適応状況を確認する処理をいれます。
最新の脆弱性、修正プログラムをマイクロソフトサイトで自動的に確認し、
問題がなければ接続を開始します。
問題がある場合は、自動的に回避設定をし、ユーザーが明示的に回避設定を
はずすまでは、接続を制限するようにします。

詳細

次のタイミングに確認処理をいれます。

• システム起動時
• 休止/スリープから戻るとき
• ネットワーク接続時(LANケーブル接続, Wireless, ダイアルアップ, PPTP など)
• ブラウザから信頼されないWebサイトアクセス時
• Outlook/Outlook Expressからメール取得時
• ブラウザコンポーネント/Web Service 利用時も含む
• ネットワーク利用可能状態で一定時間経過したとき

修正プログラム確認終了までは、ネットワーク接続は、もっとも制限の厳しい状態を
維持します。
実質、修正プログラム確認に必要な機能以外は一切のネットワークサービス
の利用を制限します。
修正プログラム確認後、修正プログラムがある場合は、インストールを行うか利用者が
選択をするか、自動的にインストールします
インストールしない場合、以下のような回避設定を自動的に行います。

• 攻撃に利用されるポートをフィルタリングする
• IE のスクリプトやActiveX などのオプションを自動的に制限する
• Outlook/Outlook Express などのオプションを自動的に制限する
• 特定のアプリケーションのネットワーク利用を制限する

回避設定は、ユーザーが明示的に解除するか、事前にポリシィで設定できるものと
します。

• 老人向けには、農協や村単位での対策、情報提供が必要
• 息子/娘のお古をお年寄りが利用しているケースが多い
  ドライバの対応状況やコストの問題から、サポートが切れたOSを
  利用しているケースがある

伊原 秀明さんからは、フォレンジックを
キーワードに、事件があったときに対処できる仕組みの必要性について
お話がありました。
中でも、自分の会社のサーバやコンピュータが踏み台にされたときの考え方が
興味深いものでした。
もし、あなたが踏み台にされた場合、あなたは被害者であるだけでなく、
加害者として、訴えられる可能性があるということです。
つまり、あなたのコンピュータを経由して攻撃された会社は、民事事件として
もともとの攻撃者を探す必要はなく、あなたの会社を告訴するということです。
テクノロジ面からセキュリティを捕らえるだけでなく、法律/訴訟面から
セキュリティを捕らえていないと、正しい対策が取れないという警告です。
関連書籍: 不正アクセス調査ガイド

福原さんからは、オヤジをキーワードに、オヤジがセキュリティホールとならず、
なおかつ、システムを使ってもらうためにどうすればいいのか、現場での
やりとりも含めて話をされました。
Exchange Serverを活用している現場では、会議から、報告まですべてが
オンラインで行われます。その中で、セキュリティを厳格にしすぎると、
オヤジは、システムを利用しなくなるというのです。
システムを利用してもらいつつ、セキュリティを保つためのノウハウが必要との
ことです。
関連書籍: セキュリティ管理ってそういうことだったのか！

より多くの人が使いやすいセキュリティ対策の必要性をあらためて感じました。
スマートカードやUSBキー、被害発生時のシステム保存方法も含めて、
利用現場で実際にオヤジもつかえる対策や仕組みが必要であると思います。

日時： 2003年 7月 19日(土) 13:00
場所： 大阪市立大学、学術情報総合センター1F 文化交流室

今回は、セキュリティがテーマですね。
Port139の伊原さんと、「セキュリティ管理ってそういうことだったのか! 」の福原さんによるお話ですので、とても楽しめそうです。

日時: 2003 年 7 月 15 日(火) 18:00-20:00 (受付開始 17:30)
場所: 帝国ホテル大阪

ソフトウェア開発環境展(SODEC) が開催されました。
マイクロソフトは、MSMVP 制度をたちあげ、コミュニティを支援していくことを、
さかんにアピールしていたそうです。

きっと沼口さんが、きっちとり ZDNET の記者にアピールしていたんでしょうね。
私も、できるかぎり、日本のマイクロソフト技術をあつかうコミュニティ活動に
強力していければと思います。

• MVP って何
• MVP Summit 表 旅行記
• MVP Summit 裏 旅行記