意識してやっているつもりでも「人間は過ちを犯すもの」だったり……

くさい臭いは元から絶たなきゃだめ - ある nakagami の日記
まっちゃだいふくさんの処経由。

ココで書かれている「セキュリティ監査」は「ネットワーク脆弱性調査」の事ですよね？

一応ご存知かもしれませんが、知らない方のために「セキュリティ監査」の種類を挙げますと……
---
（技術系）

ネットワーク脆弱性調査：手動 or ツールを用いて、ネットワークが抱えている既知の脆弱性（設定ミス含む）を洗い出す事。"nmap"などのポートスキャナーや"Nessus"などの脆弱性調査用ツールを用いるのがコチラです。

Webアプリケーション脆弱性調査：手動 or ツールを用いて、Webアプリケーションが抱える脆弱性（バグ、設定ミスなど）を洗い出す事。XSSやSQLインジェクション、CSRFなどの脆弱性を調査するのがコチラです。

（マネジメント系）

保障型監査：BS7799（ISMS適合評価制度）などの、各種「セキュリティ認証規格」に準じた運用が行われている事を、第三者機関が評価し、お墨付きを与える監査。「第三者審査」とも呼ばれます。

助言型監査：何らかの規格・基準に則って運用が適切に行われている事を確認する監査。監査と言うより寧ろコンサルティングに近いかも……。「第一者監査（内部監査）」「第二者監査」とも呼ばれます。

とりあえずこんなモノかな？（細かく挙げればキリが無いでしょうが……。）
---
今回は「ネットワーク脆弱性調査」サービスですが……実際にNessusを使ってみるのが早いんでしょうけれど、記述されている通り、既知の脆弱性（パッチ当て忘れ）や設定ミス（ポートの穴あき状況など）を調査、レポートしてくれるサービスです。

で……
---

だけど、そんなのはわざわざ外側から調べてくれなくても、構築したり設定したり、維持管理するひとが
・Redhat 8.0 じゃやばくないか？
・ssh のポートを開けとくのはやばくないか？
・ssh のポートを開けるにしても、パスワード認証は止めといたほうがよくないか？
とかいうことをちゃんと考えれば、いきなりやってきた人に外側からいろいろ
調べまわされるよりも、よっぽどお金もかからないし効果も高い。

（「くさい臭いは元から絶たなきゃだめ - ある nakagami の日記」より引用）

---
……とありますが、それはそれで正しいです。自分達で「自信を持って」出来るのならば、別に他の処に頼む必要は無いです。
（尤も……最近は価格競争に入り単価が安くなっていますので（大体1-IPにつき50k円程度）、それ程目くじらを立てるような高価なサービスでも無いですけれど。）

とは言え、人間が行う事ですから「ついうっかり」とか「つい忘れて」という「過ちを犯す」事があります。
しかもこのような「過ち」は自分では犯したとは気づき難かったりします。

実際、自分が遭遇したケースですが、身内のあるWebサーバに対してツールを使って調査した処、ある「不要なWebサービス」が立ち上がっていて、管理者（自分の後輩……そのサイトを立ち上げる際、何度も相談を受けました）も「あ、サービス止めるの忘れてた」というケアレスミスを1つ発見した事があります。
（正式リリース前だったので、大きな被害にはなりませんでしたが、もし本格的に公開されていたらと考えると、少しゾッとします。）

それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」とか「自信はあるけれど（人的などの）コストの事を考えると他の人に任せた方が結果として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。

なので、全く不要だとは思わないです。＞セキュリティ監査サービス

それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
（大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。）

他の監査は……と言うと、実体験から言いますが、もらえるお金に比べたら、とてもじゃありませんがとても苦労に見合うだけの額じゃありません(苦笑)。

あと「Redhat 8.0」だから即NGって訳じゃないですヨ。要は既知の脆弱性に対する対策さえキチンと取っていれば良い（設定で回避する方法もあるでしょうしネ）訳ですからネ。

（雑記）nyの利用に関する「自分の考え」

先程アップしたセキュリティ教育ネタとちょっと絡むんですが、ny（やソレに類するP2Pファイル共有システム）の利用に関して、自分の考えは次の通り（ココから変わる事はまずありません）。
---
（個人の利用に関して）

入れるのは自分は関知しないが、「正しい利用方法（≒利用する事によるリスクの回避方法）」を知らないで使うのはマズイ。

使う事によるリスクをシッカリ認識・覚悟した上で利用するならば止めはしません。但し「At Your Own Risk」である事を忘れずに。

当然nyを入れたシステム上で漏れたらマズいプライベートな情報や、お仕事に関する情報（会社から持ち帰ってきたデータ等）を触れる・開くのは厳禁……漏れるのがイヤなら入れるな。
---
（企業・組織内での利用に関して）

つーか「入れるな!!」。

どうしてもnyの挙動を調べたいなら物理的にClosedなN/W上で試せ。
---
つーか、そんなにnyが入っている（or過去に入れてアンインストールするのを忘れた）システムは多いのか？

頑張っておりますなぁ～＞フォー・サーズ陣営

松下電器とオリンパス、フォーサーズシステムに関する共同会見を開催 - デジカメWatch
現地時間で2/26……だから日本では今日からですね、米フロリダで開催されているPMA2006ですが、結構面白い新製品が登場しているようで……。

特にオリンパスを初めとするフォー・サーズ陣営ですが、ようやくここに来てPanasonicが新製品DMC-L1を出すなど、元気を見せています。
ここ最近ニコンがフィルムカメラからの事実上の撤退、コニ・ミノの完全撤退などやや暗い話題が続いていたんですが、こういう明るい話題なら大歓迎です。

実際DMC-L1は昔のフィルム一眼レフに近いデザイン（プリズム部分の出っ張りが無いだけで、それ以外は本当に近いデザインです(※)）で、個人的にも興味を引いています。
---
(※)レンジファインダー型に似ていると書いている処もありますが、今のような一眼レフのデザインになったのは、そんなに昔の事じゃないんですヨ。寧ろ昔はプリズム部分の出っ張りがあるか無いか程度の差でデザイン的にも両者は良く似ていたんです。

（雑記）何がエンドユーザ向け・セキュリティ教育を難しくしているのだろう？

ここ数日ny等による情報漏えいが多発している訳ですが……。
（例えばココとかココとかココとか極めつけはココとか……。）

まぁ、nyの是非は今はココでは問わないとして、ここ最近情報漏えいを代表とする「セキュリティ事件・事故（インシデント）」が妙に多発しているような感じがします。
（もしかしたら今まで姿を現さなかった「氷山の下」がたまたま表沙汰になっただけかもしれませんが……。）

技術面だけの対応は「イタチゴッコ」になる可能性も高く、原因を根絶するのは難しい事から、そうなるともう1つのアプローチである「教育・啓蒙」からも併せて対策する……というのは今までも言い続けてきた事です。
（勿論教育・啓蒙だけでもアウト……結局「教育・啓蒙をしても必ず何人かはダメダメな人がいるよ～ orz」ってのはSKUF MTG#02 AMの部でも話した事ですネ。）

が、いざ一生懸命エンドユーザ向けに教育しても「ふーん」で終わってしまうケースも多いような……。

何がエンドユーザ向け教育を難しくしているのだろうか……自分なりの考えですけれど、「我々セキュリティ技術者の『常識』と、一般ユーザの『認識』との乖離が悪さをしているのではないかな？」と考えています。
---
（セキュリティ技術者の「常識」）

システムのセキュリティ対策は「システム管理者」が日常業務の一環として行うモノ。

原則各ベンダーからの情報を引っ張ってくる（Pull型）事で、対応を図る。

セキュリティ対策を怠ると、システムだけでなく、業務や生活に支障を来たす恐れがある。
---
（一般ユーザの「認識」）

基本的にセキュリティは誰かがしてくれる（少なくとも自分ではない）。

何かあったらメーカーからリコールなり何なりが来るでしょ（Push型）？

セキュリティをするためにPC・ネットを利用している訳ではないし、したからと言って自分に良い事なんてあるの（面倒くさいだけじゃないか）？
---
こういった「思いの乖離」が起きているのに、それを無視して「お前らとにかくやれ～」と言っても言う事を聞いてくれる訳が無いよなぁ……と。

要は「セキュリティ対策」を「自分事」として考えてもらえるようにするためには、どうしたら良いんだろう？、ってのが今のセキュリティ教育における最大の問題点かなぁ……。
（この辺までは、土曜病院のハシゴをしている間に立ち寄った喫茶店でまとめたネタです。）
---
（自分への宿題）
では、どうやったら「セキュリティ対策」を「自分事」として考えてもらえるのか、その興味の持たせ方(案)を挙げる事～!!（3月中に）

とりあえず、他の方々もこんなネタは良いんでないかいというのがありましたら、教えて頂ければ幸いです。m(_ _)m

思ったより簡単にはいかないみたい……＞Ophcrack 2.1 LiveCD

正直、この記事見た時には脱力してしまいましたが。orz
（確かに昔からパスワードクラックに関するツールはあったはあったんですが、UG系ネタに近いお話だったので、あまり普通の人が耳にする話題ではなかったんですけれどねぇ……正直言うと、あまり載せて欲しくなかったような（この手の記事を載せると安直に真似をする餓鬼(厨房)がいますので）。）

本当は自宅の環境でも（週末に）検証しようと考えていたんですが、検証し忘れたので、とりあえずWindowsドメイン環境下でのケースを1つ検証事例として出します。
---
【ケース：Windowsドメイン環境下での場合】
（マシン）
DELL Optiplex GX270(Penium4 2.8GHz、Memory1GB、Windows XP Professional SP2+2006/2までの各種セキュリティHotFixは適用済み)

（アカウント）

普段はWindowsドメイン管理者から与えられているドメインユーザ（Domain Users)を利用（ローカルのAdministartorsグループに参加）。

それ以外に4種類のローカルアカウント（Administartor、テスト用のユーザ（Users権限）、ASPNET、HelpAssistant（但し無効化）が登録。Administartorとテスト用のユーザには14文字以内のパスワードがセットされている。

なおLMハッシュは有効化されたままである。

（検証結果）

LiveCDを入れてコールドスタート後、約10分後にはAdministartorとテスト用ユーザのパスワードは解析されてしまった。

それ以外のローカルアカウントは20分経過したが解析できないようなので手動で停止。

ドメインユーザアカウントは調査対象にすら含まれなかった。

（とりあえずの結論）

Windowsドメインユーザはローカルの端末からでは調査対象に含まれない（ドメインコントローラ上で操作された場合は分かりませんが……尤もそのような状態になるようならば、システム以前の問題でしょうし(汗)。）

思ったよりも時間がかかるので、お手軽にパスワード解析という訳にはいかない？……そもそも一般的なWindowsのデスクトップ画面とは異なる画面が10分程度も表示され続けて気づかない方もアレゲですし。

組み込み系アカウントのパスワードはまず解析は出来ない？…恐らく15文字以上のパスワードが自動的に設定され、LMハッシュに関する情報が無いんでしょう。
---
気になる人はココの情報を元に、LMハッシュを無効化してしまうのが一番確実ですね。

週末遊戯録#23

お疲れモードだったので、久々に爆睡してしまいました(汗)。
---
土曜は午前中からお昼にかけて病院のハシゴ。そう言えば普段行っている眼科の院長先生に診てもらったのは初めてのような……（今の症状とこれからの対処方法についてシッカリと、かつ分かりやすく教えて頂いたので、安心してお任せできます）。
その後は地元のヨドバシカメラでお買い物（電池など）。

で、普段だったらそのままゲーセン辺りに流れるんでしょうが、疲れていたためサッサと自宅に帰る（これが夕方前）。

布団を敷いて（布団無しだとなかなか眠れないのですヨ）、軽く寝るつもりで横になったら……気がついたら翌日の3:30でした(ヲ。つまり、約半日は爆睡していた事に。うーん、こんな事は久しぶりだなぁ……余程疲れていたのか？

日曜は友人のお見舞いに朝からバタバタ。
翌日（つまり今日）には退院できるという事で一安心……したいのだが、どうも単純に手放しでは喜べない様子。暫くは注意していないとマズいかなぁ……。

東京にとんぼ返りして、今度は秋葉原へ。軽くブラブラしていたら、何故か手には新しいDollの衣装と靴が(マテ)。

自宅に帰り、寝る前にDollの撮影。ノートPCにUSBケーブルを繋ぎ、直接ノートPCに画像を記録する方式で撮っていたら、僅か1時間弱の間に300枚Over撮っていました。まだ未現像の画像がタンマリと残っているのにどうしよう。orz