2001/09/02
 CodeRedの話2
昨日の続きですが、このCodeRedIIにかなりのサーバが感染していることが、会社で判明しました。その結果、感染している全てのマシンのネットワークからの切り離しが行われ、パッチが当たるまでネットワークへの接続は行ってはならないという対策がとられました。また、最新版パッチのインストールの強制、および全てのマシンへのワクチンプログラムのインストールを義務化など、なかなか正しい道を選んでいるように見えたのですが。ここからがとんでもない話に変わりました。
感染した人間に罰則を施すという通達が出たのです。セキュリティを少しでも知っている人なら「完璧なセキュリティ」というものが不可能なことを知っています。よって、現在のセキュリティは「できるだけ感染しないようにする」のは当然として、むしろ「感染した場合の被害を増やさない」ことが重視されます。ところが、社内文書を見ても「感染を防ぐためにどうするか」はありますが、「感染したらどうするか」に関する文書がまったく存在していないのです。そして、かわりに「感染した場合の罰則規定」だけがある、と。今回のウィルス対策としてサービスパックを当てる必要があるのですが、IE5.5をインストールしていると128ビット暗号化されてサービスパックを当てられないという現象がまれに発生します。しかし、それに関する対策を問い合わせてもまったく回答が得られず、マシンをネットワークから切り離せの一点張り。業務に支障が出ようと知ったことではないという態度を取られました(IE5.5をアンインストールしてからサービスパックを当て、またIE5.5をインストールし直すという方法は自力で見つけたが)。セキュリティにおいて重要なことを履き違え、完璧なセキュリティが存在するという思いこみが今回の感染被害の増大を招いたということに会社のネットワーク部はいつになったら気づくのでしょうか。
ちなみに私が管理しているサーバが一つだけあるのですが、今回、まったく被害に遭いませんでした。理由はIISなんて危険とわかっているツールをインストールしていなかったからです。感染予防を重視するなら、それくらいは、やってほしいものです。


  

Topへ