むろん誰にでも知らないことはある、間違って思いこんでいること(先入観もここに含める)もある。それを一概に罪と決めつけることはできない。コンピュータネタ、目次へ
しかし、それらの可能性に思い至らず、無知のまま、間違ったまま物事を進めると罪になることもある。システム屋はその辺を痛いほど分かっている。簡単と思われたシステム上の変更が、下流の下流でとんでもないトラブルを引き起こしたりすることもある。一見関係のないと思われていたシステムがそのデータを使っていて、思わぬところからクレームがあったりする。ひどいのになるとユーザーが端末を別の目的でも使いたいからとコンフリクトするソフトを勝手にインストールしていたため、いきなり「立ち上がらなくなった」と電話がかかってくることすらある。どう考えても最後のはユーザーが悪いと思うのだが、なぜかシステムの方が悪者にされたりするのである。(なお、今まで見たうちで最もエキセントリックな例は「OSを入れ替えた」であった。もちろんこういう場合でもユーザーは「何もやっていません」と主張するのである。)
であるからシステム屋は、システムを修正したり、構築したりする際には、過敏なまでに調査を行い、多くの人を集めて確認会を開いたりするのである。そういう経験をしてきたものとして、この報告書をボロボロにけなすことは許されるだろう。平成15年9月18日付の情報処理振興事業協会、セキュリティセンター(IPA/ISEC)が出したプレスリリース「W32/MSBlaster及びW32/Welchiウィルス被害に関する企業アンケート調査の結果について」である。
これは、表題のウィルスについて《今回のウィルスの被害状況をより広い観点から捉え、今後の情報セキュリティ対策に活かすために、国内企業における被害実態について緊急調査を実施したものである》そうな。NHKニュースでも紹介されていたのでご存じの方も多かろう。まずは、フェイントを一つ。W32/MSBlaster及びW32/Welchiはウィルスではなくワームである。が、まあこれは方便として見過ごすことにしよう。以下当方もウィルスという言葉を使うことにする。
続いて軽いジャブ。調査期間は8/28〜9/11だそうな。で当該ウィルスへの感染日の統計を取って8/18が最も多かったとしている。しかし感染した件数を日別にの棒グラフにしているが、その時間軸を8/12〜9/2までとってるのだ。この場合、8/28とかに調査した相手が、例えば 9/1に感染した場合、これは統計結果にはねない。しかし、グラフだけ見るとその辺の事情は分からない。従って、本当は9/1が最も感染の多い日だったのかもしれないのだ。つまりこの統計は傾向を推測のネタにできるデータをもたらしたかもしれないが、分析して結論を出すことは出来ない。(ましてや小数点第一位まで算出できるほどの精度をもった数字を得ることはできまい。)
ここで普通にストレート。MSBlaster、Welchiへの対策をヒアリングしているが、この人たちいったいどういう尋ね方をしたのだろうか。選択肢をグラフから読みとる限りでは「WindowsUpdateを行った」「社内に注意を促した」「新たにウィルス対策ソフトを導入した」「ファイアウォール/ルータの設定を行った」「特に対策していない」の5つである。
つまり最も普通に行われる対応である「まずはLANを止める。無事なパソコンにファイアーウォールを設定し、それでパッチをダウンロードしてくる。パッチをCD-Rに焼く。パッチを当てた後、PCの動作に影響がないことを確認した後、CD-Rから各パソコンにパッチをインストールする」が抜けているのだ。(実際には動作確認環境の構築とか、いろいろ面倒なことが追加で必要である。)
この項目の漏れを見逃すことはできない。というのは報告書本文で《WindowsUpdateにより脆弱性対策を行った企業は47.0%と約半数であり、十分に対策がとられたとは言い難い》などと書き散らかしているからだ。でも上のような対策をほとんどの企業が採っているかもしれないのだ。その場合、報告書の主張は見当違いになる。なお、あくまで当方の意見だが、この状況で対策としてWindowsUpdateを行ってはならない。インターネットに接続するのが危険な状況で、しかもウィルスの各種影響でトラフィックが増えた状態で、長い時間を要するWindowsUpdateを実施するのは(しかも1台1台独立にMSのサーバーにアクセスにゆくのだ)現実的とは言えない。さらにはWindowsUpdate自身に問題があるわけだから(AMDのCPU搭載機に当てた場合不具合が生ずることをNECが認めている)、これは当該パッチだけを適用することをまず考えねばならない。
とどめとしてこのアンケート調査、企業を相手にしていることを忘れている。企業であれば当然パッチ適用後の動作確認は必要である。そして動作確認が取れたパッチのみを適用することを考えなければならない。もちろん設問と回答が微妙にずれていることも問題だ。感染してしまったMSBlaster、Welchiへの対策を聞いたとき、回答として期待されるのは確実に「ウィルスを駆除し、システムを修復した」である。あまりにもこの回答が多すぎるために、この質問、アンケートをとっても意味がないくらいだ。もし本気で上の選択肢にあるような回答を求めるなら「今後感染を防止するためにとった対策は?」と問わなくてはならない。まあ希には、「OSを再インストールし、データをバックアップから戻した」という対応をとった会社もあるかもしれんが。(こういう「期待される答えを引き出すような質問の仕方を吟味する」というのもシステム屋が苦労してやっていることである。それをやっていないようなアンケートの分析結果として《十分な対策がとられたとは言い難い》と文句を言われてもねえ。)
最後は日本の伝統のクロスカウンター。
この統計、被害実態とWindowsUpdateの実施方法については、会社の規模別に統計を取っている。が、この区分けの仕方がなんとも不自然。1〜29人と30〜99人と100人以上。中企業の小と小企業をやたら細かく分けて中堅企業・大企業は十把一絡げというイメージである。まあこれだけならとやかく言うまい、いろいろ事情があったのだろう。問題は《従業員数が多い企業ほど・・・セキュリティ対策の状況把握と徹底が不十分な現状が伺われた》と分析していることである。さらに悪いことに日経biztechがこれを無批判的に《大企業ほどウィルス対策ができていなかった》とか《大企業ほどセキュリティ対策が不十分である》などと要約している。
はて、この人たちはこんな事を書くと、NTTやトヨタ自動車から文句が出そうだという事を考えなかったのだろうか。大企業ほど問題があると結論づけるならば、せめて一部上場企業と二部、店頭公開、くらいのデータをとって比較しなければねえ、と思う。従業員100人の企業が30人の企業より問題があるから、一部上場企業には問題がある、という論理はどうしても納得しがたい。気持ちは分かる。調査は電話(一部ファクシミリ)でシステム管理部門担当者に尋ねたというのだ。こんな電話がもし自分にかかってきたら間違いなく「うーん。答えないという訳じゃないんだけど、広報を通すよう言われているんだよなあ」と言うだろう。多分広報部門が独立している程度の規模の企業の職員なら、こう答えるんじゃないかな。だからIPAの人たち困ってしまった。企業規模ごとの対策状況を調査しようと思ったのに、中堅企業・大企業から殆ど回答が得られない。仕方なく、小規模企業を分けて上記のような結果とした。
事情はあるとしても、あまりに不誠実でないかい。広報部門が独立していないという事は、システム管理部門もまた独立していない可能性が高い。だったら大したウィルス対策をとっていられるわけがない。例えばインターネットへの接続を一元化して、ファイアーウォールをかませるといった基本的な事すら行っていない可能性が高い。
結果として、IPAのアンケートは、そのような会社に対してのみ行われた可能性が高いのだ。それで「大企業ほどセキュリティ対策が不十分である」なんて結論づけられてもねえ。
もっと露骨に言おう。外部からの電話に対して担当者が「うちはウィルス被害がありました」なんてことを答えてしまうような内部情報管理に疎い会社が、ろくなセキュリティ対策を行っているわけがないではないか。このIPAの報告書、こんなふうに結論づけている。《多数の従業員を抱える企業においては、セキュリティ対策の対象となるPCの台数が増えるに従い、ひとりのシステム管理者が管理を担当する台数が増え、対策の徹底がより難しくなっていると推測される。》
間違いじゃない。たとえ調査しなくても分かるような事であっても調査によって実証する事には意味がある。ところが、今まで述べたような歪んだ統計のとりかたをしたものだから、結びの一句がずれた印象を与えるものになってしまったように見える。
《今後は、特に大企業においては、システム管理者の作業負担を軽減し、脆弱性対策の徹底を促すためのツール等の利用が不可欠だろう》だとさ。でもこっちの結論の方が適当ではないかなあ。「今後は、大企業のみならず中小企業においても、システム管理部署を充実させ、脆弱性対策の徹底を行うことが不可欠だろう。」IPAが今回調査を行った対象は、結局中小企業である。で、中小企業のうちでは小企業よりもやや大規模な企業の方がセキュリティ対策が行き届いていないらしいことが判明した(一応IPAの調査結果を信じている)。
従来であればシステム管理部署が充実してなくても、ウィルスの感染防止くらいはなんとかなった。とりあえず不審な電子メールの添付ファイルを開かないようにということを徹底していればよかったわけだし、ウィルスチェックを自動で定期的に行うのはそんなに難しくない。
ところがMSBlasterはLANにつないだだけで感染する。これらのウィルスの感染を回避するためにはインターネットへの接続を一元化し、ファイアーウォールの設定とかを行わなければならない。また持ち込みPCの社内LANへの接続ができないようにしなければならない。FDやUSBストレージのようなリムーバブルメディアの接続を制限しなければならない。(どうしてもこういう管理をやらなければならなくなったため、ツールを内製してしまった例を知っている。どうやってか知らんがFDDにディスクが刺さっていないことを常時監視しているらしい。私が作るとしょっちゅうドライブが音を立てて実用上問題があったというのに、どうやったんだろう。)
こういったウィルス感染防止策を継続的に行うためにはシステム管理部署の充実が必要である。従来、中小企業については、こういった部署の設置ニーズはそれほど高くはなかったが、従業員全員が見渡せる程度の小規模な会社は別として、今後は必要となってくるということだ。
そういう結論であれば、統計のテクニカルな面での問題はあったにせよ、それくらいは方便として納得してもよかったんだけどな。MSBlasterの記憶が生々しいうちに、システム管理部門の充実を訴えねばならない。そのためには統計手法に多少の問題があっても、とにかく早くレポートすることが重要だという判断は間違っていないと思う。でもこれじゃあね。IPAにウィルス対策の元締めをやらせていいのだろうか、とまで考えてしまう。それはISECのサイトはそれなりに参考にさせていただいておりますが。