第1回北海道情報セキュリティ勉強会に参加しました

第1回北海道情報セキュリティ勉強会(通称せきゅぽろ)へ参加してきました。

今回は第一回ということもあって、がっちりセキュリティというよりは、セキュリティ周辺事情といったノリでしたが、参加費1000円にもかかわらず、50人弱の参加者が集まり、期待の高さを伺わせました。

サイボウズの竹迫さんや、まっちゃだいふくさんのトークは会場を沸かせましたが、もっと突っ込んだ話を聞きたかった人も多かったはず。

東京と比べて札幌は保守要員より開発者が多いらしいので、(勝手に)開発者を代表して、次回聞きたいことをまとめます。

ちなみにおいらサーバも立てれるプログラマ、という立ち位置なので、ちゃんとしたセキュリティの知識があるわけではありません。的外れだったら突っ込みよろしくお願いします。

実践的なセキュリティ対策の要点

まず、実践的なセキュリティ対策の要点って大きく分けると以下の5つなのかなぁって(勝手に)思った。

1. 不要なサービスやデーモンを停止する
2. 色々なログを取り警報を出す
3. セキュリティスキャナで既存のシステムをチェックする
4. (ログやスキャナやニュースなどで)見つかった穴を埋める
5. 定期的にバックアップ

で、この5つが正しいと仮定すると、ある程度の所までは定型パターンに落とし込める気がした。

たとえば、RedHatをPHPとMySQLを動かすWebサーバにするならば、デフォルトで起動している○○と××デーモンは不要(1)で、my.confで△△の設定はOnにしてバイナリログやスロークエリーログなどを有効(2)にし、snortやswatchなどの網を張る(2)。その上で完成したシステムに○○スキャナや××攻撃を仕掛けることよってセキュリティをチェック(3)し、見つかったセキュリティホールの原因がデーモンならばパッケージシステムのアップデートやパッチを(4)、構築したアプリケーションが原因ならばその是正措置をとり(4)、ありかじめ打ち合わせ済みのリスクを担保できるよう、LVMでスナップショットを取って丸ごとバックアップするシステムを構築の後テストする(5)。みたいな。

実際はもっともっと細かいんだろうけど、それでもチュートリアル風に落とし込むことは可能で、それだけでそこそこセキュリティは保たれる気がする。しかもここまでの流れって、費用対効果的には抜群なんじゃないかな。ちゃんと出来てない人いると思うし。

もしこれが可能ならば、ぜひ勉強会で共有したいなぁ。

無料でどこまで現実的な対策が出来るか? その閾値は?

おいらのように、1件数百万の仕事をしている人だと、セキュリティ専用のプロプライエタリ製品まで予算が回らない。

じゃあ何もしないとかというと、オープンソースモノである程度まではいけるんじゃないかと。

上の例が既にそうなんだけど、(あまりガチガチにして運用が大変になるようなものは除外して)オープンソース同士の組み合わせでどこまでの事が出来て、「どういうケースだと、プロプライエタリ製品を使うことで、どこまでの問題がクリアされるか」っていうあたりがノウハウになる気がするので、こういった事例を共有できればいいなぁ。

プロプライエタリ製品が嫌いって事じゃあないんだけど、それがなきゃ何も出来ない訳じゃあないだろうし、費用対効果的に、プロプライエタリ製品を使うべき閾値を共有したいだけなんだけど。

システムの性格による使い分け

お金を扱うシステムなのかとか、保守要員は居るかとか、そもそも保守に当てる金はもらってるのか、などなど扱うシステムによってどこまでセキュリティを確保するか異なってくる気がする。

先のチュートリアルにしても、

• やっべぇので手間を惜しまずガチガチセキュリティ重視
• 完全自立でヤバイときだけ教えてくださいな運用手間重視
• 結局は壊れたときに直せれば良いんでしょなバックアップ重視
• 自社システムなのでリスクは許容するけれどな予算重視

とか、現実的に採用可能な方針ってのは複数ある気がする。

新しい製品やサービスによって今までの世界観が覆るようなもの

たとえば、バックアップシステムなら、深夜にシステムを止めてサーバ毎に接続してあるオートローダのテープにバックアップするんじゃなくて、LVMでスナップショット取ってAmazonS3に転送しちゃうとかね。

保管場所や帯域が許せるなら、AmazonS3は安価なシステムのバックアップ先としてかなり有望だと思うんだ。

で、こういった選択肢に含まれるような製品やサービスの情報を共有できればいいなぁとか。

対象システムによって開催日を分けるとか

そもそも、WindowsなのかLinuxなのかで実際の対策は大きく違ってくる気がするので、概念的な話だけする日、主にLinux関係の話をする日、主にWindows関係の話をする日に分けてもらった方が良い気がする。

個人的には、Windowsを使ったシステムを構築するつもりはないので、Windowsの話ならば参加しないと思う。

そんなこんなで、今後のせきゅぽろに期待!!