雑文発散

«前の日記(2007-09-07) 最新 次の日記(2007-09-09)» 編集
過去の日記

2007-09-08 [長年日記]

[] サーバのバージョン隠しは LifeHack のひとつ

サーバのバージョン隠し以前にやるべき事はいくらでもある」を読んで、yoosee の言っていることには納得している。バージョンを隠そうが隠すまいが、攻撃者は攻撃してくる。嘘のバージョンを書こうが何しようが、総当たりをかけてくるヤツは来る。そういうもんだ。その上で、ちょっと言いたい事が出てきたので書いてみる。

まず、オレの立ち位置は、サービス提供者としてサーバ管理していて、パッチ当てやアクセス制限などは適切に実施している(つもり)という状況。自前でもセキュリティスキャナを使ってチェックを実施したりなど、普段から特に誰から言われんでもセキュリティには気を使っている。

そういった人間が管理しているサービス提供サーバに対しても、クライアントは「安全性確認のために脆弱性診断をさせろ」と要求してくる。クライアント自身がチェック能力を持っている事はあまりないので、セキュリティ診断業者が代わりに診断する事がほとんどである。

また、ISMS やらの第三者認証を持っていたりすると、サービス提供会社内で自己チェックのための脆弱性診断を実施する場合がある。この場合、自社内に診断できる技術者がいても、「オレオレ診断」ではお気に召さない経営者などが、外部のセキュリティ診断業者に診断を頼んだりすることがある。

バージョン隠しをする意味

そして、セキュリティ診断業者の世界では「サーババージョンを隠していないのは脆弱点」というのが常識のようなのだ。これまで複数の業者の診断内容を見た事があるのだが、チェック項目として大抵は入っていた。

サービス提供サーバでバージョン隠しをしていなかった場合には、クライアントまたは経営者に「このサーバには脆弱点があります」という報告が上がることになる。報告が上がると、最終的にはサーバ管理者であるオレに「脆弱点があるぞ、なんとかしろ」という指示が来る。

この場合、「いや、バージョン番号は古くても、ちゃんとパッチ当ててます」という説明をすることになるのだが、そもそも技術についての知識がない相手にその説明をするのには非常に時間を要する。時間を使って納得してもらえれば良いのだが、「難しいことは分からない。専門家(の業者)がそう言っているのだから、とにかく直せ」という結果になることもある。

適切に脆弱点の管理をしている場合、この説明に必要なパワーは全くの無駄だ。

「効率良く仕事をこなし、高い生産性を上げ、人生のクオリティを高めるための工夫」というのが LifeHack の定義(はてなダイアリーキーワードより)ならば、サーバのバージョン隠しはオレにとっての LifeHack に他ならない。