意識をもってシステムを使う【新人エンジニアに役立ちそうなTips】

はじめに

エンジニアとして仕事を進めていくにあたって、様々な情報システムを使用したり、インターネット上に存在するサービスを利用することは多くあります。しかし、それらに関連する攻撃や、利用に際しての問題点が見受けられます。このような問題の中には、システムやサービスの利用者による注意によって回避できるものがあります。本稿ではその例と、対策として意識すべきことをいくつかご紹介します。ご自身の業務の参考となれば幸いです。

攻撃は正面から来るとは限らない

昨今ではクラウドサービスを用いる場面は一般的かと思います。自組織内でホストを構築するよりも早く環境を作れることも多く、便利な側面はありますが、注意が必要な面もあります。細かい注意点はご利用のサービスごとに異なると思われますが、インターネットを介して利用するサービスは、ご自身ではない、悪意ある人間からの到達が可能です。そのため、適切なアクセス権を設定することが必要です。

このアクセス権は、ホストが受け得る攻撃を想定して設定する必要があります。例えばVPS上で、Webブラウザを介して利用するサービスを構築するとします。Webサーバが動作する環境ですので、HTTPデーモンやアプリケーションにおいて、接続元を制限することが、対策の一つとして挙げられます。これは対策としては有効ですが、ホストに対するSSHなどによるリモートアクセスができたり、アプリケーションが使用するデータベースに接続できたりすることがあるため、HTTP・HTTPSを守るだけでは不十分です（図1）。そのホストで動作している機能を把握し、それぞれを適切に保護するようにしてください。

ここではクラウドサービスを挙げましたが、自組織の設備にホストを構築する場合でも、同様のことが言えます。ホストで動作しているサービスを正しく把握するためには、各サービスがどのように動いているのか、理解することが必要です。攻撃は設計者が想定した通りの経路で来るとは限りません。何となく、で動かしてしまうと問題に気付かないことがありますので、ご自身が動作させているサービスを構成する要素や設定を理解した上で、動作させることを心掛けてください。

自分の情報は自分から漏えいするとは限らない

情報漏えいに関するニュースは毎日のように見かけます。悪意のある人間が情報を窃取する方法の1つとしてフィッシングメールが挙げられます。フィッシングメールは各種サービス、税金、金融系などを模した偽メールを用いて個人情報を入力させる手法で、使用されるテーマはその時々で異なります。ここ最近は、筆者は社内の人事評価などを題材としたフィッシングメールを多く受け取っており、テーマは多岐にわたります。

新人として会社のメールアドレスを割り当てられた直後は、そのアカウントはインターネット上に存在して間もないため、他者に存在を知られていない状態となります。そのため、最初の頃は届いたメールがフィッシングであることは少なく、本物のメールであることが多いかもしれません。しかし、自身が気を付けていても情報が漏えいし、悪意あるメールの標的となる場合があります。そのような状況の例として、自身の情報を持つ、他者から情報が漏えいした場合が挙げられます。

悪意ある人間が攻撃対象のシステムに侵入すると、そのシステム上に存在する様々な情報を窃取します。それが個人端末であれば端末上に存在するメール、ファイル、保存されたパスワードなどであり、サーバであればデータベースなどが含まれます。これらに情報が含まれていた場合は悪用され、フィッシングメールなどを送付する宛先として使用されることがあります。ちなみに筆者もあるWebサービスから情報が窃取され、そこに含まれていた情報がインターネット上で公開されて以来、フィッシングメールを多く受け取るようになりました。

一度フィッシングメールを受け取るようになると、基本的に止まることはありません。「自身が気を付けていても攻撃の対象にはなり得る」ということを意識し、メールが本物であるかどうかを確認するようにしてください。本物であるかどうかが分からないメールは自身で解決しようとせず、周囲と会話するなどして対応を決めるようにしてください。

ここまではフィッシングを例としましたが、攻撃の有無に関わらず、第三者が情報を漏えいしてしまうことは他にもあります。例えば誤って非公開であるはずのシステムに外部から到達可能となっていた場合、その情報が第三者に収集されてしまうことがあります。またSNSなどで、投稿者は限られたコミュニティのみが見える想定で投稿したものを、他人が広く公開してしまうような事象も、攻撃を伴わない情報漏えいの例として挙げられます。ご自身の情報をご自身でコントロールし切れるとは限らない、と意識しておくと良いかもしれません。

非公開でも個人に閉じるとは限らない

Webサービスの中にはご自身が持つファイルをアップロードしたり、文章を入力したりすることで、その内容を調査・加工したり、新しいファイルを作成したりするものがあります。このようなサービスは有用ですが、アップロードしたコンテンツのその後の処理はサービスごとに異なっており、意図しない結果を生むことがありますので、注意が必要です。

例えばサービスによっては、ユーザがアップロードしたファイルを別のユーザがダウンロードすることができる場合があります。そのようなサービスの中には、通常ではダウンロードできるように見えず、有償の契約を持つアカウントのみがダウンロードできるような場合もあります。また、広く公開されなくても、サービスの管理者はそのコンテンツにアクセスすることが可能です。このようなサービスに自社の機密情報などをアップロードすると問題となることがありますので、使用する場合は自社のポリシーなどを確認した上でご使用ください。

このようなサービスに一度コンテンツを配置すると、基本的には削除はできません。サービスによっては問い合わせ窓口を設けており、そこから削除を依頼できる場合があります。しかし、必ず対応されるとは限りませんし、削除されるまではコンテンツが公開された状態となります。中には情報の共有を促進すべきとして、一度アップロードされた情報は削除しないことをポリシーとするサービスもあります。初めからインターネット全体に公開されるサービスは元より、プライベートに見えるサービスも本当にそうであるとは限りません。ご自身がサービスなどに入力するコンテンツが適切であるか、常に意識するようにしてください。

まとめ

ここで挙げた話題では、いずれも「心掛け」や「意識」について触れています。セキュリティの機構は色々ありますが、それでも事案が発生してしまうことはあります。そのような事案には、ユーザを騙したり、誤操作を誘発したりして発生するものがあります。何となく、ではなく、その動作により得られる結果を想定しながら作業すると、事案の回避に役立つかもしれません。

インターネット上に存在するシステムやサービスは便利ですが、一方で利用者側の意識が必要なものも多くあります。「何となく」ではなく、その操作によってどのような結果が生じ得るかを想定しながら作業することで、事案の回避につながる可能性があります。