Scribble at 2023-01-08 08:32:45 Last modified: 2023-01-08 09:24:40

アメリカで2015年から2019年にかけて放映されていた『MR ROBOT』というサイコ・スリラー（クラッカーが主人公だが、IT業界関連のドラマではない）で主人公が愛用していたという設定から、"Kali Linux has gained a lot of popularity recently. And there’s a reason for that. Hacking is back as the cool thing to do in popular culture and this can be attributed significantly to the TV series Mr. Robot." (https://itsfoss.com/kali-linux-review/, 2020) というわけで、海外にもたくさんいる wannabe hackers や young coding-monkeys といったお子様たちが憧れるツールとして話題になったわけである。

既にご承知のとおり、当サイトでも導入部だけだが記事としてご紹介したことがあるし、制作も公開も保留にしているが Kali Linux 関連の解説書（Creative Commons によって自由に翻訳できる著作物）から ISMS に関わる原則的な内容を解説した１章を記事として用意していたこともある。でも、やはり止めた。

もっとも明解な理由は、誰かが読んでもらえば役に立つかもしれないと期待して公開する必要がないからだ。単純な理屈だが、Kali Linux が有効で安全だと自分で検証できる人なら、Linux のカーネルを自力でコンパイルできるし、必要なアプリケーションも知っている筈だという、身も蓋もない事実があるからだ。そもそも、Kali Linux はペネトレーション・テストのために設計されたディストリビューションであり、どちらかと言えば本質はカーネルよりもアプリケーションの一式にある。素人には、テストに使えるツールの情報や経験が不足しているため、あらかじめリポジトリとしてパッケージを集めてもらえると便利には違いない。でも、そんな必要があるのは素人だけだ。しかし、素人がペネトレーション・テストなどできないし、その動機もない筈である。よって、Kali Linux はソフトウェアの設計としてはまともだと思うが、プロダクトとしては本末転倒という他にない。プロにとっては不要なものだし、素人にとってはなおさら無関係であるから、Kali Linux がマッチするユーザは wannabe、日本で言えば『Hacker Japan』みたいなインチキ雑誌を読んでいたとか、Gigazine みたいなサイトを見て、「ハッカー」を目指している初心なよい子たちだろう。つまりは教材としての価値ならあるが、教材として使う必要があったり予備知識がある人なんて殆どいない筈である。

もちろん、"Kali" というヒンズー教の神様の名前を使っているからといって、ユーザの大半がインド人の下請けエンジニアや学生だというわけでもないだろう。でも、ペネトレーション・テストのオフショアを受託している大半の企業がインドにあるなら、皮肉なことだが実態としてはそれに近いと思う。いずれにしても用途やユーザは限られている筈であり、これだけ話題となったりユーザが増えている理由には妥当性がないと思う。ただ、個々のツールについては、確かに Kali Linux が提供するツール一式に選定されているという事実は参考にしてよい筈だから、もちろん教育的な価値はあろう。それに、Kali Linux を使う事情、つまり情報セキュリティ・マネジメントという脈絡の解説は広く知られて良い筈である。よって、僕が途中まで翻訳していた文章は原則の話をしていて賞味期限が短いわけでもないため、再び手を入れる可能性もある。ただ、それは Kali Linux の紹介という目的ではなく、逆に Kali Linux の本で展開されているセキュリティ・ポリシーの話題を紹介するためという事情で続行することになるだろう。

そういえば、何年か前には FreeBSD のセキュリティに関連するパッケージを紹介していたこともあったので、これを再開してもいい。ただし、僕が好きというだけで FreeBSD のツールを紹介するのか、それとも自宅で動いている Raspberry Pi（Debian）のツールを紹介した方がいいのか、あるいは両者に共通するツールを選んだ方がいいのかは、思案のしどころである。FreeBSD だと、Raspberry Pi Zero W に入らない（厳密には FreeBSD のイメージは公開されているけれど、肝心の Wi-Fi ドライバが対応していないという致命的な不足があるので使えない）という残念な事実があるので、手軽に導入するなら仮想化ツールをインストールしてゲスト OS を使わないといけないのだけれど、正直なところ僕は仮想化のツールを使うのが生理的に嫌だ。仮想化のホストに合わせてアプライアンスを開発しているという特殊な事情ゆえに、どうにもゲスト OS には「インチキOS」という印象が拭えないので、FreeBSD を選ぶなら専用のマシンを用意したい。もちろん Raspberry Pi のように数千円で手に入るマイクロ・ボードがあればだが。Raspberry Pi 4 の Model B といった高価なボードなら入るようなので、5,000円までの値段なら考慮したい。

なお、上記では「プロなら Kali Linux の検証ができるから使う必要はない」という趣旨のことを書いたが、もちろん検証して使えるなら使ってもいいわけで、別に知らなくてもいい（ページを作って紹介しなくてもいい）という理由にはならない。書道家が筆に詳しいからといって、筆を自作しなくてはいけないというわけではないのと同じだ。でも、こういうことについても SPOF という原則が通用するのであり、一元的なソースをもとにするというアイデアは、一方で標準化による効率の向上が見込める利点はあるものの、その標準に仕様バグがあった場合の影響が大きく（業界標準は改訂に時間がかかるので）長期に渡るという潜在的なデメリットもある。そして、情報セキュリティに関してはマネジメントやポリシーについては標準化に利点があると考えるエンジニアは多いわけだが、OS やツールを標準化することには潜在的なデメリットの方が大きいと考えるエンジニアも多いのである。

ただ、そうは言っても検査ツールを何から何まで自分で開発するのは、これまた無駄な車輪の再発明になるわけであって、そこは或る程度の量で「目」が確保されているオープン・ソースのツールを使って、そこに何か不正なコードが仕込まれていても、(1) 誰かがすぐに発見すると期待できるか、(2) コードの影響が深刻ではないと期待できる場合には頼ってもいいと判断できるわけである。まぁ、そんな判断を全てのツールについて、情報セキュリティの「ホワイト・ハッカー」とやらが丁寧にやってるのかどうかは知らんがね。