2019年02月12日に初出の投稿

Last modified: 2019-02-14

さて三日ぶりに仕事だ。

僕は自宅では ChatWork や Salesforce やデスクネッツにはアクセスしないことにしているし、アクセスしろと仄めかされた経験や、アクセスするのが当然であるかのようなブラックな牽制も、当社にはない。自分のやってる仕事を卑下するわけではないが、ウェブの制作や運用なんてアメリカの CIA や我が国の自衛隊じゃあるまいし、対応がいかほどか遅れた程度で人が死ぬようなことでもなかろう。通信システムや機械が 24/7/365 でも生身の人間にそんな対応なんてできないし、会社としても、それが交代制でサポートするべきサービスの主軸でもない限り、クライアントに「サービス」と称して安易にプロアクティブ対応するべきではない。企業の役職者として断言しておくが、そんなことで感謝したり仕事を回してくれる客なんて、実は古今東西を見渡しても殆ど存在しないのだ。

もちろん、僕の主業務である情報セキュリティは、常に社員のパソコンやウェブサイトが攻撃されるという脅威にさらされているわけだが、実務家として明言させていただくと、広告代理店のキャンペーン案件ていどの予算、それから我々バックオフィスの権限で防御できるセキュリティレベルなど高くはない。おそらく、たいていの上場企業がやってるキャンペーンサイトなんて、いまではヘテムルを始めとする安物のレンタルサーバで運用しているわけだから、プロとしてペネトレーション・テストやセキュリティ監査に従事している人間なら突破しうるレベルだろう。

たとえば、SAKURA インターネットの共用レンタルサーバは WinSCP のようなソフトウェアでウェブサーバにアクセスすると、サーバを共用している他社のアカウントを含めてすべての契約アカウントのホーム・ディレクトリが並んだ階層まで上がれてしまうという問題があって、これは SAKURA インターネットでは何年も前から対応する必要がないという立場だった。しかし、Aguse のようなサービスを使えば攻撃対象のドメインがホストされているサーバの IP アドレスや他に契約しているアカウントが運用しているドメインを特定できるため、ウェブサーバを共用しているサイトのどれか一つを攻撃できれば、目当てのサイトのホームディレクトリの名前を突き止められる可能性がある。各契約アカウントのパーミッション管理を過信しすぎていると思う。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook