気ままな日記

気に入った出来事があると、すぐにアップする防備録のようなもの

セキュリティねた 2個(4/9 XP サポート終了 & 4/10 OpenSSL 破壊発覚)

XP および Offuce 2003 のメーカーサポート終了(4/8)はもう 1年以上も前からいろんな

メディア(マスコミ、IT業界、出版界、経済誌、インターネットサイト)が啓蒙を続けて

おりました。

 

個人資産の範囲では、XP 導入 PC を退役させて Windows 7 以降に置き換えましたが、

やはり企業、官公庁等でXP のままの PC が 16% 程度残っていると報じられている。

 

その騒ぎの最中、日本マイクロソフト社有志の方で立ち上げたセキュリティサイトの

担当の方が、2014年 2月に XPのパッチの最後の提供時期(4/9 日本時間)と今後の対応

方策について誠意をもって説明されていたようです。公開された文章を拝見し、

とても素晴らしいと感銘を受けておりました。

http://blogs.technet.com/b/jpsecurity/archive/2013/10/31/3607203.aspx

 

4/9 に最後のセキュリティパッチが XP にも適用されたので、今直に Windows 7

移行する必要はあえてなく、5月GW以降に対応すればいいとの判断ができる(注)

 

(注) バッチが継続して提供される Windows Vista 以上の OS と XP とは現時点では

同じセキュリティレベルを維持している。他ベンダーソフト(ウィルス対策ソフト、

Adobe ReaderAdobe Flash Player、Oracle JAVAFirefoxGoogle Chrome)は

1年ほどはサポートを続けると表明している。実際セキュリティレベルに差がつく

のは 5/14以降(日本時間)

 

それに引換え、OpneSSL の実装のバグ(Heartbeat拡張の実装の脆弱性、1年以上放置)

については、正確に脆弱性の情報を理解している人たちはいるのかとても疑問に

思う。(特に購入担当者、基本お金しか考えていないからねぇ~)

 

1.対応が必要なバージョン:OpenSSL 1.0.1/1.0.2系、これ以前のものは対応不要。

    Heartbeat 拡張を実装している、SSL通信サーバ(Apache)、SSL対応負荷分散装置。

    また、他ベンダー(F5、CiscoVMWareRedHat、Juniper、Android) にも組込み

 されているので脆弱性を抱えるバージョンを確認する必要あり。

2.対応策

    (1) 最新の OpneSSL を更新する。サービスの再起動(kill -HUP) でOK なはず。

 (2) Heartbeat 拡張を実装を解除して、OpenSSL をリコンパイル

          サービスの再起動(kill -HUP) でOK なはず。

3.作業コスト(支出計上、作業コスト)

   (1) 対応が必要な機器の抽出、ベンダー機器までのOpenSSL バージョンの確認

   (2) 2,対応策を決定し、手順書を作成、実装

   (3) 第三者SSL証明書の再購入、秘密鍵を再作成、実装で工数が変動する。

4.サーバの停止調整:ステークホルダーが多いほど調整が難しくなる。

 上位者ほど ITスキルは難解と感じるだろう。サイト停止中の損失額は把握できる

 が、作業放置した場合の損失については職制範囲外になるので結局判断できない。

 おそらく経営陣の判断になるはず。ここの意思決定が遅くなるだけ影響が大きい。

 

この背景には、サーバの Linux 化の影響が大きいはず。SolarisAIX 等のメーカー

提供OS から 移行を促進したくなるほど初期コストに差がでる。サービス機能で

購入選択していないことがよくわかる。

 

しかも、稼働停止を避けるため、停止が必要ないソリューションを選んでしまう。

今後もRHL が Windows 化していくので、結局セキュリティ対策のため維持コスト

がかさむ。