セキュリティは誰のために

セキュリティは誰のために

2015年2月6日
 

セキュリティは誰のために

 

株式会社アイ・エフ・ティ
監査役
小川 貴史

 

 僕はスマホやPCからインターネット上のサービスを日常的に使い、当たり前のモノとして利用しています。
普段は意識してないものの、それぞれのサービス提供企業は脆弱性対応やインシデント対応等に苦労されていると思います。
特にOpenSSLなどインフラの根幹を支える仕組みに脆弱性が発見された時、影響範囲の広さから対応自体に多くの検討を重ねていることでしょう。

 ちょっと長いですが、1ユーザとしてその"対応"結果の体験をお伝えしたいと思います。

 10月某日23時45分頃、駅前でいつもの様に青を緑に変えるゲームをしていると、妻からの電話。

『今日は早く帰ってきてって言ったのにどこにいるの?』
「(すっかり忘れてた!)ごめん、今地元駅に居るから急いで帰るよ」
『もう後10分で日付変わっちゃう!今日中に写真買わないと値段上がっちゃうのに!』

 子供が通う幼稚園の行事の写真は、写真販売サイトからのみ購入可能で、その日が掲載の最終日でした。
後日再掲載される際に100円から120円に値上げされる仕組みで、今回は100枚近く購入するかもと聞いていたので2000円の値上げになるかも。
なんとしても日付が変わる前に購入処理を終わらせたい所ですが…
通話しながら時間を確認、早足で家に向かいます。

『もう写真に付ける日付とかイベント名は編集しておいたから』

ありがたい事に面倒な作業は全て終えて、もう後は【購入】ボタンを押すだけのようでした。

『カートから購入ボタンを押すとエラー画面になるの!何とかして!』

「え?」

不測の事態にランニングに切り替えて電話対応を続けます。

「えっと、ブラウザの再起動とかしてみた?」
『"IE"は何度も再起動してみたけど、久しぶりに立ち上げたせいでWindowsアップデートの通知が出てるからPC再起動したら間に合わなくなる。』

妻は元SEなだけあって、できる事はやってみていたようでした。
聞いた事象から考えると【カート画面】→【決済画面】の遷移ができていない。妻に確認するとカート画面はhttpでした。

「他のブラウザで試してみた?」
『私のアカウントにはIEしかない。PCはシャットダウンできない。』
怒ったように声を荒立てる妻に、
「大丈夫、今時のOSはユーザの切り替えができるから。」
「俺のアカウントに切り替えてFirefoxかChromeを試してみて。」
『どれがどれだか判らない。』
「…じゃぁオレンジのグルグルをクリックして。」
と指示を出します。そこから暫し無言で…
『…買えた。』
「良かった!」
これで解放される、と弾む息を堪え徒歩に戻して呼吸を整えていると、
『帰ってきたらなんでこんなことになったのか調べて。』
「え、あ、はい。」

確かにこんな事が再発したら困るので、帰宅後、まだ乱れた呼吸のままリビングのTVに繋げたPCの前に座り調査開始。
http→httpsへの遷移ができず、最新の他のブラウザでは無事に遷移ができたことからSSL周りが怪しいと当りをつけてIEの設定を確認。
予想通り、SSLv3のみにチェックが入りTLS1.0/1.1はチェックが入ってない(無効)という状態でした。
SSLv3を無効、TLSを有効にして再度写真販売サイトにアクセスをしてみると、無事にIEでも決済画面が表示されます。
妻にサーバ側の脆弱性対応でデフォルト設定では接続できなくなっていた旨を説明するも、犬がどうしたの?SSL使ってますって書いてあるのにSSLじゃダメとかどうして?と質問攻めにあい、結局「もう大丈夫だから、安心して。」と言い残してその日は難を逃れました。

この時のドタバタは

 1. SSLの脆弱性対策でサーバ側がSSLv3を使わなくした。
 2. VistaのIEの初期設定がSSLv3のみが有効になっていた

という組合せで起きた事象でしたが、

3. SSLv3が使えなくなる旨とその対処方法がそのサイトには一目でわかる場所に無かった

という点も事態を混乱させた要因かと思います。

推測でしか無いですが、インフラ側とコンテンツ側で連携がうまく取れていなかったのかなと考えています。
・インフラ側としては脆弱性対策としてSSLv3を早く無効にしたかった。
・コンテンツ(開発)側としてはSSLv3が無効になっても最新のブラウザでは問題が出ない為改修等はしていない。
・ユーザに変更を伝えるのは「更新履歴」のみというルールが(恐らく)あった。結果として現役ギリギリのOS標準ブラウザでのhttpsが使えなくなってしまったのだろうと。

家族の共有PCの買い換えはタイミングが難しく、VISTAはまだ現役、たまに使うだけなら動作的にも問題はない。
このような微妙に古いマシンが使われている例は我が家だけではないと思います。

古いOSやブラウザを切捨てる対応をしなくてはならない場面は少なからずあると思いますが、その際に「サービスの安定提供」という点をセキュリティ担当者と運用担当者、開発者の間で検討する必要があります。
セキュリティ対策もインフラ増強も全て「提供している"サービス"を顧客が安心していつでも使える状態にする」為に行うものだという考えからです。
僕もサービス提供側のひとりとして、何のためにサービスをしていて、誰のためのセキュリティなのか、という本質を見失わないようにしたいものです。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。