写真●アルファシステムズの前田大輔氏
写真●アルファシステムズの前田大輔氏

 通信システムのソフト開発などを手掛けるアルファシステムズは,ぜい弱性の検査にフリーの「Nessus」と米マイクロソフトの「MBSA」を併用している。Nessusは主にUNIXマシン用,MBSAはWindowsマシン用だ。

 元々同社は,Nessusをベースにして社内用のぜい弱性検査システムを独自に構築,利用していた。本来ならNessusをそのまま使うだけでぜい弱性を検査できるが,アルファシステムズではエンドユーザーが自主的にサーバーやクライアント・パソコンを検査できるように手を加えた。具体的には,イントラネットの機能の一つとしてWebベースでぜい弱性検査のサービスを提供する仕組みである。

 「情報システム部門でまとめて検査した場合,マシンのレスポンスが急に遅くなってユーザーがびっくりする可能性があるほか,疑似攻撃を試みると最悪の場合にはダウンしてしまう危険性がある」(経営企画本部技術推進部第一システム研究課の前田大輔係長)。そこで,エンドユーザーが個々に検査できる仕組みを考えた。「新しくマシンを導入する際に必ず検査してもらっている。それ以外にも最低半年に1回は検査するように指示している」(同)という。

 検査手順は以下のようになる(図1)。ユーザーはまずブラウザで同システムにアクセスし,メール・アドレスや検査対象マシンのIPアドレスなどを入力する。あとはボタンを押すだけで検査を実行し,診断結果を表示する。ユーザーはその内容を見て対策を施す。

図1●アルファシステムズが開発したセキュリティ診断システム
図1●アルファシステムズが開発したセキュリティ診断システム
Webブラウザでアクセスして検査対象のIPアドレスなどを入力すると,Nessusでぜい弱性の有無を検査して診断結果を表示する。 [画像のクリックで拡大表示]

 Nessusの問題は,診断結果が英語で表示されること。一部は日本語に翻訳して表示しているほか,内容が複雑で問い合わせが多いものはFAQを作成して対処している。それでも,エンドユーザーにとっては使い勝手が今ひとつな面は否めない。このため,Windowsマシンに関しては診断結果を日本語で表示してくれるMBSAを使うようにした。

URL:http://www.nessus.org/
ライセンス:3.xはフリー,2.xはGNU GPL
動作OS:UNIX,Windows
出典:日経コミュニケーション 2007年9月1日号 72ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。