2004年3月11日で、DMZに接続されている機器の総数は164台となった。2004年度
における機器の登録状況およびアクセス許可申請件数を図 ![[*]](file:/usr/share/latex2html/icons/crossref.png){kind=icon}
に示した。
DMZネットワーククラスタへの申請では、他のネットワーククラスタへの申請と
異なり、接続する機器のOSの種類を記入することが義務付けられている。この記
入事項をもとにしたDMZネットワーククラスタの機器のOS別の割合を
図 に示した。
ファイアウォールにおける、機構外部からDMZのユーザ機器に対するアクセスポ
リシー設定状況を表 に示した。
2)DMZ機器の脆弱性診断
2003年度は、2004年の2月から3月にかけDMZホストのセキュリティ向上のため に、外部の業者による脆弱性診断を実施した。脆弱性診断は、セキュリティホー ルとなり得るネットワークサービスを調査、提示する診断であるが、擬似攻撃を 主とする侵入テストとは趣を異にする。脆弱性診断の侵入テストに対する利点は、 「診断時にサービスのバージョンなどを拠り所にするといった工夫により、ネッ トワークやホストへの負荷を少なくできる」ことにある。しかし、種々多様なポ リシで運用する各DMZホストに対して一括して外部より脆弱性診断を行うのは、 次に述べるような運用上の問題が出ることが2003年度の実施の結果判明した。
脆弱性診断では、各ディストリビューションが出しているマイナーパッチ (例: RedHat Linux における、Apache 1.3.27-XX) を捉えることが技術的に不可能な ため、診断結果が不完全になるケースが少なくない。そのため、診断結果として 出た脆弱性をそのまま結論として用いるのは適さないケースがある。その結果、 ホストを適切に運用しているDMZユーザからレポートに対する不満が出る一方、 本当に脆弱性を持つホストに対する措置を適切に行えなかった。
以上の反省点を踏まえ、2004年度には、別の形態の脆弱性診断システム nCircle IP360 (以下、nCircle)を導入し試験運用を開始した。nCircle は、ユーザが任 意の回数診断可能なライセンス体系を取っている。従って、ユーザには何度でも 診断を実施してもらい、セキュリティを改善し、改善された結果をセキュリティ 管理部会に提出すれば良いという運用方針をとれる。診断結果が妥当でないとユー ザが判断する場合、その根拠となる資料を提示できるようにする。その代わり、 一定期間内に脆弱性レポートへの適切な対処がなされなかった場合は、セキュリ ティ管理部会の判断のもと、ホストへのDMZネットワーク提供を停止する措置も とりうるようにする。このような運用により、2003年度の反省を踏まえた、より 良い脆弱性診断サービスを提供できると考えている。
上記運用方針案は、2005年2月25日のセキュリティ管理部会で了承された。2005 年3月11日に第2回DMZユーザ会で、利用者へ運用方針案の説明を行った。ユーザ 会の参加者は19名だった。