2018年07月13日 に初出の投稿

Last modified: 2018-07-17 12:25:10

こちらは大学関係者もご覧いただいている可能性があるので、僕の本業である情報セキュリティ・マネジメントやシステム開発に関して大学のサイトの脆弱性について書いておきたい。大学のサーバや CMS というものは、本当に昔から杜撰だし脆弱だし愚かな運用をしている。学生に LISP とか Scheme とか Java とかリスクマネジメントを教えられる見識はあるのだろうが、大学のサーバ管理者やサイト運用者(しかも大学教員がやってたりする)は情報セキュリティやアプリケーション・アーキテクチャ設計やコーディングやテストや非機能要件全般については全くの素人レベルだ。今回は、僕の母校の一つでリスクマネジメントを教えている学部のサイトをリニューアルしているのだが、CMS は Movable Type を使ったり WordPress を使ったり一貫性がなく、それらの管理者用アクセス情報は子供が書いた攻撃プログラムで1分に1個ずつブルートフォースしても突破されるのではないかと思うほどの馬鹿げたパスワードを設定している。

今回、情報セキュリティとリスクマネジメントとシステム開発と個人情報保護を全てナショナルクライアント案件のレベルでやってるプロが(しかも使いやすくて安全に)構築してやるから、世の中には大学教員の知る限度を軽く凌駕する技術や知識や経験という領域があることを思い知るがいい。

それにしても 7/19 に一部を公開するというのに、まだサーバの情報すら全く分からないとは恐れ入る。FTP 情報だけでもあれば、WordPress を新しくインストールして、公開用のコンテンツのテーマファイルだけでも準備できるのだが、さてはて、あと二日でそんなことができる・・・できるに決まってるだろ。関西でも広告代理店に名前が知られてるくらいの開発者(デザイナーやイラストレータはともかく、プログラマとして広告代理店に知られている人は、そう多くない)が実装するんだから。

[2018-07-17] とかなんとか書いてはみたが、さてサーバの情報をもらって二日で1ページだけの作業だと思ったら、どういうサーバを使ってるのか(レンタルサーバ化、データセンターのハウジングか、クラウドか、あるいは大学内に建ててるのか)すら情報が開示されず、しかもなんと、大学の外からは ssh も ftp もアクセスが許可されていないという。ということで、いちいち納品物としてサーバの管理者にファイルを渡してアップロードしてもらうという、これまたなんと面倒な手続きでサイトを更新することになるようだ。もちろん、WordPress のインストールは、てめーでサーバを大事に酷くしているサーバ担当者の責任でインストールしてもらうことになるだろう。テーマファイルは、WordPress の管理者ユーザがディレクトリに対して書きこみ権限を持っていればいいのだが、FTP アカウントを入力して更新するわけにはいかないのだろうから、httpd などウェブサーバの権限で書き込み権限を付けなくてはいけない・・・そっちの方が危険だと思うが、外部アクセスを閉めたらいいというセキュリティ劇場で踊っているサーバ管理者を説得するのは我々の仕事ではない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook