TOPに戻る
鬱るんです
躁鬱病のITエンジニア「はまー」が心と体の模様を記した雑記帳。 大手IT企業で心身ともにぼろぼろになり退職した後、ほそぼそと働いたり事業を立ち上げようとして頓挫したり、作業所に通ったり障害者雇用で働いたりと紆余曲折したが、今は無職な毎日。

日別アーカイブ:2007年9月14日

今日も9時前に会社に到着。職場に一番乗り、かと思えば庶務の子が先に来ていた。さっそく昨日の夜に調べかけていたことの続きをする。

しかし、なかなかはかどらない。と言うか、情報が少ない。英語の文献を読みあさって、なんとか1つ問題をつぶした。しかし、まだまだ何10個も同じような問題がある。

何をやっているかというと、IDSが検知する不正アクセスのalertがあまりにも多く、結局ちゃんと調べきれてないという問題に直面している。それを何とかしようとしているのだ。

おそらくほとんどの攻撃が失敗しているか、フォールスポジティブ(誤検知)なのだろうが、数が多くて調べきれない。まずは誤検知なのかどうか判断しようとしても、alertを発生したSignatureのruleの文法がわからない。今日やっと英語のサイトで見つけたよ。

その前に、そもそもDMZ上に100台近くのサーバがあるのだ。その中で我々情シス部門が管理しているサーバは一部で、あとは各研究室(うちは研究所なのである)が自分たちの研究成果を発信するためにDMZに立てたWebサーバなのである。

もちろんDMZにサーバを設置するときには我々情シス部門が徹底的にセキュリティチェックをし、外部の監査会社にもセキュリティホールがないかチェックしてもらう。

しかし、その後の運用は基本的に各研究室にゆだねられているので、OSやアプリケーションのセキュリティパッチを当ててなかったり低いバージョンのまま使っていたりするサーバも少なくない。

だがそれでは困るのだ。困るのだが我々が全部面倒を見きれないのだ。現場のシステム管理者も、研究の合間にサーバ管理をやっているし、必ずしもシステムに詳しいとは限らない。サーバを構築した研究者が去って、残った人が名前だけの管理者になってたりする。

そもそもこの状況自体が問題なんだよなあ。うちが管理しているサーバに対するアタックは被害を受けてないか調べられるが、それ以外のサーバへのアタックは、それぞれの研究室のサーバ管理者に「こういうalertが出たので、不正アクセスなどの痕跡がないか調べて欲しい」とか投げるべきなのだろうが、そういう運用になってない。

他のメンバーに相談してみようか。それと同時に、フォールスポジティブを減らさなくては…。これはIDSのチューニングが必要だ。昨日はそのチューニングの資料を漁っていたのだった。

とりあえず、明日から3連休。会社から「FreeBSDビギナーズバイブル」を借りてきたので、じっくり読むことにしよう。

昨日は仕事に没頭していて、気がつくと定時を過ぎていて、30分残業。悪い癖である。

しかし、帰ってからも、やりかけたこと、というか調べている最中のものが気になって、女子バレーを観戦したあと、ついついPCで調べ始めて、VPNで会社のLANに接続していろいろ試してみたりして、気がつくと22時を過ぎていた。

それから風呂に入ったあと、おとなしく寝ればいいものを、続きが気になって、結局23時過ぎまでPCにへばりついていた。

家に帰っても仕事のことが頭から離れない。どうすればすぱっと切り替えられるのやら。