仕事で今までで最悪のミスをやらかして、その対応で２時間残業。え〜ん疲れてるのに〜。

自分がまいた種だからしかたない。またまたバスの中からブログを書くはめに。明日から要注意だ。午後から行こうかな。

今日はぬるぬると仕事を進め、ぬるぬると仕事を進め、ぬるぬると仕事を進めた。

以上。いつものようにだらだら書く気力が今日はない。

今日も９時前に会社に到着。職場に一番乗り、かと思えば庶務の子が先に来ていた。さっそく昨日の夜に調べかけていたことの続きをする。

しかし、なかなかはかどらない。と言うか、情報が少ない。英語の文献を読みあさって、なんとか１つ問題をつぶした。しかし、まだまだ何１０個も同じような問題がある。

何をやっているかというと、IDSが検知する不正アクセスのalertがあまりにも多く、結局ちゃんと調べきれてないという問題に直面している。それを何とかしようとしているのだ。

おそらくほとんどの攻撃が失敗しているか、フォールスポジティブ（誤検知）なのだろうが、数が多くて調べきれない。まずは誤検知なのかどうか判断しようとしても、alertを発生したSignatureのruleの文法がわからない。今日やっと英語のサイトで見つけたよ。

その前に、そもそもDMZ上に100台近くのサーバがあるのだ。その中で我々情シス部門が管理しているサーバは一部で、あとは各研究室（うちは研究所なのである）が自分たちの研究成果を発信するためにDMZに立てたWebサーバなのである。

もちろんDMZにサーバを設置するときには我々情シス部門が徹底的にセキュリティチェックをし、外部の監査会社にもセキュリティホールがないかチェックしてもらう。

しかし、その後の運用は基本的に各研究室にゆだねられているので、OSやアプリケーションのセキュリティパッチを当ててなかったり低いバージョンのまま使っていたりするサーバも少なくない。

だがそれでは困るのだ。困るのだが我々が全部面倒を見きれないのだ。現場のシステム管理者も、研究の合間にサーバ管理をやっているし、必ずしもシステムに詳しいとは限らない。サーバを構築した研究者が去って、残った人が名前だけの管理者になってたりする。

そもそもこの状況自体が問題なんだよなあ。うちが管理しているサーバに対するアタックは被害を受けてないか調べられるが、それ以外のサーバへのアタックは、それぞれの研究室のサーバ管理者に「こういうalertが出たので、不正アクセスなどの痕跡がないか調べて欲しい」とか投げるべきなのだろうが、そういう運用になってない。

他のメンバーに相談してみようか。それと同時に、フォールスポジティブを減らさなくては…。これはIDSのチューニングが必要だ。昨日はそのチューニングの資料を漁っていたのだった。

とりあえず、明日から３連休。会社から「FreeBSDビギナーズバイブル」を借りてきたので、じっくり読むことにしよう。

昨日は仕事に没頭していて、気がつくと定時を過ぎていて、３０分残業。悪い癖である。

しかし、帰ってからも、やりかけたこと、というか調べている最中のものが気になって、女子バレーを観戦したあと、ついついPCで調べ始めて、VPNで会社のLANに接続していろいろ試してみたりして、気がつくと２２時を過ぎていた。

それから風呂に入ったあと、おとなしく寝ればいいものを、続きが気になって、結局２３時過ぎまでPCにへばりついていた。

家に帰っても仕事のことが頭から離れない。どうすればすぱっと切り替えられるのやら。

う〜ん、それにしても忙しくない。いいことだ。ユーザ対応も今のところ少なく、トラブルもない。こういう時にこそみんな勉強しているのだ。私もまだまだわからないことがある。

しかし、それにしても何を勉強しないといけないか、それすら見えてこないほど勉強しないといけないことが山ほどある。SIerのインフラ系SEとしてネットワークやサーバやら管理してきたつもりだけど、最終的な設定やら何やらは結局メーカーに投げていた私は、ネットワークやUNIXサーバを管理するためにはごく浅い知識しか持ち合わせてなかったのだ。

仕事に必要なドキュメントはWikiに載ってるよ〜ということで、Wikiを見ているが、わからない言葉が出てきてはググって、それからさらに関連するところを勉強して、とかそんな感じである。

それにしても、IDSであるSnortのRulesに、本家のSignatureとBLEEDING-EDGEをマージして取り込んでいるのだが、BLEEDING-EDGEの誤検知のまあ多いこと。なんとかならんかなあ。全てのRuleでなくて、P2Pとか一部のRuleだけマージするように明日相談してみようかなあ。不正アクセス対策は誤検知との戦い。SPAM対策もまたしかり。はぁ、なんてせちがらいネットワーク社会になってしまったものよ。