運用日和 vol.05 脆弱性とレガシーシステム

レガシーなシステムでも捨てられないんだよ。
だって使われてるんだからという話です。

------------------------------------------------------------------
ここでいうレガシーは負の遺産的な意味で使っています。
車のレガシー好きの方々、気を悪くしたらすみません。
------------------------------------------------------------------

十数年前年に出た話ですが、
平成生まれの方々をデジタル・ネイティブ世代と呼ぶそうです。

産まれた時からインターネットがあって、インターネットが当たりまえの
世代をさす言葉のようですね。

そういう方々にポケベルや黒電話の話をすると、使い方がわからないと言われ、時代を感じたりします。
※ 記事を読んでくださっている方の中にもわからないという方がいるかもしれませんね。

携帯も今はスマートフォンが当たり前、
純粋なフィーチャーフォン(俗に言うガラケー)は開発終了したこともあり、
きっと同じような扱いになっていくことでしょう。

そんなガラケーついて、数年前に気付きがあったので共有します。

▼SSL3.0の脆弱性が見つかる

2014年10月にSSL3.0の脆弱性が見つかりました。
結構大きな話だったのでご存知の方も多いかもしれません。

■SSL 3.0 の脆弱性「POODLE 」(2014年10月)

SSL 3.0 の脆弱性「POODLE 」とは？ | トレンドマイクロ セキュリティブログ

SSL/TLSの暗号化方式は、
対象バージョンに脆弱性が見つかったらその暗号化方式は危険なので、
暗号化方式の接続可能レベルを一つ上に繰り上げる対応がとられます。
(この場合はSSL3.0を廃止して、TLS1.0を最低値とする)

私が担当するシステムもこの対応が必要となりました。そこで、一つ議論が発生します。

「古い型のガラケーはTLS1.0に対応していないため、システムに接続できなくなるおそれがある」と開発チームから報告がありました。

しかし、その古い型のガラケーが「15年以上前の型で現在は生産終了している」こともあり、
『そこまで古い携帯を使用しているユーザはほぼいないだろう』と判断され、開発方針は変わらず続行となり、リリース日を迎えることになりました。

▼リリース直後に・・・

本番環境の展開作業が滞りなく終わり、帰宅した翌日、
業務チームがお客様より「システムが使えなくなった」と連絡を受けます。
原因は暗号化方式をTLS1.0に上げたことによる、ガラケーの接続不可でした。

「まさか、あんなに古い携帯を使っているユーザがまだいるとは・・・。」

そう思ったものの、少数のユーザが言っていることだと思い、
古い携帯はセキュリティの都合上使えなくなった旨を伝えたところ、、、

『この状態ならば当社としては契約継続できない。退会させていただく』
と話がヒートアップしてしまいました。。

どうやら使えなかったユーザの中に、
会社役員の方がいたようで「自分が使えないシステムなど契約できるか！」と言われてしまったようです。

調べたところ上記のようなケースが数社あり、
大急ぎで古いガラケーを使用するためだけのシステム改修が発生しました。

▼対応方法

既存のシステムでは、脆弱性を含んだSSLのバージョンが利用できないように改修が完了しているため、古いガラケーに合わせてSSLの利用可能バージョンを下げることはできません。

それをやってしまうと、サービス全体のセキュリティレベルが下がってしまい、他のユーザの方にまで危険が及ぶことになるためです。

そこでサービス全体としてのセキュリティレベルは保持したまま、古いガラケーにも対応できる仕組みはないかと検討が開始され、一つの結論に至ります。

それは、ガラケーの入り口として
HTTPに対応した接続先を新たに作り、そこからリバースプロキシで通信をHTTPSに変換し、サービスの正規の入り口へ転送するという方法でした。

HTTPの入り口と正規の入り口の間には、攻撃コードがあったとしても防ぐことができるWAF(Web Application Firewall)を設置し、なんとか運用できるようになりました。

この対応で現場部署はWAF2台+リバースプロキシ用サーバ2台を購入することになり、多大な費用が追加となってしまいました。

▼まとめ

ガラケーは確かにレガシーだと思われがちですが、その対応を簡単にやめることは出来ないのです。
何故なら「使っている人が会社の決済権を持っている」可能性があるから。

開発側としては、古いシステムはメンテナンスの工数がかさむので、
「ユーザが全員最新システム使ってくれれば良いのに」とついつい思ってしまいますね。

しかし、ユーザからしたら「新しい機器は便利かもしれないが覚えることが多く大変。今のままでもやりたいことは出来るので、そのままが良い」という考え方の方もいるのが実情です。
IT関連の仕事をしていると忘れがちですが、ITに興味のない方・ITリテラシーが高くない方も多くいるのです。

仮に無理やりアップグレードをしようとした場合どうなるか。
皆さんマイクロソフトの「OS自動アップグレード」を思い出してみてください。(Windows7->10を強要してくるあれです。)

何人かイラつきを思い出したかもしれませんね。。
無理やりアップデートしようとするとああいう状況になります。

iOSのアップデートなどのように「最新から一つ前のバージョンまではサポートする」等、多少は許容しなければならないのが現状といったところです。

ちなみに、今ではまったく見なくなった「ポケベル」についても
「南関東と沖縄」では2019年9月までサービスが継続していたそうです。(※1)

私は、担当システムの前バージョン連絡先に「ポケベル」の項目があったので消そうとしたら、「一部の病院で使ってるから消さないで！」と言われ、衝撃を受けました。

なお、この時の受入試験時に「ポケベルの試験はどうやって実施したら・・・」と言った私の末路は、、ご想像にお任せします。。

※1　ポケベルは2019年9月30日でサービス終了したとのこと

ポケベル、半世紀の歴史に幕＝３０日でサービス終了：時事ドットコム

それでは、今日はこのへんで。
次回へ続く ->