Enterprise Watch
最新ニュース

全NUAセキュリティ研究会、「社内の不正アタック対策は万全ですか!」

~C&Cユーザーフォーラム ワークショップ

 12月3日から5日まで東京ビッグサイトにて開催されているC&Cユーザーフォーラム(主催:NEC)にて12月3日、住友ベークライト株式会社IT企画推進グループ課長代理で全NUAセキュリティ研究会の松本利朗氏が「社内の不正アタック対策は万全ですか!」と題した講演を行った。


対策が手薄な内部犯行

全NUAセキュリティ研究会 松本利朗氏
 昨今、企業ではウイルス被害や不正アクセスなどに対して、特に外部からの攻撃への対策を強化する傾向がある。しかし、増加する情報セキュリティ事故の原因は内部関係者にある場合が多く、米国の調査によると60%から80%が内部による犯行であったというデータもある。このような背景から、各セキュリティベンダーは社内ユーザーが機密情報を勝手に持ち出すことを防止する製品やソリューションを準備している。

 内部関係者が引き起こす情報セキュリティ事故とはどのようなものがあるのだろうか。まず取り上げられるのが、MS Blasterなどに代表されるワームやウイルスに感染したPCが社内に持ち込まれることにより感染が広まるケースだ。NUAセキュリティ研究会では攻撃を受けたPCがどのような動作をするかの実験を行った。それによると、攻撃を受けたPCに不正動作を実行するファイルが作られ、PCから送信されるパケットが異常に増えるなど、「調査すれば目に見える形で明らかな変化がわかる」(松本氏)。また、攻撃を受けたPCが発するパケットを調べるとランダムなIPアドレスにウイルスデータを発信し続けることも確認できる。

 このほかの事例としては他人のPCやIDを不正に使用される「なりすまし」による被害がある。企業で広く利用されているWindows 2000やWindows XPにはログイン時にユーザー名とパスワードによって認証を行うため、一見なりすまし被害への対策はできていると思っている人も多い。しかし松本氏は「パスワードはユーザー本人しか変更できないという固定観念が危険だ」と警告する。松本氏は実際にインターネット上で公開されているツールを使って、実際にWindows 2000のAdministrator権限のパスワードを変更してみせた。なお、このツールはLinuxベースでFDから起動して動作するものだったので、「BIOSでFD起動を禁止し、その上でBIOSにパスワードを設定することで被害を防ぐこともできる」(松本氏)。


攻撃を受けたPCの動作 Windows 2000のパスワードはツールにより簡単に変更できる

OSの機能を超えるセキュリティ対策ツール

 このような例のほかにも、さまざまな形で対策が手薄な内部に危険がはらんでいるケースは多い。それらに対してどのような対策を行えばいいのであろうか。松本氏はPCをはじめとしたさまざまなITリソースの利用者や行動を制限すること挙げる。

 利用者の限定とは、従来のパスワード認証といった論理的な手段のほか、ICカードなど物理的なツールと連携してより厳密な本人認証行う。また、重要ファイルを外部に持ち出すことを防ぐために、ファイルのアクセス権限のほか、別途ツールを使ってCD-RやUSB記憶媒体などの外部メディアへの書き込みを制限するといった手段がある。また、プリンタについても認証を行わないと利用できないなどの制限を加えることも可能だ。

 ワームやウイルスの集団感染の大きな原因となる持ち込みPCへの対策も重要だ。いくら社内PCに対策を施していても外部から持ち込まれたPCがネットワークに接続されると、対策をすり抜けられる可能性もある。この対策としては証明書を使用した認証VLANがある。証明書がないPCは社内ネットワークのあらゆるリソースに接続できなくしてしまうこともできる。

 管理下にある社内PCにおいても、ユーザーによって業務に関係ない、ときにはセキュリティ対策上危険なアプリケーションをインストールされてしまう可能性もある。資産管理ツールは各クライアントの稼働状況やインストールアプリケーションを監視して、アプリケーションのインストールを検知するなど、クライアントPCを厳密に管理することが可能だ。

 さらに、機密情報をはじめ社内で利用するファイルを暗号化し、USBキーやICカードなどがないと閲覧できなくしてしまうこともできる。複合化できるグループなども設定でき、特定の者しか利用や閲覧ができないファイルを作成でき、社外だけでなく社内でも関係のないユーザーに情報が漏えいしてしまうことを防ぐことができる。


証明書を利用した認証VLAN 資産管理ツール ファイル暗号化機能

技術と人的な対策の組み合わせが重要

 このようにセキュリティツールを利用することにより、OSの機能を超える厳密なユーザー認証や情報漏えい対策を行うことが可能だ。しかし、必要以上の対策が行われるとセキュリティレベルは向上するが、ユーザーの業務にも支障を与えかねない。「最も重要なのは人的な不正アクセス対策」と松本氏も述べるように、技術で対策を行うだけでなく内部不正アクセスを行わせない環境を作ることが重要だ。

 基本として、まずトップダウンによる情報セキュリティ方針を確立すること。また、セキュリティの啓発や教育などにも力を入れること。地道だが、セキュリティ対策ツールが進化すると共に不正アクセスなどの技術も進化しているので、ツールだけで完全な対策は望めない。管理者にとっては技術と人的な対策をうまく組み合わせることが重要といえる。



URL
  C&Cユーザーフォーラム&iEXPO2003
  http://www.uf-iexpo.com/


( 朝夷 剛士 )
2003/12/04 00:05

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.