 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
“一般ユーザーが守れるセキュリティポリシー”の重要性を訴える、ラック |
||||||||||||
|
||||||||||||
|
~「不正侵入の実態と具体的対策」セミナー 講演
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
社団法人日本ネットワークインフォメーションセンター(JPNIC)と有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、2月3、4日の両日、「不正侵入の実態と具体的対策」セミナーを東京で開催した。2月4日にはその中で株式会社ラックのSNS事業本部 ISMSソリューション部 アソシエートコンサルタント、倉林俊介氏が、「ケーススタディ(Windowsの侵害事例)」と題して講演を行った。 ■ 保護対象の明確化で、脅威からシステムを守る
この例では、「WebDAVの脆弱性(MS04-030)に起因する脆弱性を突かれた」「パッチは提供されていたものの、アプリケーションの互換性確保のためにパッチは当てていない」という設定になっていたのだが、この脆弱性はパッチ適用以外にも、サービス停止という選択肢でも回避ができたもの。つまり、「不要なサービスを止めていなかったという点が問題となる」(倉林氏)。また最初からでなく、脆弱性情報を確認してから止めても防げたのに、「脆弱性の情報もつかんでいなかった」ため、それも対応していなかったということも問題だ。 さらに倉林氏は「パッチが適用できないのであれば、代替策を検討するべきだ」とも主張する。最近では、Webアプリケーションの脆弱性を保護できるような製品も登場しており、そうしたものの導入を考えるなど、別のやり方もあったはず、というのである。パッチが適用できないのであれば、何らかの危機があることは予見できたはず。であるならば、危機を放置せずに、代替案を検討することは最低限行うべきことだろう。 加えてこの例ではそもそも、Webサイトにとってのリスクを考えていない、という点が問題だとした。ここでは実際に攻撃を受けることによって、DoS攻撃のリスクが顕在化したのだが、「サービス停止」という点から見ればリスクはこれだけではなく、パッチの不具合、人的オペレーションミス、災害、停電、回線障害など、さまざまなものがある。また個人情報を取り扱っているサービスであれば、「情報漏えい」というリスクも考えなくてはいけない。その場合では、バッファオーバーフロー、クロスサイトスクリプティングなどの脆弱性や、Web構築そのものの設計ミスがないかどうか、などを確認する必要があるはず。危機を認識して、それに対する保護対策を明確化しなくては先に進みにくくなるのだから、リスク分析は必要なことなのである。 そして、洗い出しておいた危機に対して事前に対策を考えておけば、攻撃を受けた場合でも被害は少なくて済む。防げなかったとしても、危機対応のマニュアルを用意しておいたり、謝罪文のひな形を作っておいたり、といった準備があれば、トラブルを減らすことが可能だ、と倉林氏は説明した。 ■ 一般利用者に守ってもらえるポリシー作りの必要性 次に挙げたのは、「ウイルス対策ソフトやパーソナルファイアウォールソフトの導入、セキュリティポリシーの策定を行うなど、セキュリティ向上の取り組みに力を入れていたが、パッチ提供後にもかかわらずBlasterワームが社内に持ち込まれてしまった」という例。Windowsのパッチを当てていない、パーソナルファイアウォールを稼働させていない、といったポリシー違反があったため、Blasterに感染してしまったという設定だ。ここでは、この会社の「ポリシー」とユーザーとの関係が問題になる。ポリシーが決まっていても感染してしまったのは、それを守っていなかった人がいるから。そのため、いかに順守させるかが鍵なのだ、という。さらに「ポリシーそのものの不備も背景にある」(倉林氏)。あいまいで何をしたらいいかわからないポリシーでは意味がないし、そうでなくても「一般利用者は、セキュリティ(場合によってはPC自体)に詳しくない。しかも、情報システム部はつい専門用語を使いがち」なため、ポリシー自体がわかりにくい。それを順守させようとしても、「一般ユーザーにも自分の仕事があり、面倒なことはやってくれない」(倉林氏)。 こうした悪循環にならないように、倉林氏は「ポリシーはわかりやすくするとともに、最小限に絞り込む。また(ユーザーが行わなくてはならないことを)ある程度自動化して、負担を減らしてあげることが大事。必要があれば、情報システム部門が肩代わりすることまで考えるべき」だとする。たとえば、クライアントPCを配布する前に、ウイルス対策ソフトやファイアウォールソフトの設定を済ませたり、パッチの自動更新を有効にしたりするとともに、管理者権限を奪っておけば、ポリシーの順守率はあがる。また、ポリシーに違反しているPCを接続させない、検疫ネットワークシステムを導入するなど、システム側で対応することも効果的だと説明した。 しかし、一般利用者が何も考えないようになってしまっては困る。そこで、「利用者自身に『違反』を気付かせる工夫を継続して行うことが必要」とも、倉林氏は説明する。同氏は「PCの無断持ち込みを上司がチェックする、施錠されていない机に付箋をつけておく」などのほか、検疫ネットワークシステムから警告を出すことも効果があるとした。こうした状況は、「数値化・点数化すると目標設定が具体的になり、より効果が高い。数値が高い部門にはインセンティブを提供することも一例」(倉林氏)とするが、同時に、効果があがらない部門の相談に乗ることも大事だという。「ルールで縛ったり、非難しても反発を招くだけ」だからだ。 一方で、リテラシーを高めるための教育も重要で、継続的に行っていくことが望ましいとしたほか、「セキュリティポリシーは、見直しを行わなければ必ず形がい化する。また、どうしても守れないポリシーがないかなどを利用者からくみ取り、反映する仕組みもいる」など、ポリシーを改善していくことの必要性を強く訴えた。 ■ セキュリティホールがマネジメントできるようになりつつある また倉林氏は、「セキュリティホールがマネジメントできるようになりつつある」と最近のセキュリティのトレンドを説明した。この背景にはまず、ベンダ側の努力により、脆弱性の情報が増えてきたことがあるという。製品自体の精査によって発見される数が増えたこともその1つであるし、さらに、一般向け、管理者向け、経営向け、といったように対象によって異なる情報が提供され、個々の理解度が上がってきたという現状もある。セキュリティ対策製品も充実してきており、パケット検査機能を備えたファイアウォールや、IDS、Webアプリケーションファイアウォール、検疫ネットワークの登場などにより、「セキュリティホールが残っていても、そこへ攻撃が到達する前に止める手段が出てきた」(倉林氏)としたほか、個人情報保護法への対応に各社が本腰を入れ始めたため、この市場を狙った「情報漏えい防止ツールも充実してきている」。 しかし一方では、発見から攻撃が始まるまでの期間が短くなっており、脆弱性の公開と同時に攻撃手法がリリースされるようなものも出現した。しかも、「汎用性の高いエクスプロイトコードが登場した場合は、無差別攻撃型のウイルスやワームが登場する危険性も高くなる」と指摘した倉林氏は、「油断してはいけない」と警告している。 最後に倉林氏は、「セキュリティは試行錯誤の時代から、活用の時代へ変化してきているのではないか。蓄積されたナレッジを活用して、自社にあった情報セキュリティマネジメントの確立を目指してほしい」「自動化は重要なステップ。負担を減らして考える余裕を作ろう」「チェック機構をいろいろなところに無理なく組み込んで、問題発生を未然に防ぐ組織作りが大切だ」などとした上で、「情報セキュリティの枠を超えて、危機管理体制を構築することが望ましい。最前線の人間だけでなく、全社的に万が一への備えを万全にすることが大切だ」と述べて、講演を締めくくった。 ■ URL 社団法人日本ネットワークインフォメーションセンター http://www.nic.ad.jp/ 有限責任中間法人JPCERTコーディネーションセンター http://www.jpcert.or.jp/ 「不正侵入の実態と具体的対策」セミナー http://www.nic.ad.jp/security-seminar/program.html#advanced2 株式会社ラック http://www.lac.co.jp/
( 石井 一志 )
|
