PR
セキュリティ対策の心得 - 賢いセキュリティ対策 Part1
企業情報システムを脅かす攻撃の手口はますます巧妙化している。例えば、ボットネット。ウイルスなどの形でPCやサーバーに遠隔操作用のプログラムを忍ばせておき、コントロール下にある大量のコンピュータを一斉に支配して多面的に攻撃を仕掛ける。具体的には、迷惑メールの一斉送信や特定のサーバーに負荷をかけてダウンさせる(あるいは侵入する)といったことが可能だ。大規模で複雑なネットワークを介しているだけに、大元の指令者が誰かを特定するのは難しい。ほかにも、フィッシングやSQLインジェクション、クロスサイトスクリプション、MITM(Man-In-The-Middle)など、さまざまな手法が世に登場している(図1-1の左)。
「愉快犯は激減し、ほとんどが金銭目的の攻撃」(HASHコンサルティングの徳丸浩・代表取締役)というのはセキュリティ専門家に一致した意見だ。機密情報を闇マーケットで売りさばいたり、盗んだクレジットカード情報で不正換金したりするのが最終目的である。
近年は、ネットを介した攻撃側のコミュニティも存在し、「分業体制によるプロ集団化が進んでいる」(フィッシング対策協議会の山田良史・主任研究員)。CaaS(Crimeware as a Service)としてボットネットを貸し出すサービス、データ詐取ツールの開発/提供、データ売買のマーケット運営など、望まざる協力体制が形成されている。
社外からの攻撃もさることながら、社内にも多数の脅威が潜んでいる(図1-1)。三菱UFJが4月、元社員が顧客148万人分の個人情報を不正に持ち出し、うち5万人近い情報を名簿業者に売却していた事実を明らかにしたのは記憶に新しい。情報漏洩など報道で明らかになるセキュリティ上の事件を見ると、従業員や取引先関係者の不正行為や人為的ミスによるものが、社外からの攻撃よりも目立つ。
脅威が多様化する中、企業はどのような姿勢で対策に臨むべきなのか。鉄壁の守りを築くのは理想だが、実際にはそうはいかない。各種の対策ソフトを次々に導入し、アリの一穴をも見逃さない厳格な体制を敷こうとすると、投資がかさむばかりか社員の生産性やモチベーションを下げることにもなりかねない(図1-2)。
特にこの不況下でIT予算が限られる状況では、投資と効果を天秤にかけ、一定レベルの堅牢度を保持するのが現実解。誤解を恐れずいうなら「完璧を目指さず妥協する」ことが重要な決断となる。
S&Jコンサルティングの三輪信雄代表取締役は「妥協点から先に、どんなリスクが潜在していのかを経営陣やIT部門がきちんと認識しておくことこそが大事だ。非常事態が起きた時、影響を最小限に抑える指揮系統と採るべき行動を決めておくことが欠かせない」と指摘する。つまり、すべてITで解決しようとするのではなく「人間系によるカバー」にも思慮を巡らすのだ。
ID管理とログ管理で業務の統合化を図る
こうした基本思想を踏まえた上で、これから注力すべき分野を探ろう。IT予算が抑えられても、「単純に何かを削る発想ではいけない。日々のセキュリティ対策作業の負荷を軽減できるなど投資効果が読みやすい分野に投資しつつ、そこで浮かせたコストを他の分野に振り向けていくといった広い視野が必要だ」(インフォリスクマネージ・マーケティング&サービスカンパニーの担当者)。
データベースセキュリティやWebアクセスマネジメントなど、有用とされる製品分野はいくつもある(次ページの表1-1)。ガートナージャパンの石橋正彦セキュリティ担当リサーチディレクターは、セキュリティ関連技術を認知度と成熟度の2軸でプロットした「ハイプ・サイクル」(図1-3)を示し、「2009年は、統合ID管理と統合ログ管理の動きに注目している」と話す。
(図をクリックで拡大)
統合ID管理は、従業員の採用─異動─退職といったライフサイクルに伴って発生する各種システムのIDやアクセス権限などの更新作業を、企業ポリシーに基づいて一元的に管理するものだ(詳細はPart4)。日本版SOX法の施行以降、異動者/退職者のIDが残存しているリスクを監査法人に指摘される例が増えている。こうした状況を改善するとともに、システムごとに個別に対処していたID管理業務の手間(=コスト)を軽減できる。
統合ログ管理は、情報システムを構成する機器の動作状況(ログ)データを集約/蓄積/分析するツールだ(詳細はPart5)。今までは個別にログを蓄積しているにとどまり、有事の際に手がかりをつかむには多大な手間と時間がかかるケースが少なくなかった。ログの一元管理と分析によって、疑わしい行動を迅速に洗い出すことが可能となるほか、内部統制の証拠資料としての役割も担う。
投資効果が見えやすいので、導入に弾みが付くとの声は多い。ただし、「分析スキルが伴わないと、『ためるだけ』のシステムに成り下がり期待倒れに終わる」(ガートナー石橋氏)。明確な目的を設定することが必要だ。
対策の「お手本」として注目集めるPCI DSS
セキュリティ関連のキーワードとして、にわかに注目を集め始めたのが「PCI DSS(Payment Card Industry Data Security Standard)」だ。これは、国際展開するクレジットカード業界が策定したセキュリティ基準である。金銭詐取目的での攻撃が増える中、最も標的になりやすいのがクレジットカード情報(名義/番号パスワード/有効期限など)。そこで、カード情報を安全に管理するために、最低限は必要となるシステム面での対策を細かに規定して公開した。
「クレジットカード業界向けの基準がなぜキーワードになるのか?」という疑問が生じるかもしれない。答えは明確で、「示されている対策が具体的で分かりやすい」からだ。
PCI DSSは大きく12の要件で構成する(表)。この中では、さらに詳細な約200項目の要求事項を規定している。「セキュリティパッチは1カ月以内に適用する」「アクセスログは最低3カ月はオンラインで参照できるようにする」など基本的なことから、Webアプリケーションの脆弱性について「ソースコードを専門業者に精査してもらう」もしくは「WAF(Webアプリケーションファイアウォール)を設置する」といった最新の脅威に備えるものまで、いずれも具体的なシステム要件や順守事項を示している。
ISMS(情報セキュリティマネジメントシステム)やプライバシーマークなどセキュリティ関連の基準はこれまで、「取り組み姿勢」が評価ポイントで、システム面での実装に落とし込みにくい側面があった。これに対し、「PCI DSSは『なにをすればよいか』が具体的であり、分かりやすい」(京セラコミュニケーションシステムの松木賢一取締役)という声は高い。このため、「クレジットカード情報を取り扱っていない一般企業も、セキュリティ対策の基準として採用しようという動きが出てきている」(F5ネットワークスジャパンの帆士敏博プロダクトマーケティングマネージャ)。
PCI DSSについては、PCIセキュリティスタンダードカウンシルのWebサイト(https://www.pcisecuritystandards.org/)にドキュメント(英語版)があり、詳細を参照することができる。
| 要件 | 概要 |
|---|---|
| 安全なネットワークの構築・維持 | |
| 1 | データを保護するためにファイアウオールを導入し、最適な設定を維持すること |
| 2 | システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと |
| カード会員情報の保護 | |
| 3 | 保存されたカード会員データを安全に保護すること |
| 4 | 公衆ネットワーク上でカード会員データを送信する場合は暗号化すること |
| 脆弱点を管理するプログラムの維持 | |
| 5 | アンチウィルス・ソフトウェアを利用し、定期的に更新すること |
| 6 | 安全性の高いシステムとアプリケーションを開発し、保守すること |
| 強固なアクセス制御手法の導入 | |
| 7 | カード会員データへのアクセスを業務上の必要範囲内に制限すること |
| 8 | コンピュータにアクセスする利用者毎に個別のID を割り当てること |
| 9 | カード会員データへの物理的アクセスを制限すること |
| 定期的なネットワークの監視およびテスト | |
| 10 | ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視 すること |
| 11 | セキュリティ・システムおよび管理手順を定期的にテストすること |
| 情報セキュリティポリシーの保有 | |
| 12 | 情報セキュリティに関するポリシーを整備すること |
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
