セキュリティ診断、その注意点(1)

呉井嬢次(Johji Kurei) 2005-12-10 00:53:00

 ウイルス、不正アクセスなどの脅威から情報システムを保護する対策の一つとして、セキュリティ診断という手法がある。セキュリティ診断といっても、オープンソースから商用ツールまで多岐にわたる。どれを選ぶにしても、診断する時に注意しなければ、インシデントに発展する。診断の流れに沿って、その注意すべきポイントを紹介する。

 まず、システムのセキュリティを診断するにはいろいろな方法があり、セキュリティ診断者は、あらゆる角度から問題点を調べていくことを知っておかなければならない。もし、セキュリティホールが1つでも残れば、そこが狙われ、情報システムに攻撃される可能性が発生するからだ。

セキュリティ診断の対象、責任を明確にすること

 システムのセキュリティ診断を行う上で最初に行うことは、システム診断の範囲を明確化させること。これは、セキュリティ診断を進める上でとても重要なことである。単純に診断ツールを使いこなすだけなら、システム管理者でもできる。しかし、自動診断ツールやセキュリティホールを調べていく過程で、システム診断の範囲外に存在する問題箇所を見つけてしまうことは珍しくない。また、原因が、設定上のミスか、システムの根本的な問題に起因するのか(例えば、基本設計、セキュリティ管理運用方法)を見極めることも求められる。最終的には、責任者に報告する範囲と内容の根拠をどこまで提示すればよいのか。セキュリティ知識を豊富に持っている者、セキュリティ対策の場数を踏んでいる者にとって悩みでもある。

 そこで、事前に診断の範囲を明確にしておくことが肝心だ。例えば、セキュリティ診断の対象には以下のようなものがある。
・ネットワーク(サブネット、ドメインなど)
・対象マシン(IPアドレス、ホスト名など)
・サービス(ウェブ、電子メール、認証サービスなど)
・物理的範囲(特定建物内部のネットワーク)
 逆に禁止事項も含めることもある。特定のポート番号、負荷上限等を定め、限定的な診断の結果だけが欲しい場合だ。ただし、効果も限定されることはいうまでもない。

セキュリティ診断を行う理由

 次に、セキュリティを診断する理由を考えてみたい。事前に理由や背景を知ることができると、関連する資料を前もって集めることができる。また、システムを診断する時間が限定されている場合には、診断を重要な箇所に絞ることができる。これまでに、セキュリティ診断を行う理由として挙げられたものは、次の通りである。

・知らない人から自分のマシンが攻撃されていると連絡があった
・不正アクセスを受けた痕跡がある
・知人もしくは同業者が同じシステムを使ってセキュリティ被害に遭った
・他の利用者のセキュリティ意識が低く、安全にシステムを利用しているかどうかを調べたい
・業者選定基準としてセキュリティ対策をチェックしたい
・システムを外部に委託しているが、そこのセキュリティ対策が気になる
・セキュリティ監査内容に疑問があり確認したい

 もっと具体的には、「前回の情報セキュリティ監査報告書には存在しなかったが、今回新規システムを運用するので事前にセキュリティを調べて欲しい」というものや、「上司から指示された」、「予算が余ったから」なんて、消極的なケースもある。

セキュリティ診断対象の責任者の了解、権限を取得する

 セキュリティ診断対象が決定したら、その責任者の了解を取る必要がある。これはシステムの責任者と診断者との関係を明らかにすると置き換えてもいい。個人が所有しているマシンなら、責任者と診断者が同じだ。しかし、ネットワークが構築されている場合は、責任者が異なることは珍しくない。マシンの責任者は自分であっても、ネットワーク機器や、利用しているサービスの責任者は別にいる。企業のシステムなら、マシンは各部門で、ネットワークの情報インフラは情報システム部門が管轄していることもある。セキュリティ診断の手法次第では、システムの運用に影響が出る。

 システムが遅延、停止する最悪の事態を避けるためにも、診断者は事前にシステム管理者の了解を得ると同時に、「診断に必要な権限」も取得する。「診断に必要な権限」とは、システムへのセキュリティ診断環境の確保と言えばわかりやすい。単純にシステムへのアクセス権限を指すのではない。診断専用マシンの確保にはじまり、設置場所、電源、ネットワーク接続先からIPアドレス、アカウント、必要なアクセス権限まで含まれる。診断ソフトウェアを正しく効果的に使いこなすには、システムの責任者の了解を得て、診断する権限を取得しなければならないのだ。

 日本では、セキュリティ診断者が所属する企業名で信じて依頼するケースが多い。だが、責任者
は診断者の身元、能力等を判断し、怪しいと思ったら断る勇断が求められる。例えば、診断ツールへの依存性が高過ぎるケース、過去の診断実績が少ない、履歴の虚偽等があれば避けるべきだろう。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!