セキュリティ関連イベント「第1回情報セキュリティEXPO」が東京ビッグサイトにて7日開幕した。主催はリードエグジビションジャパン株式会社、開催期間は7月9日までの3日間。
情報セキュリティEXPOは、展示会場と「情報セキュリティEXPO専門セミナー」で構成されており、展示会場ではトレンドマイクロや松下電工、日立ソフトウェアエンジニアリングなど、複数のセキュリティベンダーがセキュリティ製品を紹介している。
ここでは、専門セミナー「『インシデント・レスポンス』最新動向~問題発生の早期発見と対処のポイント」にて行なわれた、奈良先端科学技術大学院大学情報科学研究科の門林雄基助教授による「ネットワーク・セキュリティにおける証拠保全とインシデント対策」と題した講演を紹介する。
|
|
会場風景
|
奈良先端科学技術大学院大学情報科学研究科の門林雄基助教授
|
● 管理者の“孤軍奮闘自慢”は間違い。ソーシャルスキルが最も重要なスキルだ
門林氏は、まずセキュリティの構成要素として「情報システムにおける情報保護」と「情報システムにおける信用確保」の2種類を挙げた。情報システムにおける情報保護は、「可用性(availability)」「機密性・秘匿性(confidentiality)」「一貫性・完全性(integrity)」から成っているという。また、情報システムにおける信用確保は、「遡及説明可能性(accountability)」「信憑性・真正性(authenticity)」「信頼性(reliability)」から成っていると説明した。
これらのネットワークセキュリティをプロセスで考えると、まず「どのデータが保護に値するのか?」といった“資産の把握”をしっかりと行なうことが重要だという。資産の把握がしっかりとできていないと、その後の保護方法やポリシー策定、運用面が正確に設計できない。
資産の把握を行なった後は、その資産を守るための「保護ドメインを定義」し、保護境界線上にファイアウォールやIDS/IPSといった保護装置を設置する。また、保護装置の設定をポリシーに沿って実施する。このとき、セキュリティコンサルティング会社などを通すことも有用だとしているものの、最終的な運用は自社で行なわなければならないため、自社の社員教育も徹底して行なわなければならないとしている。
また、門林氏は「セキュリティ管理者の多くが、『孤軍奮闘』していることを訴え、会社や上司が正しく協力してくれていない、と嘆いているケースが多い」と指摘。「このような苦言は間違っている。管理者は、必要であれば人員増加や予算増加など、会社や上司を巻き込むスキルが最も重要だ。すなわちソーシャルスキルこそが、セキュリティを担当する管理者に最も重要なスキルだと言える」と分析した。
● ログ保存は最も効果的な抑止力、証拠として成立するためには時刻同期が必要
これらのことから、門林氏は経済産業省なども提唱している「事故前提社会」の認識が必要であると説明。事故が起きた際に、事故に至るまでのプロセスを解明し、再発を防ぐことが最重要であるとしている。また、プロセス解明にはログが不可欠だと強調し、「内部犯罪に対する抑止力としても、強固なログ保存は最も有効な手段であり、このことが一番重要な側面だと言える」と説明した。
また、証拠保全の方法としてネットワークにおける証拠保全では、「サーバー間の時刻同期」が最も重要であるとし、「逆に、いくらログを保存していても、サーバー間の時刻がずれていれば、証拠能力がゼロになってしまう」と警告した。「時刻同期は重要なため、管理者が時刻同期を行なった時刻を帳簿などに記録しても良いくらいだ」とも語っている。
システム面での証拠保全では、「ログローテーションで過去のログを消すのではなく、『追記型』設定にしなければならない」と繰り返し強調。ディスク等を圧迫した際には、「DVD-RやCD-Rなど、『Write-Once』なメディアに移動して保存することも非常に有効な手段だ。DVD-RWなど繰り返し書き込めるものは利用してはいけない」と説明している。3つ目の運用における証拠保全では、「作業記録、入退室管理」「バディ・システム」「三権分離」「スマートカード、RFタグ」などが有効だと語った。
そのほか、ログを出力した装置名や時刻などのログ情報や、ログの生成や閲覧、解析などのログ取り扱いなどに関するポリシーをきちんと設定しておけば、「ISMSなどの認証を取らなくても十分と言える。これなら中小企業など、お金の無い企業でも十分実施できるだろう」と指摘した。
● 結局、セキュリティは「考え方の浸透が最も重要」
インシデント対策では、インシデントの被害箇所や被害規模、種別などを正確に想定し、それぞれに合った対策手段をあらかじめ用意しておくことが重要であると解説。それら対策の有効性の検証や疑似攻撃などを実施し、インシデント発生時にも冷静に対処できる訓練をしておく必要があるという。
実際のインシデントでは、技術的な要素の入らない「鍵の紛失・盗難」「改ざん」「誤用」などの人為的な部分の多いケースでは、「装置導入や技術でどうにかなる問題ではない。日頃からの教育や啓蒙が最も有効だ(門林氏)」と説明している。
他方、ウイルス攻撃やDoS攻撃に関しては、ファイアウォールやIDS/IPSなどの技術的な装置や回避方法で対応可能だと説明した。しかし、同氏は「最近は、ウイルス作者なども必死だ。一生懸命Windowsの脆弱性を狙ってきたりしている。結局パッチ管理を迅速に正確に行なうしかない」と警告した。
最後に門林氏は、セキュリティ確保は各従業員などが「情報を安全に保つための考え方」や「システムを不正アクセスから守るための考え方」などの“思考様式”を正しく認識することが重要であると指摘。「高いセキュリティを保つためには、このような思考様式を、ドキュメンテーションや教育で現場に浸透させることこそが最重要である」と語り、講演を締めくくった。
関連情報
■URL
情報セキュリティEXPO
http://www.reedexpo.co.jp/i-security/
( 大津 心 )
2004/07/07 17:29
- ページの先頭へ-
|