 |
セキュリティ監査概論[前編]
セキュリティ監査の必要性と目的
矢崎 誠二インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 マネージャー
(シニアセキュリティコンサルタント)
2005/3/9
 |
第三者機関の必要性 |
監査という手段を使う以上、セキュリティ監査はサイト管理者およびサイト開発者ではない第三者が行うべき業務となる。開発業務を受託した請負企業がセキュリティ監査を行うケースもまれにあるが、開発側が自らの構築したシステムのセキュリティ上の問題点を発見し、自らの問題を顧客に告知することは難しいといえる。
なぜならば、自らの問題点や脆弱性を公にし、それに対して「修正には費用が掛かります」というのは受け入れられるはずもないし、正しく情報が公開されるとも考えにくいものだ。自分の首を絞めるような情報は隠ぺいされる可能性が高い。
しかしながらセキュリティ監査は、開発側あるいはシステムの詳細にわたる仕様を理解している担当者との密な情報交換が必要である。システムにとっては、脆弱な設定が仕様であるケースも考えられ、BtoB、BtoCにおいては当該機関では解決できない問題も内在することがある。
いずれにせよ、セキュリティ監査を専門にする第三者が監査を行うことで、正当な結果が得られる。また、開発側とは別の視点から物事が判断できるため、サイト管理者側にとってもさまざまな角度から管理・運用に役立つ情報が得られ、有用な手段といえる。
|
攻撃元のベクトルを確認 |
サイト運用者側は攻撃者の視点に立って外部からの攻撃または内部からの攻撃を考え、セキュリティ監査を実施する必要がある。それ故セキュリティ監査を行う側は、疑似的な攻撃者としての立場からセキュリティ監査を行う。
外部からの脅威を想定した場合は、インターネット経由による監査が必要になる。逆に内部からの脅威を想定した場合は、システム内部経由によるセキュリティ監査が必要になる。
単に外部といっても被攻撃対象システムの範囲としてどこまでを視野に入れるべきだろうか。DMZのみであろうか、ファイアウォールの外側であろうか。はたまたファイアウォールの内側も含まれるのであろうか。
仮にDMZのみに限定したグローバルエリアを対象にした監査を実施したとしよう。DMZに脆弱性が検出され、DMZから内部への侵入が可能になることも考えられる。ほとんどのアプリケーションサービス(ポート)はファイアウォールで閉じられているため、堅牢性は保たれているといえるが、脆弱性によりセキュリティデバイスのポリシーやACL【注】が書き換えられたらどのような結果を招くだろうか。
| 【注】 ACL: アクセス・コントロール・リスト。アクセス制御情報を記述したリスト |
適切な外部監査においては、ファイアウォールの外側からの監査が必要になる。またDMZ側、もしくはファイアウォールの内側からの監査も必要ではないだろうか。セキュリティ監査ではこのようなセキュリティデバイスに守られているアプリケーションサービスについても潜在的な脆弱性ととらえ、監査対象にすることを念頭に置いている。
 |
| (c) 2005 Internet Security Systems, Inc. and Internet Security Systems K.K. All rights reserved. |
|
セキュリティ監査の5つのカテゴリ |
目的に応じてセキュリティ監査の効果を最大限に得るために、監査の種別を選択する必要がある。攻撃のベクトルに対してもセキュリティ監査の内容選択は重要な要素を有するし、対象システムの提供するサービスによって監査手法が大きく異なるからである。よって監査要件および監査目的に合わせた形で監査の内容を決定する必要がある。
監査対象はシステムであったり、サーバであったり、データベースであったりする。このため下記に示される5つの監査パターンが必然的に考えられる。
| 【注】 下記の例は、インターネットセキュリティシステムズが実施しているセキュリティ監査メニューである |
●ネットワーク脆弱性監査
- ネットワーク経由によるペネトレーション検査
- 1000以上におよぶセキュリティホールの確認と検出
- 脆弱性研究機関と連携し最新の脆弱性検知に対応
得られる結果
既知の脆弱性検知と対策を実施することで、セキュリティホールによる問題を除去する
対象システム
TCP/IPを利用した全てのシステム
●ワイヤレス脆弱性監査
- IEEE802.11a/bのアクセスポイントを検出
- アクセスポイントからのペネトレーションアクセスの実行
- SSID、WEP、ブロードキャストの問題検出
得られる結果
既存WLANの問題と、登録外のアクセスポイントの検知により、ワイヤレス経由での第三者アクセスを防ぐ
対象システム
WLANのアクセスポイント
●システム脆弱性監査
- システム内部から脆弱性の検出
- ベースラインを使用したファイル改ざんの検出
- セキュリティパッチの導入確認
- SUIG、GUID、設定ファイルの問題検出
得られる結果
極めて重要なサーバのセキュリティ問題に関する詳細な設定情報の最終確認や監査を行い、運用を通じて常時セキュリティ定常化を図る
対象システム
WindowsNT/2000
Solaris
AIX
HP-UX
Linux
●Webアプリケーション脆弱性監査
- クロスサイトスクリプティング問題の検出
- 独自CGIなどによるバッファオーバーフロー問題の検出、隠しフィールドの操作問題の検出
- パラメータ改ざんチェックや設定ミスの検出
得られる結果
Webに関する問題を把握することで、Webにおける情報漏えいの対策や、カートプログラムなどの価格改ざん問題を除去する
対象システム
Webサーバ
アプリケーションサーバ
●データベース脆弱性監査
- Oracle、SQLServer、Sybaseにおけるデータベース固有のセキュリティホールを検出
- リモートアクセスおよび不正な権限の検出
- 不正アカウントによるログイン問題の検出
得られる結果
データベースへの不正なログオンの防止と、ログオン後のアクセス権を適切にすることで、データベースの情報漏えい対策を図る
対象システム
Oracle
MS SQLServer
Sybase
 |
2/3 |
|
| Index | |
| セキュリティ監査の必要性と目的 | |
| Page1 セキュリティ監査とは何か セキュリティ監査の必要性 セキュリティ監査の目的 |
|
 |
Page2 第三者機関の必要性 攻撃元のベクトルを確認 セキュリティ監査の5つのカテゴリ |
| Page3 監査手法の選択 ペネトレーション ソーシャルエンジニアリング |
|
| 関連リンク | |
| 事例にみるセキュリティ監査のポイント | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
| 個人情報保護法(セキュリティ用語事典) | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
