 |
セキュリティ監査概論[前編]
事例にみるセキュリティ監査のポイント
矢崎 誠二インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 マネージャー
(シニアセキュリティコンサルタント)
2005/4/19
 |
脆弱性への対応 |
脆弱性は必ず修正すべきだろうか。答えはYESである。しかしながら、そうとも限らない現実的な懸念事項が存在するのである。パッチを適用することで開発ベンダからのサポートが得られなくなる場合や、そもそも機能として提供している場合(例えば、FTPのputという機能をanonymousで動作させているなど。この設定はセキュリティ上好ましいとはいえないが、FTPの機能として提供している)、危険性の低い脆弱性にもかかわらず修正に莫大な工数が掛かる場合などさまざまである。
サーバに直接対策ができない場合や、ファイアウォール以外のセキュリティデバイスが存在しない場合は、インラインにて不正アクセスを防御できるIPSによるサイト保護を検討すべきである。対策に関しては以下の点に留意していただきたい。
- 対策優先度の検討
- 対策によるシステムへの影響が存在するかどうかの調査
- システムバックアップの考慮
- 代替手段の検討(IPSの導入検討など)
|
セキュリティ監査の定期化 |
セキュリティ監査により、セキュリティホールへの対応を余儀なくされるが、高いセキュリティレベルを保つという安心感を得ることができる。しかしながら、脆弱性の数の増加に伴いインシデントも増加傾向にある。脆弱性への対策という観点においては、セキュリティレベルを向上、安定させるために監査を定期に実施することを推奨している。
●セキュリティレベル向上
上記の図は、セキュリティホールの増加によりセキュリティレベルが低下することを意味している。一定のレベルを基本セキュリティレベルとし、このレベルを保つために定期監査を実施し、セキュリティレベルの維持・向上を促したい。
●セキュリティ監査のサイクル
セキュリティ違反への対応という意味で確実性の高い監査サイクルは、脆弱性が公表されるたびに確認するべきである。マイクロソフト社に関連する脆弱性という意味でいうと原則は月1回というペースになる。しかしながら現実的に実施できるサイクルとはいいがたい。一般的には年1〜4回のセキュリティ監査が最も多い。
日本においてはシステムバグへの緊急対策という意味を除いては、不定期なプログラム更新は行われず、半期または四半期ごとにシステム更新が実施されるケースが多いため、これらの時期に合わせてセキュリティ監査も実施されているのが大半である。
また、年4回の場合であっても、監査対象システムを変更しながら内部を2回、外部を2回という形で実施されるケースも存在する。また、一定のセキュリティ監査機関に依頼するのではなく、コストも違えばスキルも違うため、監査提供者を一定のサイクルで変更しながらサービスを依頼しているケースもある。
監査を実施すればコストもそれだけ増大するが、問題が公になった場合の想定被害額を算定し、ROSI(Return On Security Investment)に基づく判断基準により、監査サイクルに伴う投資額は企業によってさまざまである。
◆ ◇ ◆
今回セキュリティ監査概要および応用編という形で寄稿させていただいたが、われわれの経験上、セキュリティ監査を実施し、脆弱性が存在しなかったサイトは皆無に近く、まだまだ脆弱なサイトが存在しているのが現状である。セキュリティに100%は有り得ないが、これらの対策を実施することで、本来あるべき姿のシステムセキュリティの構築に役立てていただければ幸いである。
 |
3/3 |
| Index | |
| 事例にみるセキュリティ監査のポイント | |
| Page1 セキュリティ監査の3つのポイント -脆弱性の検出手段 -監査結果の確証性 -セキュリティ監査に伴うリスク セキュリティ監査の評価基準 -総合評価 -脆弱性評価 |
|
| Page2 セキュリティ診断事例の紹介 -上級職社員のPCに対する疑似アタック -内部サーバ全域に対する疑似アタック -DMZシステムおよび内部システムに対するペネトレーション -インシデント対応に関する抜き打ちチェック |
|
 |
Page3 脆弱性への対応 セキュリティ監査の定期化 -セキュリティレベル向上 -セキュリティ監査のサイクル |
| 関連リンク | |
| セキュリティ監査の目的と必要性 | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
| 個人情報保護法(セキュリティ用語事典) | |
| Profile |
| 矢崎 誠二(やざき せいじ) インターネット セキュリティ システムズ株式会社 プロフェッショナルサービス部 マネージャー (シニアセキュリティコンサルタント) 1999年6月インターネットセキュリティシステムズに入社。同社におけるコンサルティングサービス立ち上げ時から参画し、コンサルティングメニューの草案、メソドロジー構築に寄与し、コンサルティングサービスの基盤を確立した。 セキュリティ監査、IDS/IPSシステム構築、不正アクセスログ解析、インシデントアドバイザリなどにおけるプロジェクト責任者。コンサルティングフェーズから、設計、運用フェーズまでを幅広く手掛ける。顧客に某携帯通信キャリア、某官公庁、某通信キャリア、某IT企業などを持ち、日本における先端セキュリティシステムの構築と提供を続けている。 インターネット セキュリティ システムズ プロフェッショナルサービス: http://www.isskk.co.jp/service/ProfessionalService.html |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
