セキュリティ監査概論[前編]

事例にみるセキュリティ監査のポイント

矢崎 誠二
インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 マネージャー
(シニアセキュリティコンサルタント)
2005/4/19

 脆弱性への対応

 脆弱性は必ず修正すべきだろうか。答えはYESである。しかしながら、そうとも限らない現実的な懸念事項が存在するのである。パッチを適用することで開発ベンダからのサポートが得られなくなる場合や、そもそも機能として提供している場合(例えば、FTPのputという機能をanonymousで動作させているなど。この設定はセキュリティ上好ましいとはいえないが、FTPの機能として提供している)、危険性の低い脆弱性にもかかわらず修正に莫大な工数が掛かる場合などさまざまである。

 サーバに直接対策ができない場合や、ファイアウォール以外のセキュリティデバイスが存在しない場合は、インラインにて不正アクセスを防御できるIPSによるサイト保護を検討すべきである。対策に関しては以下の点に留意していただきたい。

  • 対策優先度の検討
  • 対策によるシステムへの影響が存在するかどうかの調査
  • システムバックアップの考慮
  • 代替手段の検討(IPSの導入検討など)
 セキュリティ監査の定期化

 セキュリティ監査により、セキュリティホールへの対応を余儀なくされるが、高いセキュリティレベルを保つという安心感を得ることができる。しかしながら、脆弱性の数の増加に伴いインシデントも増加傾向にある。脆弱性への対策という観点においては、セキュリティレベルを向上、安定させるために監査を定期に実施することを推奨している。

●セキュリティレベル向上

 上記の図は、セキュリティホールの増加によりセキュリティレベルが低下することを意味している。一定のレベルを基本セキュリティレベルとし、このレベルを保つために定期監査を実施し、セキュリティレベルの維持・向上を促したい。

●セキュリティ監査のサイクル

 セキュリティ違反への対応という意味で確実性の高い監査サイクルは、脆弱性が公表されるたびに確認するべきである。マイクロソフト社に関連する脆弱性という意味でいうと原則は月1回というペースになる。しかしながら現実的に実施できるサイクルとはいいがたい。一般的には年1〜4回のセキュリティ監査が最も多い。

 日本においてはシステムバグへの緊急対策という意味を除いては、不定期なプログラム更新は行われず、半期または四半期ごとにシステム更新が実施されるケースが多いため、これらの時期に合わせてセキュリティ監査も実施されているのが大半である。

 また、年4回の場合であっても、監査対象システムを変更しながら内部を2回、外部を2回という形で実施されるケースも存在する。また、一定のセキュリティ監査機関に依頼するのではなく、コストも違えばスキルも違うため、監査提供者を一定のサイクルで変更しながらサービスを依頼しているケースもある。

 監査を実施すればコストもそれだけ増大するが、問題が公になった場合の想定被害額を算定し、ROSI(Return On Security Investment)に基づく判断基準により、監査サイクルに伴う投資額は企業によってさまざまである。

◆ ◇ ◆

 今回セキュリティ監査概要および応用編という形で寄稿させていただいたが、われわれの経験上、セキュリティ監査を実施し、脆弱性が存在しなかったサイトは皆無に近く、まだまだ脆弱なサイトが存在しているのが現状である。セキュリティに100%は有り得ないが、これらの対策を実施することで、本来あるべき姿のシステムセキュリティの構築に役立てていただければ幸いである。

3/3


Index
事例にみるセキュリティ監査のポイント
  Page1
セキュリティ監査の3つのポイント
 -脆弱性の検出手段
 -監査結果の確証性
 -セキュリティ監査に伴うリスク
セキュリティ監査の評価基準
 -総合評価
 -脆弱性評価
  Page2
セキュリティ診断事例の紹介
 -上級職社員のPCに対する疑似アタック
 -内部サーバ全域に対する疑似アタック
 -DMZシステムおよび内部システムに対するペネトレーション
 -インシデント対応に関する抜き打ちチェック
Page3
脆弱性への対応
セキュリティ監査の定期化
 -セキュリティレベル向上
 -セキュリティ監査のサイクル

関連リンク
  セキュリティ監査の目的と必要性
  個人情報保護法に備える4つの課題
  情報漏えいに備えるセキュリティ投資の目安
  個人情報保護法(セキュリティ用語事典)

Profile
矢崎 誠二(やざき せいじ)

インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 マネージャー
(シニアセキュリティコンサルタント)

1999年6月インターネットセキュリティシステムズに入社。同社におけるコンサルティングサービス立ち上げ時から参画し、コンサルティングメニューの草案、メソドロジー構築に寄与し、コンサルティングサービスの基盤を確立した。


セキュリティ監査、IDS/IPSシステム構築、不正アクセスログ解析、インシデントアドバイザリなどにおけるプロジェクト責任者。コンサルティングフェーズから、設計、運用フェーズまでを幅広く手掛ける。顧客に某携帯通信キャリア、某官公庁、某通信キャリア、某IT企業などを持ち、日本における先端セキュリティシステムの構築と提供を続けている。

インターネット セキュリティ システムズ プロフェッショナルサービス:
http://www.isskk.co.jp/service/ProfessionalService.html

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間