「セキュリティ製品を選ぶ視点」を正しく知る

サイバー攻撃が高度化、複雑化するなか、脅威の侵入を完全にブロックすることはほとんど不可能になりつつある。

かつてのセキュリティ対策の中心は、ファイアウォールで通信をブロックし、アンチウイルスソフトを使って攻撃の初期段階にある脅威を取り除くことだった。

しかし、攻撃側と防御側とでは、先手となる攻撃側がどうしても有利となる。従って、近年の脅威はユーザーやセキュリティ対策製品をすり抜けて 内部に侵入してくる。そして、内部を調査しながら外部の悪意あるサーバと通信して、重要な情報をこっそりと盗み出していく。ファイアウォールとアンチウイルスソフトだけでは攻撃を防げなくなってきているのだ。

こうした迫りくる脅威に対して、Webフィルタリングやメールセキュリティ、IPS/IDSといったさまざまなソリューションが提供されるようになった。「知っておくべき4つのこと」と題した本シリーズの第二回では、市場のセキュリティ製品を選ぶにあたってどのような視点を持つべきなのかを整理していく。

• SBテクノロジー株式会社
  プリンシパルセキュリティリサーチャー
  辻 伸弘 氏

「脆弱性の3つのパターン」に注目して対策を講じる

既述のとおり、今日の市場には、各ベンダーが提供するさまざまなソリューションが存在している。しかし、攻撃側もその防御網をかいくぐる新たな手口を開発するため、依然として攻撃と防御のイタチごっこは続いている状況だ。

残念ながら、新たな手口が発見されるたびに最新ソリューションを導入できるような組織は、ごく一部にとどまる。中堅中小企業をはじめ、ほとんどの組織 は、限られたコストとリソースで 脅威に対抗していかなければならない。

辻氏は、限られた資源のなかで効果的なソリューションへ投資するために、「脆弱性の3つのパターンに注目すること」がポイントとなるとアドバイスする。

第1回でも触れたが、セキュリティリスクは「資産」「脅威」「脆弱性」と掛け合わせで考えることができる。資産は「どこにある何を守りたいか」を示したものであり、具体的な活動としては「情報の調査や棚卸し」などがある。脅威は「どの経路からどのようにくるのか」を示したもので、具体的な活動としては「PCやモバイルなどのデバイス調査」や「ネットワークの調査」などがある。3つめの脆弱性は「自組織のシステムに関係あるのか、どのくらい危ないのか、どれから対処するのか 」で、脆弱性の深刻度や悪用可能性などを判断しながら「対策に優先順位を付けていく」活動となる。

辻氏のいう脆弱性の3つのパターンとは、このようにして優先順位を付けたあと具体的に対策を実施していく際に活用するものだ。

まず脆弱性は、大きく3つの種類に分類することができる。システムやソフトウェアにかかわるもの、設定にかかわるもの、人にかかわるものだ。1つめのシステムやソフトウェアの欠陥については、セキュリティパッチを適用することが基本となる。2つめの設定については、設定ミスが起こっていないかのチェック、パスワード管理の見直しなどが中心となる。3つめの人の脆弱性については、不審なメールの取り扱いなど、教育や組織文化に関わる取り組みだ。

システム、設定、人。これら3つの脆弱性を考慮することで有効な対策を打ちやすくなるという。

具体的なセキュリティ対策を実施する際には、脅威を正しく知り、自組織にとってどんな影響があるのかを把握することが重要です。ソリューションとして何が必要なのかは、外部のベンダーにはわかりません。自分たちのことを自分たちで理解していくことが求められます。脆弱性の種類に注目し、自組織に影響があるのかどうかを考える。これは 、結果、自組織のリソースを把握することになり 、どのリスクにどんな対策で対応するのかという検討を進めるための重要な一歩になります。

[知るべきこと③「セキュリティ製品を選ぶ視点」]
入口対策や出口対策とは異なる視点も持って、製品を選定する

セキュリティ対策を実施する際のポピュラーな考え方として、「攻撃が発生する場所」に注目するというものがある。具体的には、侵入を防ぐために壁を高くする「入口対策」、脅威が外部と通信したり外部に情報を持ち出すことを防ぐ「出口対策」、ネットワーク内部で行う悪意のある活動を検知したり止めたりする「内部対策」だ。

ただ、こうした「攻撃が発生する場所」にだけ注目すると、どのような対策をどう実施していけばいいのか、具体的な姿や「守るもの」との関連性が見えにくくなる。そのため、既述した脆弱性というアプローチも交えながら対策を講じていくことが求められる。

脆弱性の3つのパターンごとに、"入口、出口、内部を横断した対策" を施していく。この考え方は、クラウド化によりファイアウォールを挟んだ内側(LAN/WAN)と外側(インターネット)の境界がなくなりつつある今日こそ有効な方法でもある。

セキュリティ製品の種類とこれが「脆弱性」「攻撃が発生する場所」のそれぞれでどこに位置するのかを下図にマッピングした。各製品の概要も簡単に振れているので、参考にしてほしい。

「攻撃が発生する場所」に着目することは有効なアプローチです。ただ、どうしても「どの場所場所を対象とした攻撃への対策が足りていない？ 」という "攻撃基点の発想" に陥りがちです。また、不足している穴を埋めようとしてソリューション導入だけに関心が集りやすくなります。セキュリティリスクの中に内包されている脆弱性を視点にくわえることで、"自分基点の発想" を保ちながら適切な製品を選定できるでしょう。

システムの脆弱性はパッチ適用が基本。暫定策や代替策も考慮すべし

各脆弱性における具体的な対策内容について、幾つか紹介しよう。

まず、システムやソフトウェアの脆弱性については、OS、ミドルウェア、アプリケーションなどへのパッチ適用が基本となる。システムの都合でパッチ適用ができない、クラウドを併用しているといった場合は、それぞれに環境に応じた暫定策や代替策をとる。例えば、IPSのフィルタリングによってパッチ適用までに猶予期間を設けたり、アプリケーションをSaaSやPaaSに移行してパッチ適用をクラウド事業者に任せたりする。コストや運用負荷を考慮しながら、優先度に応じて最適なパッチ適用のあり方を作っていくことが重要だ。

設定の脆弱性については、多くの組織が悩んでいる問題に「パスワード管理」が挙げられる。管理側としてはユーザーに難しいパスワードを設定してほしいし定期的な変更を求めたいが、ユーザーはできるだけ負荷の少ない方法でログインしたいと考える。その結果、簡単なパスワード設定が横行し、情報漏えいのリスクが高まってしまう。

双方に思いがあるわけだが、守られないルールがある場合、守らない人が悪いのでなはくルール自体が悪いとも考えるべきだと辻氏はいう。パスワード設定についても、システム側で巻き取ってユーザーに意識させずに利用させる仕組みがあれば、利便性とセキュリティが両立できる。

弊社の場合、ユーザーに対してパスワードの定期変更は求めていません。全社員のパスワードをIT部門で管理しており、危ないパスワードの社員にだけアラートを出して強制的に変更を促す。もし従わない場合にはログインができないようにしています 。モバイルアクセスに関しては証明書でのアクセス制御を行っていますが、極力ユーザーには負荷をかけない形になるようにしています。このような、 ユーザーの業務の可用性を損なわないという視点は、非常に重要です。これは「人」の脆弱性への対応でも同様です。

*　　*　　*

システムや設定の脆弱性は、対応の方針や方法が比較的見えやすい。しかし、プロセスや人にかかわる対策は、効果を上げるのが難しい。事実、辻氏も、事故を起こさないように人を教育することは不可能に近いと述べ、起こってしまったときのことを考えて対策を講じていくべきだという。

次回は、人の脆弱性によるリスクを引き下げるためにどのようなアプローチで組織の文化やルールを変えていくべきか、見ていこう。

[PR]提供：ソフトクリエイト