セキュリティ概論
セキュリティ プラニング
最終更新日: 2002年4月8
マイクロソフト ソリューション フレームワーク
メモ : このホワイト ペーパーはシリーズになっています。企業セキュリティのベスト プラクティスには、このシリーズのすべての記事がリストされています。セキュリティ要素構成アーキテクチャも参照してください。
このドキュメントについて
このホワイト ペーパーは、システム管理者やセキュリティ担当者、その他のコンピュータに関わる人々が、コンピュータ セキュリティの重要性とその責務を理解する上で役立つよう作成されました。このドキュメントでは、一般的なセキュリティへの脅威、セキュリティ ポリシーを策定し実施する際の考え方、そしてセキュリティ対策として実施すべき事柄について説明していきます。
トピック
本文書の主旨
基本的リスク査定
予防的セキュリティ プラニング
対処的セキュリティ プラニング
参考文献
本文書の主旨
概要
軍事配備では、事前の計画を立てることが最も重要になります。しかし、セキュリティ対策を立てるには、まず徹底したリスク査定を行わなければなりません。セキュリティ プラニングにより、セキュリティ ポリシーの策定とセキュリティ コントロールの導入を行い、コンピュータに対するリスクが現実に起きないように防ぎます。
本文書ではセキュリティ ポリシーの概略を述べますが、あくまでガイドラインです。システムを導入する組織ごとに、セキュリティを確保の目標と必要性に基づいて、セキュリティ ポリシーの策定を行う必要があるでしょう。
本文書で考察していく機器や技術は、主に機能に関することであり、技術的なことではありません。機能面に注目することで、セキュリティ対策にたずさわる関係者や IT 管理者が自分の組織で必要なセキュリティ対策に、最もふさわしい機器や技術を選択することができます。
基本的リスク査定
概要
リスク査定は、コンピュータのセキュリティ プラニングにおいてとても重要な部分です。どのような行動を取るべきか計画を立てるには、最初にリスク査定を実行することです。リスク査定により、セキュリティ対策の基準ができ、それに基づき様々な脅威から資産を守ります。ここでシステムのセキュリティ (安全性) を向上するために、3つの基本的な疑問が出てきます。
組織内において保護する必要がある資産はどれか?
その資産にはどのような脅威があるのか?
その脅威を退ける十分な対策をとるために、どれだけの時間、努力および資金を、組織は投入してくれるのか?
何から資産を守るべきなのか分からなければ、守りようがありません。コンピュータは、リスクから保護される必要があります。しかし、リスクとは何でしょうか? 簡単に言えば、リスクとは、脆弱性を利用しシステムに被害を与える脅威が、実際に起こることです。リスクが分かれば、セキュリティ ポリシーの策定やセキュリティ対策を行うことで、リスクを減らすことができます。
資産に対するリスクを全て突き止めるには、様々な方法があります。その 1 つが、社員を集めて各人が考えを自由に出し合うブレインストーミングを行うことです。これにより、様々な資産およびその資産に対するリスクの一覧を作成します。また、ブレインストーミングにより、各人がセキュリティへの意識を高める効果もあるでしょう。
リスクの発生する可能性は、3 つあります。天災によるリスク、故意に起こされたリスク、そして故意ではないリスクです。詳細は下の図で説明します。
企業セキュリティのベスト プラクティス ホワイト ペーパーに収録されているセキュリティ戦略において、セキュリティ戦略を定義した方法論の概要が、次のフローチャートに示されています。フローチャートの第一段階が、リスクの査定 (アセスメント) です。
セキュリティ戦略のフローチャートでは、リスク査定はさらに下記のステップに分けることができます。
保護したい資産およびその価値の確定
各資産に対するリスクの確定
そのリスクのカテゴリー分け (天災によるリスク、故意に起こされたリスク、もしくは故意ではないリスク)
脅威が現実化する際の方法、機器もしくは技術の確定
これらのステップを踏まえれば、セキュリティ ポリシーおよびセキュリティ コントロールを策定し、リスクの発生を最小限にとどめることが可能になります。本文書では、主に最初の 2 つのステップについて述べていきます。3 および 4 番目のステップに関してはセキュリティ戦略をご覧下さい。
企業は常に活動しているので、セキュリティ対策もその企業活動に即したものでなければなりません。定期的にリスク査定を行い、最新の情報を保つようにしましょう。さらに、業務内容や組織に大きな変化があった場合は、リスク査定をやり直しましょう。このように、組織の再編成、新居ビルへの移転、契約ベンダの変更やその他大きな変化があった場合は、リスクおよび潜在的な損失をもう一度洗いだすべきです。
資産の確定
資産に対するリスクを確定する際は、まず情報資産のインベントリ (在庫目録) を行い、組織で保護すべきものについて目録を作成することが重要です。このインベントリは、ビジネス プランと保護すべき目録の機密性を考えた上で行うべきです。例えばサーバーとワークステーションの関係を考えてみましょう。サーバーの方が、一般的なユーザーが使用するワークステーションに比べて、高レベルの機密情報を保持しています。ネットワーク上の情報もインベントリの対象とし、重要度にしたがい目録の分類をしましょう。インベントリを行う際、組織が有益だと判断したものは全て含みます。有益であるかどうかを決定するには、それが損失や損害を被った場合の利益や時間のロス、および修理や代替のコストを考慮してみましょう。インベントリにリストアップすべき目録としては、以下のものがあります。
物理的目録
機密データおよびその他の情報
コンピュータ、ラップトップ、パームトップなど
バックアップおよびアーカイブ情報
マニュアル、書物、手引き書
通信機器および配線
人事記録
監査記録
ソフトウェアの配布媒体
非物理的目録
社員のパスワード
世間のイメージおよび世評
処理能力と操作の持続性
構成情報
日付の整合性
情報の機密性
各資産に対する定義すべき情報
ハードウェア、ソフトウェア、データなどの類型
全般的サポート システムもしくは重要なアプリケーション システムへの分類
情報の指定所有者
物理的もしくは論理的な位置
適用可能であるなら、インベントリ目録番号
サービス レベル、担保、重要な提携パートナーに対する供給力、セキュリティ、および代替方法
資産に対するリスクの確定
資産の確定を終えたら、各資産に脅威を与える可能性のあるリスクをすべて確定することが必要です。これを行う方法の 1 つが、資産に対し損害、改変、盗難もしくは破壊を行う可能性のある方法を全て確定していくやり方です。以下に例を示します。
資産
- データベース システムに保存されている財務情報
リスク
構成部品の障害
ソフトウェアやハードウェアの誤操作
ウイルス、トロイの木馬およびワーム
許可なしに行う削除や改変
許可なしに行う情報の開示
侵入 (コンピュータに入り込んでくる "ハッカー")
ソフトウェアのバグおよび欠陥
火災、洪水や地震
暴動
効果的な情報セキュリティ ポリシーを策定するために、リスク分析を通してまとめられた内容を分類しましょう。情報が損失したり公開された場合の、その機密性の程度に従い分類します。たいていの組織では扱う情報を、たとえば所有物、社外秘、もしくは企業内機密のように分類しています。セキュリティ ポリシーにおける分類でも、既存の分類方法と同等の一貫性をもたせるべきです。データを取り扱う必要条件に応じて、4 つの機密クラスに分類します。4 つのクラスとは、「sensitive (極秘)」、「confidential (機密)」、「private (親展)」、および「public (公開)」です。このように、ある基準をもとにデータの機密性を分類するシステムを、組織全体で行わなければいけません。この分類を以下に定義します。
Sensitive このクラスに適用される情報は、許可のない改変や削除から保護され、その完全性を保証されるものとします。このクラスの要件に適用される情報とは、通常の情報よりも、正確かつ完全であることを保証する必要のある情報です。組織の財務取引や規約情報が、このクラスに含まれます。
Confidential このクラスに適用される情報は、機密性の高い業務情報の大半で、組織内で厳重に扱わなければならないものとします。このクラスの情報が許可なしに開示されれば、組織をはじめ株主、事業提携者、ときには顧客にまで深刻な影響を及ぼしたり、立場を不利にする可能性があります。健康医療関連の情報は、少なくともこのクラスの情報として考えるべきです。
Private このクラスに適用される情報は、組織内で扱われる個人情報とします。この情報が許可なしに開示されれば、組織や従業員に深刻な影響を及ぼし、立場を不利にする可能性があります。
Public このクラスに適用される情報は、上記 3 つのクラスに明らかに当てはまらないその他全ての情報とします。このクラスの情報を許可なく開示することが、組織の規約に反することでも、それによって組織や従業員、ときに顧客が深刻な影響を受けたり、不利な立場に置かれたりすることはないと思われます。
リスクを確定し情報の機密性ごとのクラス分けを行えば、次に各リスクが発生する可能性を推測します。リスクの脅威を数量化することは困難ですが、リスクを推測する方法をいくつか、下記に示します。
保険会社などの第三者機関から情報を得る。
定期的に起こる事柄に対しては、記録をもとに予測をたてる。
収集した統計もしくは同種の企業が出版している報告書を調べる。
過去の経験から予測を立てます。以下に例を示します。
電力会社が提出する公式の見解から、会社が来年停電する可能性があると予測できます。
過去の経験と想像力を十分に発揮すれば、深刻なバグをソフトウェアから見つけ出すことができます。
各資産に対するリスクを全て列挙したら、次に損害が意図的なものか、もしくは偶然によるものなのかを見極める必要があります。
脅威の類型および攻撃方法の確定
脅威とは、情報の開示、改変、もしくは破壊、または致命的なサービス拒否攻撃を行うことで組織に被害をもたらす、あらゆる行為もしくは潜在的可能性も含めた事柄のことです。情報セキュリティに対する脅威は、人為的脅威から天災の脅威に分類できます。下記の図を参照して下さい。
人為的脅威はさらに、悪意のある (意図的) 脅威と悪意のない (偶然による) 脅威に分類できます。悪意のある脅威とは、セキュリティ ポリシーやセキュリティ コントロールの脆弱性を利用し、攻撃を仕掛けてくることです。悪意のある脅威は、その場限りのものから計画的な攻撃まであります。
悪意のない脅威が起こる原因としては、従業員の誤操作や知識不足があげられます。データを取得もしくは変更しようとして、うっかりデータの破壊や削除もしくは改変をしてしまうことがあります。(人為的脅威ではありませんが、ハードウェアやソフトウェアの不備も悪意のない脅威に含みます。)
このように脅威には様々な種類があることを理解すれば、どの脆弱性が利用され、どの資産が標的になるのかを確定することができます。攻撃方法には、以下のものを含みます。
社会工学の利用
ウイルスおよびトロイの木馬
サービス拒否攻撃ツール
パケットのリプレー
パケットの改変
IP スプーフィング
パスワードのクラック
予防的セキュリティ プラニング
概要
リスク査定の次の段階が、予防的プラニングです。予防的プラニングには、セキュリティ ポリシーおよびセキュリティ コントロールの策定と、セキュリティ対策を講じるための機器や技術の導入が含まれます。
セキュリティ戦略と同様に、セキュリティ対策を、リスクの発生を予防する対策 (予防的プラニング) と発生した後にとる対策 (リアクティブ プラニング) に分類する必要があります。予防的プラニングは、攻撃や従業員の誤操作から資産を保護するために策定します。対処的プラニングは、予防的プラニングが機能しなかった際の不測事態対応計画です。
セキュリティ ポリシーとセキュリティ コントロールの策定
企業のセキュリティ対策は、いくつかのセキュリティ ポリシーで構成されています。セキュリティ ポリシーは具体的な指針を示して責任の所在を明確にし、また対策の手順やセキュリティ ポリシーを実行するための規約を含みます。
セキュリティ ポリシーに基づいて、有益と思われるものを定義し、それを保護するためにどのような手順を取るべきかを明記しましょう。セキュリティ ポリシーは、いろいろな方法で策定できます。例えば、数ページ程度の全般的な対策方針を作成し、考え得る対策をまとめる方法があります。また、資産を分類し、それに対する対策方針を草案として作成する方法もあります。つまり、電子メール ポリシー、パスワード ポリシー、インターネット アクセス ポリシーおよびリモート アクセス ポリシーのように分類し草案を作成する方法です。
セキュリティ ポリシーにおいて組織が抱える一般的な問題が 2 つあります。
セキュリティ ポリシーは、決定や命令と比べて、建て前になりがち。
セキュリティ ポリシーは、実際に利用されていない。単に関係当局や弁護士、組織内の人間や顧客に見せるための文書であり、組織の行動には反映されない。
リスク査定が有効であるかどうかで、セキュリティ ポリシーおよびセキュリティ コントロールが有効に機能しているかどうかが決まります。セキュリティ ポリシーに脆弱性や弱点が存在するとしたら、そればセキュリティ ポリシーが不十分であるか、人的要因によるものです。これは下記のダイアグラムで示します。セキュリティ ポリシーが非常に厳密だと、厳守するのが煩わしくなり放棄してしまう社員がでてきます (人的要因)。これにより、セキュリティ対策にヒビが入ったり、攻撃に対する脆弱性が生まれます。
例えば、アカウントのロックアウトを厳しく制限するようにセキュリティ ポリシーで指定すれば、サービス拒否攻撃を受ける可能性は増加します。別の例として、サーバー室のドアにセキュリティ キーパッドを導入するとしましょう。管理者は暗証番号の入力を面倒に思い、本やほうきを挟んでドアを閉まらないようにするかもしれません。これでは、セキュリティ コントロールは筒抜けです。パスワードを厳密に扱うようにセキュリティ ポリシーで指定すれば、ネットワーク上の安全性が低下する場合があります。例えば、パスワードを 7 文字以上と規定したために、覚えられないユーザーが多数出てきます。パスワードを書きとめ放置する社員が現れ、社外の人間の目にとまる可能性が出てくるのです。
下記のダイアグラムに、有効なリスク査定と有効なセキュリティ ポリシーおよびセキュリティ コントロールの関係を示します。
セキュリティ ポリシーを機能させるには、現実を踏まえる必要があります。現実を踏まえてセキュリティ ポリシーを導入すれば、組織全体に無理なく浸透するでしょう。そのためには、セキュリティ ポリシーを手順や規約を順序立てなから策定します。その際、手順や規約を順守する時間や方法および担当者を定義します。プレゼンテーション、ビデオ、パネルディスカッション、質疑応答の議論、および社報といった形でさらに現実を踏まえたものにしていきます。コンピュータ セキュリティの教育や意識改革を行えば、社員に新しいポリシーを効果的に知らせることができます。これにより、入社したばかりの従業員にポリシーを浸透させることも可能です。
コンピュータ セキュリティ ポリシーは、管理側の人間がどこまで無条件にサポートするのかを明確にしてから、導入しなければなりません。特に、従業員がポリシー、指示、ガイドライン、および手順などに縛られていると感じる環境においては、重要なことです。組織におけるポリシーとは、管理側の人間がコンピュータ セキュリティに対する義務を強調する、および従業員に期待する業務遂行、振る舞い、および責任を明記した伝達手段です。
セキュリティ ポリシーの類型
ポリシーは、セキュリティ対策のどの分野としても定義できます。担当のセキュリティ管理者および IT 管理者の責任において、どのようなポリシーを定義し、誰がそのポリシーを策定すべきなのかを決定します。企業全体を対象としたポリシーもあれば、いくつかの部署を対象としたものもあります。ポリシーには様々な類型がありますが、例えば以下のものを含みます。
パスワード ポリシー
管理者義務
ユーザー義務
電子メール ポリシー
インターネット ポリシー
バックアップおよびリストア ポリシー
パスワード ポリシー
パスワードを使用したセキュリティが機能するかどうかは、パスワードの機密性に依存します。従ってパスワードは、使用および保存時、ときには教えてもらう時でさえ、容易に危険にさらされます。パスワードを基本にした認証メカニズムでは、パスワード認証システムにおける本質的な 5 つの点から、パスワードに脆弱性が露呈します。
パスワードは、システムに登録する際、最初にユーザーに割り当てなければならない。
ユーザー パスワードは、定期的に変更しなければならない。
システム上に、"パスワード データベース" を保存しなければならない。
ユーザーは、パスワードを覚えなければならない。
ユーザーは、認証に際してパスワードを入力しなければならない。
システム管理者や IT 管理者も含めた従業員は、いかなる相手にもパスワードを公開してはならない。
パスワード ポリシーは、組織の必要性に応じて設定できます。例えば、パスワードの最低文字数を指定したり、パスワードを空白のままにするブランク パスワードを無効にしたり、最長および最短有効期限を設けることができます。また、同じパスワードを再度使用することを無効化したり、クラックを困難にする組み合わせを使わせるなどの対応が可能です。これは Windows 2000 のアカウント ポリシーで設定できます。これに関しては後で述べます。
管理者義務
ベンダが販売するシステムの大半には、標準のユーザー ログイン設定がいくつか登録されています。この標準設定のパスワードを全て変更してから、ユーザーにシステムへのアクセスを許可します。たとえば、管理者用のパスワードは、システムをインストールする際に変更します。
管理者には、各ユーザーのログイン用初期パスワードを作成し、割り当てる責任があります。その後、ユーザーにパスワードを知らせなければなりません。場所によっては、管理者にパスワードを知られないような防止策を講じる必要があるでしょう。あるいは、ユーザーがパスワードを教えてしまった場合、そのパスワードを容易に破棄することができます。パスワードの漏洩を防ぐために、ユーザー名とパスワードを暗号化して記録したスマート カードを使用することができます。たとえ管理者がパスワードを知っていても、実際に利用するには必ずスマート カードが必要です。ユーザーの初期パスワードが管理者に知られてしまう場合も、規定の手順ですみやかにパスワードを変更すれば、初期パスワードを破棄できます。
ユーザーがパスワードを忘れてしまったり、管理者がパスワード漏洩の可能性を判断する場合があります。この様な問題を是正するためには、管理者にユーザー全員のパスワードを変更し新規に作成する権限を与えることを推奨します。管理者は、これを行う目的でユーザーのパスワードをむやみに知ろうしてはいけません。新規パスワードを配布する際も、初期パスワードを割り当てる時と同じ規則に従わなければなりません。管理者がユーザーの身元を確認できるのは、パスワードを変更しなければならない時だけです。
ユーザー義務
ユーザーは、パスワードの秘匿義務およびユーザー ステータスの変更やセキュリティ侵害の疑いなどがある場合の報告の義務があることを、理解しなければなりません。ユーザーのセキュリティへの意識を維持するために、各ユーザーがこれらの義務を承認する署名をすることを推奨します。
パスワードに対する危険を回避する最も簡単な方法は、パスワードの変更です。パスワードを定期的に変更し、積極的にパスワードに危険が迫る可能性を防ぐようにしましょう。パスワードの変更を頻繁に行い、危険にさらされる可能性を抑えましょう。ユーザーが管理者に不必要にパスワードを教えることを避けるため、管理者を介さずにパスワードを変更できる権限をユーザー与えるようにしましょう。
電子メール ポリシー
電子メールは、通常の業務においてますます重要なものになっています。組織において、電子メールに対するポリシーを策定する必要があります。それに基づき従業員は電子メールを適切に使用し、意図的であろうとなかろうと誤操作によるリスクを軽減し、電子メールによる業務記録の適切な運用を確保しましょう。電話を適切に使うための規約があるように、電子メールにおいても適切な使用方法を定めましょう。組織において、規定すべき全般的なガイダンスには以下のものがあります。
電子メールの業務上の使用
電子メールの個人目的での使用
アクセス コントロールおよびメール内容の保護
メール内容の管理および維持
電子メール関連の事故はよく起こります。電子メールを保存するフォルダが増加していき、電子メール システムをクラッシュさせる場合があります。電子メール ソフトの設定がおかしいために、関係のない部署にメールを送信してしまうこともあります。メール リストにエラーがあり、リストの登録者に何百ものエラー メッセージを送ってしまうこともあります。場合によっては、エラー メッセージがメール サーバー間で往復してしまいます。このような事故を防ぐ方法には、以下のものがあります。
問題が発生した際に取るべき適切な手段を教育する。
電子メール ソフトのデフォルト設定を、最も安全な設定にする。
インターネット 電子メール プロトコルおよび業界の規約に準拠したソフトウェアを使用する。オンライン サービスが、インターネットに接続された既存の電子メール システムと接続される度に、そのオンライン サービスに不具合がありメール サーバーがエラー メッセージを洪水のように送信することがあるため、抗議の声があがるのです。
暗号アルゴリズムを使用したデジタル署名を利用すれば、なりすましを防止できます。メール内容もしくは送信経路を暗号化すれば、盗聴を防止できます。電子メールの暗号化は、本文書の 『Public Key Infrastructures』 で述べます。
インターネット カフェなどの公共の場所や 電子メールが使えるチャット ルームを利用するユーザーは、コンピュータに有益情報を残してしまうことがあります。インターネットに接続しているコンピュータを利用したら、クリーン アップをして重要な情報が残らないようにする必要があります。これは、空港のラウンジなどで問題になることがあります。
インターネット ポリシー
World Wide Web とは、インターネット上で情報を検索し見つけ出すために使用するソフトウェアの重要な母体であり、いくつもの通信規約 (プロトコル) や規約で成り立っています。ハイパーテキストおよびマルチメディア技術を使用しているので、インターネットは誰もが簡単に閲覧したり、参加することができます。
Web クライアント、別名 Web ブラウザがユーザー インターフェイスを提供し、マウスでクリックするだけで情報を閲覧することができます。ブラウザにも脆弱性があります。一般的にはサーバーがもたらす脅威に比べて深刻ではありません。Windows 2000 のグループ ポリシーを使用すれば、Internet Explorer に様々な設定をすることができます。
Web サーバーは、直接攻撃を受けたり、組織の内部ネットワークを攻撃するための踏み台に使われる可能性があります。Web サーバーは、オペレーティング システムや Web サーバー ソフトウェア、サーバー スクリプトおよびその他のソフトウェアなど、いくつもの領域を保守しなければなりません。ファイアウォールやルータおよび IP プロトコルを適切に設定することで、サービス拒否攻撃を退ける効果があります。
バックアップおよびリストア ポリシー
パックアップが重要になるのは、システムに保存してある情報が有益かつ重要である場合のみです。バックアップは、様々な理由で重要です。
ハードウェアの不備。特定のハード ドライブや RAID システムが故障するなどのケース。
ソフトウェアの不備。ソフトウェア アプリケーションに欠陥がある場合があり、情報を誤った形で解釈したり保存してしまいます。
ユーザーの誤操作。ファイルを思わず削除や改変してしまうことがあります。バックアップを定期的に取ることで、削除や改変してしまったファイルを元に戻せる場合があります。
管理者の誤操作。管理者も、有効なユーザー アカウントを削除するなどの誤操作をする場合があります。
ハッキングおよび公共物破壊。コンピュータ ハッカーは、時にデータの改変や削除を行います。
盗難。コンピュータは高価で簡単に買い取りができます。そのためハード ドライブやビデオ カード、サウンド ドライバなどのハードウェアだけを盗む人間がいます。
天災。洪水や地震、火災、ハリケーンなどで、コンピュータ システムに致命的影響を与える可能性があります。建物が破壊されたり、押し流される可能性もあります。
その他の災害。予期しない事故で損害を被る可能性があります。例えば、飛行機の墜落や、ガス爆発などです。
ハードウェアおよびソフトウェアのアップグレード時には、
アップグレードの前に必ず必要なデータのバックアップを取ります。
レジストリやマスタ ブート レコードおよびパーティション ブート セクターなどのシステム情報を必ずバックアップします。
Microsoft Windows 2000 および Microsoft Windows NT などのオペレーティング システムでは、最新のシステム修復ディスクがあることを確認して下さい。
バックアップを取るべき情報には以下のものを含みます。
組織および事業の継続に極めて重要な情報。データベース、メール サーバーおよびユーザー ファイルの全てを含みます。
レジストリおよびユーザー アカウント データベースなどのシステム データベース。
バックアップ ポリシー
バックアップ ポリシーで策定すべき対策
定期的パックアップ。
バックアップの類型。バックアップ システムの大半は、通常のバックアップ、増分バックアップおよび差分バックアップをサポートしています。
バックアップのスケジュール。通常、ユーザーが最も少ない夜間に行うことを推奨します。
バックアップする情報。
バックアップに使用する媒体の類型。テープ、CD-ROM もしくはその他のハード ドライブなど。
バックアップ デバイスの類型。テープ デバイス、CD-Rドライブ、その他のハード ドライブ、スワップ可能なハード ドライブおよびネットワーク上での保存など。デバイスにより保存スピードは異なり、通常は 1 分間に保存できる量を MB (メガバイト) で表します。使用するデバイスは、システムが要求する仕様やバックアップにかかる時間で決めます。
組織内外でのバックアップの保管 (ストレージ)。
組織内ストレージ。耐火性金庫にバックアップ媒体を保存します。コンピュータを置いている机の引き出しに、バックアップ媒体を入れてはいけません。重要なデータを天災や盗難および破壊から守れる保管場所を確保します。オペレーティング システム、サービス パックおよびその他の重要なアプリケーション ソフトウェアなどは全て、安全な場所に保管すべきです。
組織外ストレージ。重要なデータは、組織外にも保存すべきです。データの保存を専門に扱う企業もあります。別の手段として、貸金庫や銀行を利用する方法もあります。
システム 修復ディスク
Microsoft Windows 2000 および Microsoft Windows NTには、システム 修復ディスク (ERD)を作成するオプションがあります。ERD は、レジストリ情報と Windows インストール情報の回復もしくは修復に必要なシステム ファイルを含みます。修復ディスクは、定期的に更新しなければなりません。新規ユーザーの登録や、ディスク パーティションの追加や削除などのシステム変更を行った場合には常に、修復ディスクを更新しなければなりません。可能であれば、ERD のバックアップを組織内外で保存しましょう。
Windows 2000 のソフトウェア ポリシー
アカウント ポリシー
Windows 2000 において、アカウント ポリシーはセキュリティ設定の最初のサブカテゴリです。アカウント ポリシーには、以下のものを含みます。
パスワード ポリシー : パスワード ポリシーは、組織の必要に応じて設定できます。例えば、パスワードの最低文字数の指定やブランク パスワードの無効化、最長および最短有効期限の設定が可能です。また、同じパスワードを再度使用することを無効化したり、クラックを困難にする文字を使わせるなどの対応が可能です。
アカウント ロックアウト ポリシー : このポリシーで、ユーザーが正しいパスワードを入力できなかった場合の動作指定が可能です。ログオンを規定回数失敗し、ロックアウト時間を過ぎた場合に、ユーザーをロックアウトすることができます。
Kerberos 認証ポリシー : 各ドメインのデフォルトの Kerberos 設定を修正することができます。例えば、チケットの最長有効期間を設定することができます。
グループ ポリシー
グループ ポリシーは、コンピュータの設定とユーザーの操作を制限する手段です。企業内で、異なるポリシーを作成することが可能です。グループ ポリシー設定が有効な Windows 2000 のドメイン コントローラに接続すると、ポリシーは自動的にダウンロードされ、ユーザーのコンピュータのレジストリに保存されます。設定には、以下のものを含みます。
デスクトップおよびコントロール パネルの項目の追加と削除
ユーザーの操作を必要としないソフトウェアの自動インストール
セキュリティ ゾーンを含めた Internet Explorer の設定
マップされたネットワーク ドライブやコンピュータ一覧を表示する許可などのネットワーク設定
コンピュータ シャットダウンやタスク マネージャの実行などのシステム設定
IP セキュリティ ポリシー
インターネット プロトコル (IP) は、企業内ネットワークの大半やインターネットで利用されています。IP は、高性能で効率が良く費用効果の高いプロトコルです。IP の長所は、経路を制御しやすいパケットを利用し、データをネットワーク上で処理しやすい単位に分割することです。IP はオペレーティング システムの種類に関係なく、利用できます。
このような長所がありながら、IP はセキュリティを確保するプロトコルとしては一度も利用されませんでした。パケットを経由する方法に問題があり、IP を基盤にしたネットワークは、スプーフィングやスニッフィング、セッション ハイジャックおよび人間を介した攻撃 - IP を導入した当初は前例のない脅威に対して脆弱でした。
インターネットの安全性を確保する試みは、アプリケーション レベルでのプロトコルやソフトウェアで初めて行われました。具体的には、Web上の通信の安全を確保する Secure Sockets Layer (SSL) や 電子メールでの安全を確保する Pretty Good Privacy (PGP) などです。しかし、これらの技術は特定のアプリケーションでしか利用できません。
IP セキュリティを使用すれば、IP トラフィックを全て暗号化し安全を確保することが可能です。Windows 2000 では、IP セキュリティ ポリシーを使用し、IP セキュリティの動作方法、動作時間および適用ユーザーなどの制御が可能です。IP セキュリティ ポリシーでは、以下の様ないくつもの規則を定義できます。
スキャン対象の IP アドレス
パケットの暗号方法
IP セキュリティ ポリシーを適用したオブジェクトを通過する IP トラフィック全てを監視するフィルタの設定
セキュリティをサポートする機器や技術
ネットワークとコンピュータのセキュリティ確保のため、様々なテクノロジ、機器、および技術が利用されています。この項ではこのようなテクノロジをいくつか取り上げ、機能や利用法の概要を述べていきます。技術的評価については、ここでは追求しません。この項での主旨は、セキュリティ対策に携わる人や IT 管理者にテクノロジの概要をつかんでもらい、自分たちの組織に最もふさわしい機能や技術を選択してもらうことです。さらなる技術的研究は、Windows 2000 リソース キットに記載されています。また、この章の最後の参考文献の項にあるサイト先にも記載されています。
セキュリティに保護されたアクセス、データおよびコード
誰もが機密やプライバシーを守りたいと思いますが、ハッカーは、極めて重要な個人および組織情報を盗聴したり盗むことができます。ある企業が画期的な新製品を考え出し、その案件をコンピュータ システムに保存しようとする場合、システム上のデータや、他のシステムへのデータ転送の安全性を確保したいと考えるでしょう。ネットワークやデータ通信経路は、セキュリティが確保されていないことが多く、通信内容は受動的、能動的脅威にさらされます。受動的脅威とは、侵入者に通信内容を傍受され、内容を見られてしまうことです。このような侵入行為を盗聴といいます。能動的脅威とは、侵入者が、傍受した内容を改変することです。このようなデータ通信固有の脅威から通信内容を保護する有効な手段が、暗号化です。
暗号化とは、プレーンテキストと呼ばれる普通に読める文書を、普通に読むことのできないサイファーテキスト (暗号文)という形式にコード変換する技術です。この逆も暗号化といいます。コード変換のプロセスは、数計算の連続です。計算によりデータは表面上違ったものになりますが、内容は同じです。
通信内容を保護するため、発信者がプレーンテキストを暗号文に変換します。このプロセスを下記のフローに示すように、暗号化と呼びます。暗号文は、ネットワークやデータ通信経路を経由し転送されます。通信内容が傍受されても、侵入者がアクセスできるのは読解不能な暗号文だけです。受取人は受信後、元のプレーンテキストに変換します。このプロセスを復号化といいます。
プレーンテキストと暗号文とのコード変換に使用する計算が、暗号アルゴリズムです。暗号アルゴリズムにより文書をコード変換しますが、コード変換プロセスを制御するためには、少なくとも、ある値が必要になります。この値を鍵といいます。同じ文書に同じアルゴリズムを使用しても、鍵がその都度異なるのでコード変換の結果も異なります。
暗号化は、認証、整合性、非否認および機密性などのサービスに使用します。電子メールに暗号化を使う場合の例としては、以下のものがあります。
認証。これにより、受取人は通信内容が本物であると確認できます。また、関係のない人物が発信者になりすますことを防止できます。
整合性。これにより、受取人は通信内容が転送途中で改変されていないことを確認できます。ただし、このサービスでは、受取人は通信内容の改変を発見できても防ぐことはできません。
非否認。このサービスは、2 種類に分類できます。1 つめの非否認は、発信元を証明するサービスで、これにより受取人は、発信者の身元を確認できます。もう 1 つが、配信を証明するサービスで、これにより発信者は、メールの配信を確認できます。
機密性。これにより、権限のないユーザーは、メールを読むことができません。
Public Key Infrastructures
公開鍵 (Public key) 暗号方式は、機密性、認証、デジタル署名、および整合性などのセキュリティ サービスを提供する際に、重要な役割をはたします。公開鍵暗号方式では、公開鍵と秘密鍵の 2 つの電子鍵を使用します。2 つの鍵は、数学的には関連のあるものですが、公開鍵から秘密鍵を推測することは不可能です。公開鍵は、誰に教えてもかまいませんが、秘密鍵は持ち主が誰にも教えず保管しておきます。
Public Key Infrastructure (PKI) では、ユーザーに公開鍵を割り当てるための手段を提供し、多種多様な人間の集まりである巨大なネットワーク内で、信頼できる公開鍵を配信するためのサポートをしています。公開鍵は、公開鍵認証を受けて、その個人専用のものになります。この認証には、持ち主の名前などの情報が含まれ、信頼できる認証機関 (CA) が、公開鍵を発行します。別名デジタル ID とも呼ばれるデジタル認証は、電子的なものですが、自動車免許証やパスポートもしくはメンバーズ カードに相当するものです。デジタル認証を電子的に提示することで、身元やネットワーク情報にアクセスする権利を証明できるのです。デジタル認証は、身分証明だけでなく、Web サイト (E ビジネスには重要) やネットワークからダウンロードできるソフトウェアの証明にも利用できます。デジタル認証により、信頼性と安全性の確保をしながらインターネットで通信やビジネスが行えます。
PKI は多くの認証機関で構成されることが多く、各認証機関は信頼できるネットワークを通じて接続されています。接続の経路が何通りもある場合もあります。"ルート CA" と呼ばれる認証機関を基準に階層的に構成されている場合もあり、ルート CA が下層の認証機関に認証を発行します。独立した認証機関もあります。このような様々な形で PKI は構築されています。
デジタル署名
電子商取引はますます重要になっています。オンライン サービスや電子商取引を手がけている企業の多くは、電子商取引の信頼性を向上させる方法があれば、興味を持つでしょう。相手に銀行小切手 (為替手形) を渡す際、買い手は小切手に署名することで身分を証明し、取引を合法的に進めます。
PKI のデジタル署名技術が幅広く利用されれば、電子商取引の信頼性を高めることになるでしょう。例えば、デジタル署名を利用すれば、商品やサービスを誰が注文したのか証明できるので、間違いなくその人にお金の請求ができます。PKI を利用することで、知らない相手同士でも取引を行うことができ、取引の証拠も残すことができます。
例えば、インターネットで商品を購入したい場合、認証機関から公開鍵認証を取得する必要が出てきます。認証を取得する過程で、一対の公開鍵と秘密鍵を作成します。次に、公開鍵およびそれを作成した認証機関を保証する情報を登録機関 (RA) に送り、認証を依頼します。登録機関が、送られた情報をもとに身元確認を行い、認証機関に対しユーザーの身元を保証します。そこではじめて認証機関は、認証を発行します。
ここでようやく商品の購入ができます。注文を受けた側は、相手の認証およびそれを発行した認証機関の認証失効リスト (CRL) を入手できます。そこで認証が無効でないかチェックし、本物であるかどうかの確認を行うことができます。認証が有効だと確認することで、売り手は相手の公開鍵が本物であるとして受け入れます。注文時の署名を確かめることで、売り手は注文後に変更がなかったことを確認します。
認証と署名が有効であると分かれば、間違いなく注文した商品が配送されてきます。全く初めての場合でも、この様に取引を成立させることができます。
Secure Sockets Layer
Secure Sockets Layer (SSL) は、プロトコルの 1 つで Web ブラウザと Web サーバー間を流れるデータを保護します。また、SSL により、データがもとの Web サイトから来たもので、途中で改ざんされていないという保証を得ることができます。アドレスが "https" で始まる Web サイトは全て、SSL が有効です。
SSL が確保するセキュリティとプライバシーのレベルは、インターネットでセキュリティに保護された取引を望むユーザーのために作られました。SSL プロトコルは、インターネット上を転送される HTTP に、暗号化層を加えて保護します。これにより、サード パーティによる "スニッフィング" の影響を受けなくなります。
SSL が有効な Web サイトに接続している間は、暗号化されたセッションを通して通信をしているので、安心できます。クレジット カード番号やその他の機密情報を扱う電子商取引を手がけたいと真剣に考えている企業には、SSL はなくてはならないものです。SSL に保護されたサイトに接続したがどうかを知るには、Web ページアドレスの最初に "https" と表示されているかどうかを確認します。普段の HTTP - Hypertext Transfer Protocol - につけ加えられた "s" が、セキュリティに保護されていることを意味します。
インターネット上で SSL を利用したビジネスを行いたいと考えている企業は、VeriSign Inc. などの認証機関に問い合わせる必要があります。このような第三者機関が、企業の身元を証明します。一度証明してもらえば、SSL に対応した Web サーバーを設置できます。一般ユーザーは、SSL に接続するために特別なことをする必要はありません。クライアント側の設定は、Web ブラウザが行ってくれます。
セキュリティを確保した電子メール
標準的な電子メールは、通常プレーンテキストとしてネットワークに送信します。侵入者は、メール サーバーやネットワーク トラフィックをモニタすれば、機密情報を入手できてしまいます。
現在電子メール暗号化セキュリティ サービス導入のために、推奨されている実用的な方法が 2 つあります。Pretty Good Privacy (PGP) および Secure/Multipurpose Internet Mail Extensions (S/MIME) です。通常、発信者の認証およびデータの機密性を守るサービスが含まれます。また、受取人から署名付きの受け取り書を受信するサービスも備えています。これらのサービスを実現する上で重要なことは、公開鍵およびその技術を幅広く使用するには、鍵の持ち主が本人であると認証する方法が必要だということです。
PGP は、軍事レベルの暗号方式でコンピュータ ユーザーなら誰でも利用できます。PGP は、対となった鍵を使用します。公開鍵で暗号化すれば、それと対になっている秘密鍵でしか復号化できません。同様に、秘密鍵で "署名" された電子メールは、それと対になっている公開鍵で本物であることを証明できます。
S/MIME も同様に、電子メールを暗号化する際に使われる暗号方式で、大手の電子メール ソフト開発ベンダ全てが採用しています。S/MIME は公開鍵暗号方式を使用し、電子メールをやり取りする当事者間でデジタル署名および暗号化を行います。これを用いれば、他人に内容を読まれる心配もなく、間違いなく送り主から送信され、途中改変されることもありません。
暗号化ファイル システム
データの暗号化は、毎日の業務でますます重要な要素になっています。最も安心でき、しかも労力をできる限り使わないでデータのセキュリティを確保する方法が、待ち望まれています。アプリケーションの種類に関係なくどんなファイルも保護し、アプリケーション固有の暗号方法に依存しないセキュリティ システムが待ち望まれているのです。
ハイテク化した今日の社会では、電子的記録はそのまま業務に直結します。以前は、ネットワークに接続されたコンピュータを使ったり、ラップトップ型パソコンで遠隔操作することは、生産性を犠牲にするか損失を出すかのどちらかでした。重要な業務上のデータベースを持ち出すなどということは、問題外でした。
現在では、極めて重要な企業情報もメインフレーム コンピュータやセントラル サーバー内で孤立しているわけではありません。戦略プラン、研究、製品開発、市場データ、サード パーティの情報、およびその他の企業機密情報が、一般社員のコンピュータ上で幅広くやり取りされているのです。このようなワークステーション、デスクトップ型パソコン、ホーム オフィス内のパソコン、およびノート型パソコンは数が最も多く、どの企業でも最も目を付けられやすいもので、侵入や盗難に無防備です。たとえネットワーク への接続に高度なセキュリティ対策を施しても、そのセキュリティ対策に関知しない内部のワークステーションなら、ハード ドライブやネットワークに即座にアクセスできます。同様に、ノート型パソコンを盗んでしまえば、ライバル企業や権限を持たない従業員、そして情報をもとに利益を得ようとする人間が、簡単に重要データにアクセスできてしまいます。
情報を盗もうとする人間がディスク内のファイルを読めてしまう問題を解決するため、暗号化ファイル システム (EFS) を利用することができます。EFS は、Microsoft Windows 2000 の新機能で、機密データの保護が可能で、公開鍵の技術と組み合わせた対称キー暗号化を使用しています。ファイルを保護した所有者だけが、中身を開き通常の文書として読むことができます。EFS は、NT ファイル システム (NTFS) にも組み込まれています。フォルダやファイルごとに暗号属性の設定が可能で、これは他のファイルの属性変更と同じように行えます。 EFS によりプライバシーも保てます。ファイルを暗号化した本人以外には、指定された管理者だけが緊急の場合にかぎり復号化を行えます。EFS の操作は分かりやすく、ファイルの暗号化や復号化をユーザーが行う必要がありません。
認証
最近のコンピュータ システムは多数のユーザーにサービスを提供するので、どのユーザーがリクエストを送信したのかを正確に識別する能力を要求されます。従来のシステムは、ユーザーの識別はログイン時のパスワード入力で行います。システムは識別情報を記録し、それを使用してユーザーの操作許容範囲を決定します。ユーザーの識別を行うプロセスを認証といいます。パスワードを基本とした認証は、コンピュータ ネットワークでの使用には向きません。ネットワークに送信されたパスワードを傍受し、そのまま本人になりすますことが可能だからです。
誰であるのか何であるのかを識別し、確定することが重要です。管理者にとって、権限のないユーザーのなりすまし行為は、許し難いことです。管理者は、システムにログオンしているユーザー全員が、本人であると確認したいのです。Microsoft Windows 2000 は、2 種類の認証プロトコルをサポートしています。Kerberos 認証プロトコルおよび NTLM 認証プロトコルです。Kerberos 認証プロトコルは、 Windows 2000 を搭載しているコンピュータのデフォルトの認証プロトコルです。NTLM 認証プロトコルは、その他の Microsoft オペレーティング システムとの互換性を保持するためのものです。この章では、各プロトコルの様々な機能および適用方法の概要を述べていきます。
Kerberos 認証
Kerberos は、秘密鍵暗号方式を使用したクライアント/サーバー アプリケーション用の高度な認証サービスを提供します。Kerberos プロトコルは強度の暗号方式を使用しているので、セキュリティの確保されていないネットワーク上においても、クライアントがサーバーに対し (サーバーがクライアントに対しても) 識別情報を送信できます。Kerberos は信頼できる第三者機関による認証システムで、セキュリティの確保されていないネットワーク上において、認証過程 (Kerberos では principal といいます) におけるユーザーの身元を確実に証明するのが主な目的です。手の届かないところにパスワードを送信すれば傍受されたり、関係のない第三者に待ち伏せされる可能性があるので、principal では、Kerberos から特別な証明書 (セッション チケット) を取得し、それを利用して互いの身元を認証することができます。セッション チケットの有効期限は、ユーザーがログオンしている間だけです。
Kerberos 認証には、信頼できる独自のネットワークが必要です。このネットワークが、認証サーバーとして動作しクライアントやサーバーからの認証情報の要求に応えます。このような認証サーバーを、キー配布センター (KDC) といいます。KDC は、データベース上のユーザーおよびクライアント サービスの一覧、デフォルト認証パラメータ、秘密暗号鍵、およびその他のデータを利用します。通常、認証は一方通行です。これを通過することで、クライアントはサービスからの認証を受けます。Kerberos が NTLM に比べて優れている点は、相互認証を考慮している点で、これによりクライアントがサービスを認証します。
Kerberos 認証は、認証の標準形式であるセッション チケットが、クライアント アプリケーション、サーバー アプリケーション、および KDC を通過した際に実行されます。クライアント プロセスがユーザーに代わりに動作し、セッション チケットを用いてサーバーとの信頼関係を成立させます。KDC がチケットを生成し、要求のあったクライアント プロセスに送信します。Kerberos は、一組の秘密鍵を保存しており、この鍵は特定の領域 (Windows 2000 のドメインに相当するプロトコル) やドメイン内で認証を行った全てのものに必要です。 クライアントは、サーバーに principal がほんものであるという証拠としてチケットを提示します。サーバーに提示されたチケットにより、KDC がクライアントを認証した "証明" とします。
Kerberos は、NTLM とは逆にログインのプロセスおよびリソースへのアクセスを簡素化します。Kerberos 認証では、コンピュータはネットワークへの認証を得るため、最初に KDC に接続します。そして、ユーザーがリソースに初めてアクセスする段階で、コンピュータはそのリソースへのアクセスに必要なセッション チケットを取得するため、KDC に接続します。一度このプロセスを通過すれば、コンピュータは同じチケットを使用してリソースに接続できるので、ドメイン コントローラに最初に接続する必要はなくなります。この方法なら、ドメイン コントローラに余計に接続する必要がなくなります。この新しい認証プロセスにより、ユーザーはより速やかにログオンでき、より早くネットワーク リソースにアクセスできます。
NTLM 認証
NTLM 認証では、信頼できないネットワーク上に直接パスワードを送信することを避けるため、チャレンジ/レスポンス システムを使用します。簡単に言うと、サーバーがチャレンジという、一種の無作為な文字列をユーザーに送信します。次にユーザー側のコンピュータが計算をして、返信します。たいていはチャレンジとパスワード両方を基にして作用します。この方法なら、たとえ侵入者が有効なチャレンジ/レスポンスのペアを手に入れても、システムにアクセスすることはできないでしょう。次のチャレンジがまた違う文字列で、返信 (レスポンス) も違うものになる可能性があるためです。
Microsoft Windows NT では、クライアントはプライマリ ドメイン コントローラ (PDC) もしくはバックアップ ドメイン コントローラ (BDC) に接続をしてから、ドメインにログオンします。そして、クライアントがプリンタの共有などの特定のリソースとセッションを確立する段階で、そのリソースを保持しているサーバーにアクセスしようとします。するとサーバーは、そのリソースを保持しているドメイン コントローラに接続し、クライアントが要求した資格情報もしくはアクセス トークンを渡そうとします。Windows 2000 における NTLM は、Windows NT などの他の Windows 製品と互換性を持たせるためのものです。また Windows 2000 では、NTLM は Telnet サービスにも使われ、ユーザーがパスワードを読解可能な文字列として送信しないようにします。Telnet サービスが Windows 2000 で実行されるのは、Services for UNIX がインストールされている場合だけです。
スマート カード
通常、スマート カードはクレジット カードのような形をしており、少量のメモリや場合によっては集積回路が組み込まれています。スマート カードは、いわゆる磁気ストライプ型のカードに比べ多量のメモリを搭載し、情報を処理することができるので、この機能を必要とするセキュリティを確保しなければならない場面で使用されています。スマート カードは、ユーザーの秘密キーやパスワードを含む個人情報などのシステムへのログオン情報を保存する目的で使用します。通常、スマート カードを使用してログオンをする際は、ユーザーはコンピュータに接続された読み取り装置にスマート カードを挿入する必要があります。次に、読み取り装置のソフトウェアがスマート カードの情報を使用して認証を行います。パスワードやバイオメトリックス認証と併用すれば、セキュリティのレベルは向上します。ログオン時に単にパスワードを入力する認証は、スマート カードとパスワードを併用した認証に比べ、セキュリティが劣るということです。ファイル暗号化ユーティリティを使用すれば、スマート カードは電子的にロックを掛ける鍵となります。スマート カードには、このような使用方法もあるのです。
セキュリティを確保したコード
ネットワークを通してソフトウェアを配布する方法には、どうしてもセキュリティ上の問題が内在してしまいます。ソフトウェアに、ウイルスやトロイの木馬などのプログラムがまぎれこむ可能性があるのです。この様な問題に対処する手段として、デジタル署名をファイルに施すことができます。デジタル認証は、公開鍵暗号方式を使用して身元を証明する手段です。デジタル認証の際に署名されたコードにより、発行人の身元を確認し、署名後にコードが改ざんされていないことを保証します。認証と署名により、身元を確認し、ユーザーは相手の身元が確かなものであると判断します。ユーザーが初めてコードを実行すると、ダイアログ ボックスが表示されます。ダイアログ ボックスには、認証および認証機関へのリンク先の情報が表示されます。
Microsoft は、Microsoft Authenticode というテクノロジを開発しました。このテクノロジを使えば、開発者やプログラマーはソフトウェアにデジタル署名を施すことができます。ソフトウェアを一般公開したり、組織内に公開する前に、コードにデジタル署名を施すことができるのです。ソフトウェアが署名後に改変されるとデジタル署名は無効になります。Internet Explorer では、全てのセキュリティ ゾーンにおいて未署名のソフトウェアのダウンロードおよび実行を禁止するように、セキュリティ設定を指定できます。Internet Explorer では、特定のソフトウェア ベンダや機関を信頼できるものと判断し、そこからのソフトウェアおよびその他の情報は受け入れるように、設定を自動化することが可能です。
ネットワーク接続のセキュリティを確保するテクノロジ
企業やその他の組織がインターネットを利用するのは、有用なサービスを受けることができるからです。インターネットを基盤としたサービスをサポートするかしないかは、組織のビジネス プランおよび情報技術戦略プランを考慮した上で、選択すれば良いでしょう。言い換えれば、ビジネスで必要なことを分析し、それを満たせる方法を確定し、その方法におけるセキュリティのあり方をコストやその他の要因と共に考慮することが、組織には必要です。
組織の大半はインターネットを基盤としたサービスを、業者間や顧客との間での通信手段として大いに活用したり、業務処理を自動化する経費削減の手段として利用しています。そこでセキュリティが考慮すべきキー ポイントになります。 - たった一度のセキュリティ関連の事故で、インターネットから得ていた経費削減や利益が消し飛んでしまう可能性があるのです。
外部からの侵入行為を防ぐ方法には、ファイアウォールや virtual private networks (VPN) などがあります。
ファイアウォール
組織の大半は、組織内の LAN をすでにインターネットに接続しているか、接続を望んでいます。それにより組織内の人間がインターネットのサービスを十分に利用することができます。インターネットは、全体としては信頼の置けないものなので、組織内のシステムは誤操作や攻撃に対して脆弱です。 ファイアウォールは、信頼できるネットワークとそうではないネットワーク間のアクセスを制御する防護壁です。ファイアウォールは複数の構成要素でできています。つまりファイアウォールとは、組織内のインターネットに接続できる資源を保護するための戦略です。ファイアウォールは、信頼できないインターネットと信頼できる内部ネットワーク間における門番の役割をします。
ファイアウォールの主な機能は、アクセスを集中制御することです。外部の人間や遠隔地の社員が、ファイアウォールを通過せずに内部ネットワークにアクセスできてしまえば、ファイアウォールの効果は、望めません。例えば、オフィスの自分のコンピュータにモデムを接続している課長がいて、外出中でもそのコンピュータに電話をかけることができ、しかもそのコンピュータが内部ネットワークに接続されているとすると、そのコンピュータに電話をかければ、ファイアウォールを迂回して攻撃を仕掛けることが可能です。商用 ISP のダイヤル アップ用のアカウントを持ち、オフィスのコンピュータからモデム経由でインターネットへ接続しているユーザーがいる場合、セキュリティを確保せずにインターネットへ接続していることになり、ここからファイアウォールを迂回できます。ファイアウォールは、以下のような保護をしてくれます。
望まないトラフィックをブロックすることができる。
外部からのトラフィックを信頼できる内部システムに直接転送できる。
インターネットに対しすぐにセキュリティを確保できない脆弱なシステムを隠す。
内部ネットワークに入ってくる、もしくは出ていくトラフィックのログを取ることができる
システム名、ネットワーク トポロジ、ネットワーク デバイスのタイプ、およびインターネットに対する内部ユーザーの ID などの情報を隠すことができる。
標準的なアプリケーションに比べて、堅牢な認証を提供できる。
ほかのあらゆる防護手段と同じようにファイアウォールにも、利便性とセキュリティの間には、妥協点があります。ファイアウォールは、それを通過する内部ユーザーおよび外部の人間両方に開かれています。ネットワークにアクセスするためにファイアウォールに通知したりそこで停止したりしなければ、ユーザーはファイアウォールに気がつきません。ファイアウォールは通常、内部ネットワークのユーザーが、ファイアウォールの外部に出ようとする時には、開かれた構成になっています。一方、ファイアウォールの内部に入ってくる外部のネットワークには、閉ざされた構成になっています。一般的にこの構成を用いれば、内部ユーザーに大きな負担をかけないで最高レベルのセキュリティを確保できます。
ファイアウォールには、パケット フィルタリング ゲートウェイ、アプリケーション ゲートウェイ、およびハイブリッドもしくはコンプレックス ゲートウェイなどの種類があります。
パケット フィルタリング ゲートウェイ
パケット フィルタリング型のファイアウォールは、パケット フィルタリング ルールが動作するルータを使い、発信元アドレス、宛先アドレス、およびポートを基準にアクセスの許可もしくは拒否を行います。最低限のセキュリティだけを確保しますが、非常に低コストで、リスクの低い環境では十分選択肢にいれることができます。動作も速く柔軟で、ユーザーの目に止まることもありません。フィルタリング ルールをルータ上で保守するのは困難なことが多いのですが、ルールを作成し保守する作業を簡素化してくれるツールもあります。
フィルタリング ゲートウェイには固有のリスクが存在します。以下に示します。
発信元および宛先アドレスやポートには、IP パケット ヘッダが含まれていますが、この情報はルータが内部ネットワークにトラフィックを許可するかどうかの判断をする時だけ有効である。
IP もしくは DNS アドレス スプーフィングから保護しない。
一度アクセスがファイアウォールに許可されると、攻撃側は内部ネットワークのどのホストにも直接アクセスしてくる。
パケット フィルタリング ゲートウェイのなかには、高度のユーザー認証をサポートしていないものもある。
有用なログの記録をほとんど、もしくは全く取ってくれない。
アプリケーション ゲートウェイ
アプリケーション ゲートウェイはプロキシと呼ばれるサーバーのプログラムを、ファイアウォールで実行します。このプロキシが外部からの要求を受け取ると、検査をして、目的のサービスを提供する内部ホストに正式な要求を転送します。アプリケーション ゲートウェイには、ユーザー認証およびログの記録などの機能をサポートするものがあります。
アプリケーション ゲートウェイは最もセキュリティの高いファイアウォールとして考えられており、中の高程度のリスクがあるサイトには、以下に示すさまざまな利便性を提供します。
唯一のホスト アドレスとして構成することが可能で、外部ネットワークに対しては可視的あり、内部ネットワークの内外に転送される接続要求すべてに応える。
サービス毎にそれぞれプロキシを使用することで、内部ネットワークのサービスに直接アクセスすることを防ぎ、セキュリティを確保していない、もしくは構成の不十分な内部ホストを所有する企業を守る。
アプリケーション ゲートウェイを使用すればユーザー認証を強化することができる。
プロキシにより、アプリケーション レベルで詳細なログの記録を取ることができる。
ハイブリッドもしくはコンプレックス ゲートウェイ
ハイブリッド ゲートウェイは上記のファイアウォールを 2 つ以上組み合わせ、それらを並列にではなく、直列に配置したものです。直列に接続することで、全体のセキュリティが強化されます。逆に並列に接続すると、ネットワークのセキュリティの度合いは、各ファイアウォールのセキュリティを単に足した程度の強度になります。中から高程度のリスクのある環境では、ハイブリッド ゲートウェイが、理想的なファイアウォールでしょう。
仮想プライベート ネットワークおよびワイド エリア ネットワーク
組織の大半は、ローカル エリア ネットワークおよびインフォメーション サーバーを導入し様々な場所を結びつけています。組織内で、情報や別の LAN にあるリソースにアクセスする必要がある場合、専用線を使用し LAN をワイド エリア ネットワークに接続することがよくあります。専用線は、他の方法に比べ設置やメンテナンスにコストがかかるので、インターネットが、分断されている LAN を物理的に接続する魅力的な代替法になります。
インターネットをこの目的で使用する際の主な欠点は、2 箇所の LAN を仲介するインターネット上を流れるデータの機密性が不十分だということです。また、スプーフィングやその他の攻撃に対して脆弱なことも欠点の 1 つです。仮想プライベート ネットワーク (VPN) なら、暗号化を利用し必要なセキュリティ サービスを提供します。通常、暗号化はファイアウォール間で行われ、セキュリティを確保した接続を少数のサイトに制限します。
仮想プライベート ネットワークを構築する際に考慮すべき重要なことは、各サイトのセキュリティ ポリシーが同等でなければいけないということです。VPN は、基本的に巨大な 1 つのネットワークをつくり出しますが、本来はいくつもの独立したネットワークでした。VPN のセキュリティは、本質的にその最小公分母に従います。 - 数ある LAN の中で 1 箇所でもセキュリティの確保されていないダイヤル アップ接続を許可してしまえば、VPN 上のリソース全てが危険にさらされる可能性が出てくるのです。
リモート アクセス
業務上、情報システムにリモート アクセスする必要性はますます高まっています。これは、外出中の社員が電子メールを利用したり、セールスマンが社外から注文内容を入力する場面が増えたことや、新たな通信手段として企業が採用を決定したことが原因でしょう。コンピュータ システムにリモート アクセスすれば、アクセス ポイントの数が増えるわけですから、当然セキュリティは脆弱になります。
ダイヤル イン
遠隔地のコンピュータは通常、アナログ モデムを使い企業内に設置してある自動応答式のモデムにダイヤルします。この形式の接続においてセキュリティを確保する方法には、以下のものがあります。
ダイヤル イン アクセス番号の制御。この方法は、"War Dialer" という簡単な作りのソフトウェアによる攻撃に対して脆弱です。このソフトウェアは、自動ダイヤル式のモデムを使い電話番号を次々とスキャンしモデムの位置を割り出します。
ユーザー名/パスワードのペア。攻撃側は電話回線を盗聴し続けなければならないでしょうから、ダイヤル イン接続は、公衆回線上でパスワードを探り再利用可能なパスワードをほぼ無効化してしまう攻撃に対してはそれ程脆弱ではありません。しかし、内部ネットワーク上で同様の攻撃を仕掛けられると、ユーザーのパスワードに対する教育不足や社会工学のために、パスワードを容易に取得もしくは推測されてしまいます。
高度な認証。従来のパスワードによる認証をカバーしたり、代替する方法があります。以下にいくつか例を示します。
ダイヤル バック モデム。このデバイスを使うと、ユーザーは最初の接続の際にユーザー名とパスワードを入力する必要があります。すると企業内のモデムは、いったん回線を切断し認証を受けた接続先のユーザーの電話番号を調べます。次に企業内のモデムからユーザーのモデムにダイヤルをして、接続を確立します。
公開鍵認証。公開鍵を使用してログオン前に認証を行います。
Microsoft チャレンジ ハンドシェイク 認証プロトコル (MS-CHAP)。これは、CHAP の 1 つで、認証サーバー上でプレーンテキスト形式のパスワードを要求しません。
Microsoft チャレンジ ハンドシェイク 認証プロトコル v2 (MS-CHAP v2)。これにより、相互認証、より強度のある初期データ暗号鍵、および送受信用の暗号鍵の作成ができます。
拡張認証プロトコル (EAP)。これは、Point-to-Point プロトコル (PPP) を拡張したもので、ダイヤル アップ クライアントが接続する時に使用します。
組織がリモート アクセスできるユーザーをどこまで監視できるのかということも、問題点の 1 つになります。最も効果的な方法は、モデムを全てリモート アクセス サーバーもしくはモデム プールに接続することです。ユーザが、自分のコンピュータに接続されたモデムに接続することをコントロールしなくてはなりません。多くの場合、ファイアウォールを通さずにアクセスできたり、組織内部に分散したモデムを監視することが難しいため、これは許されません。モデムの使用は、セキュリティ上のリスクを内在しています。
ダイヤル アップ モデムの電話番号などの企業のコンピュータや通信システムへの接続に関連のある情報は、機密にするべきです。この様な情報は、電子掲示板に書き込んだり、電話帳や名刺に掲載したりしないようにしましょう。ネットワーク サービス管理者は、定期的にダイヤル イン用の直通回線を調査し、ポリシーが遵守されていることを監査しましょう。そして、定期的に電話番号を変更し、関係のない第三者が企業内の通信用の電話番号を特定できないようにしましょう。
侵入探知ツール
侵入探知とは、コンピュータもしくはネットワークに対する権限のない使用もしくは攻撃を探知する行為です。侵入探知 システム (IDS) は、このような悪用を探知するソフトウェアもしくはハードウェア システムです。IDS はコンピュータもしくはネットワーク内の機密性、整合性、および有効性に危険を与える行為を探知することが可能です。攻撃は、インターネット上の攻撃者、特権を悪用している内部の人間、および特権を掌握しようする内部の人間からのものなどが考えられます。
侵入行為を探知できることが、全ての大企業のセキュリティ基盤において急速に必要なものになっています。セキュリティの専門家の疑問は、侵入探査ツールを使用するかどうかではなく、どの機能や性能を使用するかであるべきです。しかしそれでも、IDS を購入することが正しいと言わざるを得ません。少なくとも 3 つの理由で、IDS を所有しておくことに頷けます。3 つの理由とは、攻撃および防ぎようのないセキュリティに対する脅威を探知し、ネットワークを隅々まで探られないように保護し、侵入の脅威があった場合の記録を取ることです。
現在実用的な IDS は、何種類かあります。監視や分析方法の違いで特徴づけられます。各 IDS には明確な使用目的、長所、および短所があります。IDS は、ネットワーク、ホスト、およびアプリケーションの 3 つのレベルでイベントの監視ができます。署名探知および例外探知の 2 つの技術を使用してイベントの分析を行うことができます。探知した攻撃に対し、自動的に反応できる IDS もあります。以下の項で各 IDS について述べます。
ウイルスの検出
アンチ ウイルス ツールには基本的に 3 つの機能があります。その機能とは、ウイルスの検出、識別、そして除去を行うことです。検出のタイミングには、プロアクティブ (予防)、アクティブ、およびリアクティブ (対処) があります。言い換えると、ウイルスの実行前、実行中、もしくは実行後に検出を行うということです。識別と除去の動作は、より単純で、ウイルスを検出してはじめて使用します。
検出機能によりシステム上のウイルスを検出します。これは、システムの様々な場所を検査します。ウイルスは、すでに実行されていたり、メモリに常駐していたり、実行可能コードに保存されている可能性があります。ウイルスを検出できるタイミングは、実行前、実行中、実行後、および自身を複製する時です。検出を分析する機能は、3 つに分類できます。
静止検出。この分析機能は、実行可能ファイルを実行させずに検査します。この方法は、感染したコードをシステムに組み込む前に検出する目的に使用できます。
途中検出。ウイルスが増殖するには、他のホスト プログラムに感染しなければできません。このような行為を防止する目的で作成された機能があります。この方法は、ウイルスが複製や常駐を試みた場合、感染したプログラムの実行を停止させます。
変種の検出。全てのウイルスは複製の過程で、実行可能ファイルを変異させる原因となります。つまり、実行可能ファイルが勝手に改変されているかどうかを検査すれば、ウイルスの存在を検出できることになります。この方法を整合性のチェックということもあります。気を付けなければならないのは、この種の機能が作用するのは感染した実行可能ファイルがシステムに組み込まれ、ウイルスが複製された場合のみ、ということです。
識別機能は、特定の実行可能ファイルに感染したウイルスを識別するために使用します。これにより、ユーザーはウイルスに関する追加情報を得ることができます。これは役に立ちます。なぜなら、他にどのような被害を被り適切に除去するにはどうしたらよいのかという糸口を与えてくれるからです。
除去機能は、感染した実行可能ファイルからウイルス コードを除去し、システムを感染前の状態に効率よく戻すためのものです。多くの場合、一度ウィルスが検出されると、多くのシステムや、同一システムの多くの実行ファイルから発見されます。オリジナル ディスクやクリーン パックアップから回復させていたのでは、大変つらい作業になってしまいます。
今まで述べた様々な機能を開発し、ウイルスに関する最新情報を公開しているサード パーティ ベンダはたくさんあります。組織がウイルスの検出と除去にどれ程の必要性を感じているのかに従い、入手すべき機能を決めましょう。
監査
システム上にリスクから保護する仕組みを構築したら、次にそれを監視する必要が出てきます。その仕組みが正常に動作することを、確かめたいと思うでしょう。また、誤操作やその他の問題が起こる兆候があれば、どのようなものも見逃したくないとも思うでしょう。このようにシステムの挙動を監視する行為を監査といいます。
オペレーティング システムの多くは、ログ ファイルを大量に保持しており、これにはコンピュータ上で起こっている事を記録として保存します。ログ ファイルはセキュリティ システムの重要な基本要素です。ログ ファイルは、監査記録というコンピュータの履歴を記録したもので形成され、これがあれば断続的な問題や攻撃を突き止めることが容易にできます。ログ ファイルを使用して情報を集めれば、バグの原因、侵入経路、および被害の範囲を特定できるでしょう。被害を食い止めることができない場合でも、少なくともその被害の記録を残せます。この様な場合にログは必ず必要なもので、システムの構築、調査の実行、証拠提示、保険金や適切なフィールド サービスを受けることが可能になります。
ただしログ ファイルには根本的な弱点があります。システム自身に記録することがよくあるので、改変や削除をされやすいのです。
監査イベント
どのイベントをいつ監査するのか、慎重に考えなければいけません。監査によって、システム本来の性能が損なわれる可能性もあります。システム上の全てのイベントを監査すると、システムのパフォーマンスは相当低下するでしょう。監査するイベントは、監査対象にしたいものを踏まえた上で慎重に選択するべきです。オペレーティング システムが監査するイベントには、以下のような様々なものがあります。
ログオンおよびログオフ情報
システム シャットダウンおよび再起動の情報
ファイルおよびフォルダへのアクセス
パスワードの変更
オブジェクトへのアクセス
ポリシーの変更
監査ログのほとんどは、履歴もしくはイベントのバックログを保存することができます。ログ ファイルは、いろいろな方法で設定することができます。以下に設定方法を示します。
ログ ファイルのサイズを一定の値に設定し、サイズを超えた場合は上書きをする。これは、ファースト イン ファースト アウトの構想に基づいています。
ログ ファイルのサイズを、一定期間経つと一杯になるように設定する。
ログ ファイルのサイズをある値に設定し、一杯になると手動でクリアする。
障害発生時でもシステムを稼働させるテクノロジ
コンピュータが故障しないという保証はありません。唯一できることが、故障しにくくすることです。欠陥のあるハードウェア、ハッカーによる攻撃、天災、停電、およびユーザーの誤使用が原因で、システムのデータが破壊されたり、ダメージを受けたり、削除されてしまうことがあります。このような脅威が起こる可能性がある場合、災害回復プランを実行する必要があります。
このような災害で組織が経済的損失を被らないために、データを回収し復旧するプランを策定しましょう。ここで、現在使用しているプランおよび復旧システムを確認するために、以下の項目を確かめる必要があります。
バック アップをする必要のある情報は何で、どのようなバック アップ戦略およびプランを考慮する必要があるのか?
バック アップは、組織内外のどちらに保存するのか? 組織内の場合、バック アップは耐火性金庫に保存するのか? 組織外の場合、緊急時にどれ程敏速にバック アップの準備ができるのか? バック アップは定期的に検査するのか?
Microsoft Cluster Server などのテクノロジは適切であるか?
どのように Redundant Array of Inline Disks (RAID) システムを実行するのが適切か?
非常に重要なハードウェアおよびソフトウェアのシステム構成情報の記録はあるか?
ユーザーや管理者が適切に専門知識に基づいた対応をするには、どのような教育が必要なのか?
障害や災害から復旧するには、どの記録を保存すべきなのか?
緊急時に対応できる事故対処班はあるのか?
ライセンスを受けたソフトウェア パッケージはどこに保存し、ベンダからはどのようなサポートを受けられるのか?
事故対処班やセキュリティ関係者は、火災訓練を行っているか?
これ以外にも、いろいろと項目や手順はあるでしょう。これはあくまでガイドラインであり、災害回復プランを策定する際の足がかりにして下さい。重要な手順を 1 つあげると、どのようなプランを実行したのかを常にテストすることです。ただ、管理者であるならほとんどの人が、回復手順をテストするには、資金と機材と時間が必要だと知っています。しかしプランおよび回復手順を策定し正しくテストを行えば、回復作業は簡単になるでしょう。以下は災害時の回復作業を容易にするための項目をいくつかリスト アップしたものです。
プランおよび回復手順は、障害が起きる前に策定する。障害が発生し業務の続行が長期間不可能になるのは、回復手順およびプランが正しく策定されていないのが原因の大半を占める。
ソフトウェアの構成情報を保存しておく。これには、オペレーティング システムのバージョン、サービス パックの更新、およびその他全てのソフトウェアを含む。
ディスクおよびパーティションなどのハードウェアの構成、接続されている周辺機器、および IRQ、DMA、I/O アドレスの情報を保存しておく。
バック アップが使用可能で最新であること常に確認する。できれば、バック アップをテストするための試験的な回復作業を行う。
Microsoft Cluster Server などの新技術を使う。これについては、後述します。
RAID テクノロジを使う。これについても、後述します。
場合によってはスタンバイ サーバーを使うこともできる。バック アップ情報を専用のコンピュータに保存する。
予備
緊急時に速やかに使えるように、予備を用意しておくはいいことです。ハードウェアおよびソフトウェア共に予備を準備しておきましょう。下記に示したものは、緊急時の予備として保持しておく必要があるハードウェアとソフトウェアの基本的な目録です。
マザーボード、CPU 、メモリ モジュール、ビデオ カード、モニタ、および電源
ハード ドライブ、フロッピー ドライブ、CD-ROM リーダーなど
ネットワーク カードおよびモデム
ネットワーク ケーブル、ハブ、スイッチ、ブリッジ、ルータ、およびその他のネットワーク関連のハードウェア
現在インストールしているソフトウェアおよびサービス パックのオリジナル コピー
現在インストールしているオペレーティング システムおよびサービス パックのオリジナル コピー
シリアル カードやプリンタ ポート カードなどのカード
プリンタ、スキャナ、およびマルチメディア デバイスなどの周辺機器すべて
どのハードウェアとソフトウェアの予備を準備するのかを決め、日頃のメンテナンスと記録の保存をしっかり行えば、エラーを事前に察知する有効な予防法になるでしょう。組織の多くは、重要なシステムの構成管理データベースや記録簿を保存しています。構成データベースがあれば、ソフトウェアやハードウェアの変更をいつ行ったのかを突き止めることができます。データベースに登録する基本的なシステム情報は、以下のものです。
ハードウェア構成
オペレーティング システムのバージョン、適用しているサービス パック、インストール済みのソフトウェア、およびパーティション情報などのディスク構成を含むソフトウェア構成
ネットワーク カード、プロトコル、およびあらゆる物理的、論理的アドレスなどのネットワーク構成
エラーと障害もデータベースに記録するようにしましょう。この履歴を作成すれば、エラーの発生する傾向や起こりやすいイベントを特定できることがよくあります。
メンテナンスのスケジュールは、システム全体をチェックするように作成しましょう。ログとシステム全体を監査し、アプリケーション ログを定期的にチェックしましょう。できれば、データ全体を保存してあるディスクやパーティションを最適化しましょう。Microsoft SQL Server や Exchange Server などのデータベースの整合性をチェックするユーティリティを実行しましょう。Regmon などのレジストリ監視ユーティリティを実行し、レジストリの変更を監視しましょう。また、Filemon などのファイル監視ユーティリティも実行しましょう。Regmon と Filemon ユーティリティは以下のサイトにあります。
https://www.sysinternals.com/ (英語)
事故対処班の設立
事故対処班を設立し、災害時にシステムの制御や回復の支援をさせましょう。事故対処班は、以下の情報を文書にして保管することが望まれます。
問題や緊急事態が発生した際、その内容に応じて連絡を取るべき人物への通知手順および通知方法
通知が必要な管理者の連絡情報
通知が必要なベンダやコンサルタントの連絡情報
通知が必要な経営者
その他重要なユーザー
フォールト トレランス
データの損失を最小限にとどめ、業務を続行することを考えるなら、Redundant Array of Inline Disks (RAID) や Microsoft Cluster テクノロジなどの技術を利用できます。この章では、RAID テクノロジに関して述べていきます。RAID とは、フォールト トレラント (障害耐性のある) ディスク構成のことで、物理的保存領域の一部にディスク内のデータを重複して保存します。重複している部分の情報を利用することで、1 台のディスクが故障した場合でもシステムは継続して稼働します。
RAID テクノロジは、ソフトウェアもしくはハードウェア システムとして稼働します。ハードウェアで RAID を実行すると、ソフトウェアに比べコストは掛かりますが、高速です。ハードウェアで稼働する RAID には、ディスクのホット スワップをサポートするものもあります。これをサポートしていると、管理者は故障したハード ディスクをコンピュータの起動中でも交換することができます。ソフトウェアによるフォールト トレラント RAID システムは、ハードウェア式に比べ安価で、Microsoft Windows NT および Microsoft Windows 2000 だけがサポートしています。フォールト トレラント RAID システムはどちらの方法であっても、ドライブが故障した場合にデータを再生し、新しいディスクにデータを再構築します。
様々な種類の RAID テクノロジが使われています。ここでは、最も一般的なディスク ミラーリングとパリティを付加するディスク ストライピングの 2 つの技術について述べていきます。
ディスク ミラーリング
ディスク ミラーリングでは 2 つのディスクだけを使います。一方のディスクの情報が、もう一方のディスクに複製されます。データがディスクに書き込まれると、もう一方のディスクにも書き込まれるのです。これにより書き込み時の速度が若干遅くなることがあります。ミラーリングとは異なる方法に、ディスク デュープレキシングがあります。この方法は、各ディスクにそれぞれ専用の制御装置を取り付けて、書き込みの速度を向上させ、どれか 1 つの制御装置が故障してもデータの二重化を行うことができます。ディスク デュープレキシングおよびミラーリングの操作方法をお読み下さい。
ミラー セットを使用する利点を以下に示します。
読み取り速度が速い。
障害からの回復がすみやかである。
ミラー セットをソフトウェアで実行した場合、システムとブート パーティションをミラーリングすることができる。
ミラー セットを使用する欠点を以下に示します。
書き込み速度が若干おそくなる。
データを保存するのに、保存領域全体の 50% しか使うことができない。1GB のハード ドライブが 2 台ある場合でも、1 台はバック アップ用になるので、データ保存用のドライブには残りの 1 台だけしか使えない。
ソフトウェアのミラー セットを使用する場合、フォールト トレラント ブート ディスクを作成する必要がある。
パリティを付加するディスク ストライピング
各ディスクに同じサイズのストライピングを行い、ストライピング セットを構築します。パリティを付加するストライピング セットは、ストライピング セット構成にパリティを付加します。
データは 2 台以上のハード ドライブに分散して書き込みます。その間、また別のハード ドライブがパリティ情報を取得します。この方法でデータとパリティ情報を書き込むと、データとパリティ情報は常に別々のドライブに保存されます。
この方法なら、ハード ドライブの 1 台が故障しても、残りの 2 台のドライブは他のドライブのパリティ情報を使い、消去された情報を再計算することができます。そして新しく交換したハード ドライブに、パリティ情報を使用して情報を復活させることができます。ハード ドライブの最小構成数は、ディスク ストライピングを含めて 3 台で、最大構成数は 32 台です。
パリティを付加するストライピング セットは、システムに巨大なデータベースがあり、読み取り操作を頻繁に行う場合に、有効に機能します。パリティを付加するストライピング セットが、すばやく読み取り操作を行うからです。パリティを付加するストライピング セットは、データベースの内容が常に更新される場合や、アプリケーションが高速にデータ収集を行う必要がある場合には、使わない方が良いでしょう。書き込み操作が増えるほど、パフォーマンスは落ちてしまいます。
パリティを付加するストライピング セットの利点を以下に示します。
読み取り速度は、1 台だけディスク ドライブを使用する時に比べ速い。ドライブをさらに追加すれば、読み取り速度はさらに速くなる。
パリティを付加するストライピング セットは、1 台のディスクにパリティ情報を保存する。ディスクを追加すれば、その分だけデータ保存領域が増える。
障害の発生したディスクを交換する場合、管理者にそれ程手間がかからない。
パリティを付加するストライピング セットの欠点を以下に示します。
ソフトウェアで実現する場合、ブートもシステム パーティションもストライピング セット上に保存できない。
書き込み速度は、パリティ情報を生成する必要があるぶん遅くなる。
ストライピング セットのハード ディスクが故障すると、要求に従い情報の再計算しなければいけないため、システムのパフォーマンスが落ちる。
パリティを付加するストライピング セットは、ミラー セットに比べ、パリティ情報を生成する必要があるぶんメモリを余計に消費する。
Cluster Server テクノロジ
コンピュータ システムが 1 日 24 時間、週 7 日、1 年 365 日休まずに稼働することを望む組織もあります。これを実現する手段として、cluster server テクノロジの導入が上げられます。cluster (クラスタ) とは、相互接続したサーバーの集まりで、リソースや負荷を共有する 1 つの装置として動作します。Cluster server テクノロジにより、ユーザーには相互接続されたコンピュータの集まりが、1 つのコンピュータのように見えます。ケーブル配線と cluster server ソフトウェアを用いて、コンピュータ同士を 1 つのクラスタとして接続します。Microsoft Windows 2000 advanced server には、クラスタ構築用のソフトウェアがすぐに使える状態で組み込まれており、これによりクラスタの管理ができます。Microsoft のクラスタ サービスとネットワーク負荷分散により、多層構成アプリケーションを利用している組織にアベイラビリティとスケーラビリティを提供します。
Cluster server テクノロジには、以下の機能があります。
フォールト トレランス。クラスタ内のコンピュータやノードに障害が発生しても、他のコンピュータは稼働し続けます。フォールト トレラント システムは、ハードウェアとオペレーティング システムを二重化し、2 台のサーバー間の全てのレベルで完全な同期を取り、同時に動作します。フォールト トレラント システムは、非常に高速な処理時間 (たいていは 1/1000 秒) を実現するフェールオーバー クラスタです。
高可用性。この機能は、障害の起きたシステムと障害に対処するシステムに自動的にレスポンスを送ることで、稼働時間を最大限に引き延ばすことが目的です。可用性を向上するには、サーバーをさらに追加します。障害発生時の負荷を軽減するためには、クラスタのシステムをバック アップします。サーバーは互いの動作を監視し続ける必要があり、数千分の一秒の単位で一貫性を保持しなければなりません。これは通常、相互のサーバーを直接接続し高速化することで、実現します。
リソースの共有。リソースの共有とは、ディスクの記憶域やプリンタなどのサーバー コンポーネントをクラスタ内の全てのノードで利用可能にすることです。これは、データベース サーバーには特に重要です。データベース サーバーは、大量のデータをコンピュータ間で共有しその一貫性を保持する必要があるからです。
読み取りの共有。読み取りの共有とは、クラスタ内の各ノードを通過するアプリケーションの処理を分散することです。これは、新規のログイン ユーザーをその時の負荷に応じて、別々のサーバーに分配することで実現できます。また、実行中のアプリケーションを別のサーバーに直接移動することもできます。
高スループット。高スループットは、ネットワーク上のリクエストやパケットを素早く処理できることを主眼としています。これは、Web サーバーや FTP サーバーなどのデータを送り出すことを主な目的にしているアプリケーションには最も重要なものです。この種のクラスタは、ネットワーク インターフェイスおよびサーバーへの要求経路を改善することを主眼としています。高スループットは、クラスタ ノード自身に構築することができ、また拡張分散デバイスのプロパティになることもあります。
Microsoft クラスタ サービスは 2 ノード クラスタを使用し、信頼できるアプリケーション、ファイル、および印刷サービスを利用可能にします。信頼できるデータベースとメッセージ サービスを構築するには、Microsoft クラスタ サービスと Microsoft SQL サーバーと Exchange Server を併用します。
インターネット用に作成された多層構成アプリケーションでは、ネットワーク負荷分散は、負荷分散と高可用性を第一層 - ユーザー インターフェイスに供給することで、IIS 5.0 の機能を拡張できます。Web クラスタでは、32 台までのサーバーを使用できます。
組織は、クラスタサービスや、ネットワークの不可分散を併用することで、包括的な e-コマース ソリューションを提供できます。Web サイトの例をあげると、ネットワーク負荷分散と IIS 5.0 を実装するフロント エンド Web サーバーをクラスタリングし、SQL Server Enterprise Edition を実装するバック エンド クラスタに接続する、などの利用方法があります。
スタンバイ サーバー
万が一、製品サーバーに障害が発生する場合に備えて、スタンバイ サーバーをセットアップしておくことが可能です。スタンバイ サーバーは、製品サーバーをミラーリングしたものです。障害発生時の代替サーバー、もしくは読み取り専用サーバーとして使用できます。
製品サーバーと同じオペレーティング システムとアプリケーションをロードすることで、スタンバイ サーバーを作成します。製品サーバーのデータのバック アップを作成し、そのバック アップをスタンバイ サーバーでリストアします。これによりバック アップの確認にもなります。ネットワークに接続する場合は、スタンバイ サーバーは製品サーバーとは異なる IP アドレスと名前で設定します。製品サーバーが故障し、スタンバイ サーバーに代替させる必要がある場合は、製品サーバーの IP アドレスと名前に変更しなければいけません。
スタンバイ サーバーを保守するために、定期的なバック アップとリストア作業を行う必要があります。例えば、毎週月曜日は完全バック アップを取り、その他の日は増分バック アップを取ります。そして、各バック アップを行った日に、スタンバイ サーバーをリストアします。
対処的セキュリティ プラニング
概要
対処的プラニングにおける目標は、災害が発生した際、できるだけ速やかに通常の業務を回復することです。効果的で良く考慮した不測事態対応計画を策定すれば、この目標を達成できます。
不測事態対応計画
不測事態対応計画とは、攻撃によりデータやその他のあらゆる資産が損害を被ったり、通常の業務や生産活動が停止したり、回復までに時間を要するなどの場合に策定しておくべき、代替案です。不測事態対応計画の最終的目標は、データの可用性、整合性、および機密性を保持することです。いわゆる "Plan B" のことです。攻撃および脅威の種類に応じた計画を策定しましょう。不測事態対応計画は、攻撃によりセキュリティ ポリシーおよびセキュリティ コントロールが破られた場合、いくつもの手順を踏まなければなりません。この計画には、組織が業務を続行するために誰が何を、いつ、どこで行わなければならないかを記載しましょう。
以下に例を示します。
生産拠点を他に移動する。
災害回復プランを実行する。
ベンダおよびコンサルタントに連絡する。
クライアントに連絡する。
定期的にリハーサルを行い、現在の不測事態対応計画の手順を関係者に徹底させる。
以下のポイントは、不測事態対応計画を策定するための必要事項の概要です。
現在の緊急時のプランおよび手順を、どのように不測事態対応計画に統合するのか考慮する。
現在の緊急事対応手順に基づいて業務の続行が行えるかどうかを評価する。
攻撃を受けた際の対応計画を策定する。その計画は、損害をくい止め、データ処理操作に与える影響を最小限にするのに十分なものとする。その計画を不測事態対応計画に統合する。
最新の考証および災害回復の検証を含む手順を保存する。
災害回復プランを併用して、一時的もしくは長期的な業務を行える環境を提供する。災害回復プランは、基準以上のセキュリティを確保し、回復過程、一時的な業務、および通常業務もしくは新たな業務に移行する場合において継続的にセキュリティが確保されていることを確認するためのものとする。
次に、上記の結果の概要をまとめた詳細な文書を作成します。文書には以下のものを含みます。
不測事態対応計画を検証するためのあらゆるシナリオ
組織外へのあらゆる依存や援助、および極めて重要な資源への取得困難が、不測事態対応計画に与える影響
回復作業時に遵守する優先順位および順位決定の根拠の一覧
不測事態対応計画は、策定した人物以外の第三者が検査と訂正を行うようにしましょう。これは、不測事態対応計画の要旨が明確で、誰が読んでも実行できるものかどうかを確かめるために必要です。
参考文献
Microsoft Windows 2000 Resource Kit
Microsoft Windows NT 4.0 Server Resource Kit
Microsoft Windows NT 4.0 Workstation Resource Kit
Practical Unix and Internet Security by Simon Garfinkel and Gene Spafford
Computer Security by Dieter Gollmann
An Intro to Computer Security by Del Armstrong - John Simonson
Automated Security By Donn Parker
Electronic Sabotage by Carol E. Brown and Alan Sangster
Special Report : DDOS wreaks havoc on the Internet
Have Script will Destroy (Lessons In DoS) by Brian Martin
Back-End System issues for online financial sites
Internet Security Policy: A Technical Guide by Barbara Guttman and Robert Bagwill: National Institute of Standards and Technology Computer Security Division
Threat Assessment of Malicious Code and Human Threats by Lawrence E. Bassham & W. Timothy Polk: National Institute of Standards and Technology Computer Security Division
A false sense of security by Julie Bort: Lantimes
Is the hacker threat real? By Christopher Null: Lantimes
Things that Go Bump in the Net by David Chess
Trusted Computer Security Evaluation Criteria (Orange Book): National Computer Security Center
The Trusted Network Interpretation ('Red Book'): National Computer Security Center
本書に記載されている情報は、発行時点で議論されている問題点に関する Microsoft Corporation の最新の見解を示しています。Microsoft は変化する市場状況に対処しなければならないため、本書の内容を Microsoft の確約事項として解釈してはならず、Microsoft は発行日以降に提示された情報の精度についてはいかなるものであれ保証致しません。
本書は、情報提供のみを目的としており、Microsoft は本書に記載されている情報について明示的にも暗黙的にも一切の保証を致しません。
Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT、および Office ロゴは、米国 Microsoft の米国およびその他の国における商標または登録商標です。
Macintosh は、Apple Computer, Inc. の登録商標です。