公開日 : 2003 年 11 月

トピック

概要
はじめに : OTG の任務と優先順位
OTG によるリスク管理方法
リスク管理における企業の役割
リスク管理によるセキュリティ ソリューションの作成
ネットワーク境界をセキュリティで保護する
まとめ
詳細情報

概要

Microsoft では、お客様が使用している環境を適切にセキュリティで保護することを支援するために、社内で実施している IT セキュリティに関する情報を共有することにしました。このドキュメントでは、悪意のあるユーザーや認証されていないユーザーがMicrosoft のデジタル資産にアクセスできないようにするために Microsoft Corporate Security Group で実施している対策について説明します。この資産保護活動は、定型的なリスク管理フレームワーク、リスク管理プロセス、および明確な組織内の役割と責任分担に基づいて行われています。このアプローチの根底には、リスクがすべての環境に付いて回るもので、積極的に管理すべきものであるという認識があります。このドキュメントに記載する原理と技術は、あらゆる組織のリスク管理に適用できます。

Microsoft が展開してきた独立したセキュリティに関するイニシアチブ、戦略、およびテクノロジは多くの場面で実装されてきました。このドキュメントに記載する重要なテクノロジは、Microsoft Windows Server" 2003 で実行されています。ただし、これらのテクノロジの大部分は、インフラストラクチャがMicrosoft Windows 2000 Server ベースであったときに開発したものなので、Windows 2000 Server にも実装できます。すべてのテクノロジや展開は、絶え間なく進化するセキュリティ要件、今後の戦略計画、および製品のテストや検証の必要条件に応じて成長し続けることが予測されます。

このドキュメントは、技術に関する企業の意思決定者、セキュリティ運営スタッフ、およびインフラストラクチャエンジニアスタッフを対象としています。詳細な手順を提供することを目的としたガイドではありません。企業の環境は企業によって異なります。ですから、このドキュメントに記載するアプローチ、デザイン、プロセス、および推奨事例は企業の環境の必要性に応じて適用してください。セキュリティ上の理由により、このドキュメントでは架空のドメイン名を使用しています。

はじめに : OTG の任務と優先順位

Microsoft の任務 :

世界中のユーザーと企業が持っている豊かな可能性を実現すること

OTG の任務 :

クライアント、ユーザー、およびパートナーの定義済み期待事項を上回る IT インフラストラクチャとアプリケーションを積極的に提供して、場所や時間を問わず仕事をしやすくすること

Microsoft Corporate Security Group の任務 :

体系的にリスクの評価、伝達、および緩和を行い、Microsoft の知的財産や生産性の損失につながる可能性のあるデジタル資産への悪意のあるユーザーまたは認証されていないユーザーによるアクセスを防ぐこと

Corporate Security Group から Operations and Technology Group (OTG) に報告が行われます。Corporate Security Group について説明する前に、まずMicrosoft と OTG の任務について、および OTG の IT に関する優先順位と IT 環境について説明します。

Microsoft の企業としての任務は “世界中のユーザーと企業が持っている豊かな可能性を実現すること” です。

OTG は、顧客に主眼を置いた組織です。この組織の任務は “クライアント、ユーザー、およびパートナーの定義済み期待事項を上回る IT インフラストラクチャとアプリケーションを積極的に提供して、場所や時間を問わず仕事をしやすくすること” です。

OTG の任務に含まれる “定義済み期待事項を上回る” という表現は、サービスに関する調査と分析に重点を置いていることを表しています。これは、“調査なくして管理できない”という見解に基づいています。たとえば、IT の運用に関するユーザーの期待事項は、サービスレベル合意書に記載しています。サービスレベル合意書に関する基準は、CIO (情報主任) の “スコアカード” で毎月見直されています。

OTG の IT に関する優先順位は以下のとおりです。

1. Microsoft の最初で最良の顧客となる

2. 聡明なリーダーシップを発揮する

3. 体系的なIT 戦略を設定する

4. 世界に通用するユーティリティを実行する

Microsoft の最初で最良の顧客となる

Microsoft の本業は、ソフトウェアのデザインです。そのため、OTG は世界規模の企業において一意な任務を担っています。たとえば、OTG は Microsoft の IT ユーティリティを管理するだけでなく、Microsoft のソフトウェアがリリースされる前にテストや展開を行う Microsoft 製品の最初のユーザーでもあります。また、製品テストのフィードバックから実稼働環境でのスケールや負荷について理解できるだけでなく、OTG による評価は Microsoft のビジネスにおいて目に見える形でメリットを提供しています。たとえば、2003年10月の時点において、OTG では、Windows Server 2003 を使用し、(800 台のインフラストラクチャサーバーと主要な基幹業務アプリケーションを含む) 約 4,200 台のサーバーを展開した企業インフラストラクチャを管理しています。さらに、MicrosoftWebサイト (www.microsoft.com) では、Windows Server 2003 を実行している 600 台以上のサーバーを使用しています。社内で実施している実稼働環境の評価活動においては、一般的な他の同規模の企業に比べて、非常に高い頻度で環境を変化させ、サーバーやデスクトップコンピュータには、より多くのソフトウェアを展開しています。

聡明なリーダーシップを発揮する

OTG では、早い段階でテクノロジを適用して、Microsoft のビジョンである最前線の IT プロ、開発者、およびインフォメーションワーカーの定義を推進しています。また、OTG では、製品に関するフィードバックをMicrosoft 製品開発グループに提供しています。

体系的な IT 戦略を設定する

OTG は、事業単位レベルおよび企業レベルの両方において付加価値の高い IT ソリューションを定義して配布するプロセスを先導する役割を担っています。IT インフラストラクチャは集中管理化されていますが、基幹業務アプリケーション開発は集中管理されていないので、戦略設定はOTG の重要な役割になります。アプリケーション開発は事業単位で個別に行われますが、OTG ではアプリケーション、データ センターでのホスティング、およびアーキテクチャに関するガイドや標準 (セキュリティ標準を含む) の集約的なサポートを提供しています。

世界に通用するユーティリティを実行する

OTG 固有の課題は、クライアントからの大きな期待と高度な技術を習得しているユーザーが存在する世界規模の環境において、世界に通用する可用性と信頼性が高い、コスト効率の良いソフトウェアを提供するだけでなく、上記に記載したすべての優先事項を実現することです。

Corporate Security Group、OTG、および Microsoft の任務は、いくつかの点において連携しています。たとえば、Corporate Security Group と OTG の両方の任務を正常に遂行するためには、調査が重要になります。また、ユーザーとビジネスに重点を置いている Microsoft の任務をサポートするためには、Corporate Security Group で生産性と知的財産に主眼を置く必要があります。この連携により、Corporate Security Group は Microsoft の事業主と効率的に提携して、適切なセキュリティ戦略を展開してきました。

Microsoft の IT 環境

Corporate Security Group で実施しているセキュリティに関するアプローチについて理解するには、IT 環境についても考慮する必要があります。OTG では、Microsoft がビジネスで成功を収めるのに重要な役割を担う大規模かつ動的な IT 環境を管理しています。OTG は、24 時間体制で 400 以上のサイトに散在している 55,000 人以上の従業員と 300,000 台以上のコンピュータを対象とした IT サービスを管理する責任がある組織です。300以上のサイトは、世界の主要都市にある営業所が所有しています。そのうち200以上のサイトには、IT で管理されたインフラストラクチャが存在しています。

Microsoft で実施しているテクノロジの早期展開と絶え間ない成長の結果、Microsoft の環境は非常に動的なものになりました。この環境には、世界中で使用されている単一の SAP R/3 インスタンスから調査、製品サポート、および製品開発などのグループで使用する部署やワークグループに特化したアプリケーションまで多岐にわたる 1,600以上の基幹業務アプリケーションが存在しています。OTG では、すべての基幹業務アプリケーションに対するサポートおよび追跡サービスを提供しています。また、Microsoft では電子メールも必要不可欠なアプリケーションです。1日に約800万通の電子メールがインターネット経由で送受信され、400万通の社内電子メールが送受信されます。

Microsoft の企業ネットワークは、世界最大規模の試験的なコンピュータネットワークです。Microsoft の企業ネットワークでは、開発やテストを行うために、さまざまなネットワークプロトコルが実行されていますが、本質的には伝送制御プロトコル/インターネットプロトコル (TCP/IP) ベースの環境です。この環境では、大量のデジタルデータや音声メッセージを移動するために、Synchronous Optical Network (SONET) 経由で高速な非同期転送モード (ATM) のバックボーン (170ギガビット/秒) を採用しています。

セキュリティ環境

Microsoft では、非常にアクティブで困難なセキュリティ環境を運用しています。Microsoft が直面している問題には、以下のようなものがあります。

• Microsoft に対して毎月 100,000 件の侵入が試行されます。

• Microsoft では、毎月 125,000件以上のウイルスに感染した電子メールメッセージを検査、スキャン、および除去しています。

• Microsoft では、製品を開発、テスト、およびサポートするために特別なセキュリティが必要な特殊な環境を使用しています。

• Microsoft の従業員の大部分は、技術に関して高い知識があり、製品の品質を上げるために使用できるツールの限界を日常的に模索しています。

これらの要因が重なると、大規模かつ動的なIT 環境では、潜在的な脆弱性が多数存在し、絶えず変化し続ける状況が発生します。その結果、セキュリティ組織は、多数の難解な可変要素を把握し、体系化して、対処する必要があります。Corporate Security Group では、効率的な意思決定支援機能を支援するため、セキュリティに関する問題を総合的に理解、伝達、および優先順位を決定するためのメカニズムを開発しました。この意思決定支援システムは、IT 環境のセキュリティを保証することを目的としたセキュリティの原則に基づいています。

セキュリティの原則

セキュリティの原則は、セキュリティで保護されたシステムをデザイン、開発、および運用するために使用する基本概念です。Corporate Security Group では、表 1 に示すようにセキュリティの原則を分類しています。表の各分類は、セキュリティの評価を行う対象となる重要な分野を表しています。

表 1 : セキュリティの原則

分類	セキュリティの原則
組織 : リスク管理とセキュリティに対する意識を高めるための経営陣の責任を対象としています	経営目標に応じたリスク管理を行う 組織内の役割と責任分担を定義する セキュリティで保護された環境のデザインに投資する セキュリティで保護された環境の運用を保証する
ユーザーとデータ : 認証、ユーザーのプライバシー、およびデータの承認が含まれます	特権を最低限に抑えるようにする データの分類と公正使用に基づいた判断を行う プライバシーと個人情報の保護対策を実施する データの整合性を保証する ID の安全性を監視する 可用性を組み込む
アプリケーション開発とシステム開発 : セキュリティで保護されたシステムのデザインと開発を対象としています	ライフサイクルにセキュリティを組み込む 詳細な防衛対策をデザインする 攻撃対象を減らす シンプルなデザインにする
運用と保守 : セキュリティで保護されたシステムを構築、保守、および運用するユーザー、プロセス、およびテクノロジが含まれます	システム保守を計画する セキュリティで保護された構成とハードウェアを実装する 監視と監査を行う インシデントに対応する 障害回復を確認する

Corporate Security Group では、以下の目的でセキュリティの原則を使用しています。

• ユーザーおよびパートナーがセキュリティに関する概念を理解して、その概念をセキュリティで保護されたシステムのデザイン、開発、および運用に組み込めるようにします。

• Microsoft 社内でセキュリティポリシー、セキュリティ要件、およびガイドを体系化し、伝達します。

• Microsoft 社内と社外のMicrosoft ユーザーの両方に対してセキュリティに関する問題点を伝達する方法を改善します。

これらのセキュリティの原則は、意思決定支援システムに影響を与え、企業ネットワークのIT 環境のセキュリティ状態を保証するためのガイドになります。

信頼性の高い保証

Corporate Security Group では、IT 環境を使用しているユーザーのセキュリティに対する推定期待事項を示すためのメカニズムとして “Five Trustworthy Assurances” (5 つの信頼性の高い保証) を制作しました。これらの保証は、OTG がデジタル資産の保護について確約できることとできないことを示すためのものです。また、このメカニズムを使用して、企業ユーザーに信頼できるデジタル資産を提供するという目的を達成できたかどうかを総体的に評価できます。信頼性の高い保証は、意思決定支援システムに含まれる 1 コンポーネントです。5つの保証では、リスク分析の基本要素として可用性、プライバシー、およびセキュリティを取り上げています。

OTG で提供している IT 環境を対象としたFive Trustworthy Assurances (5 つの信頼性の高い保証) は以下のとおりです。

1. ユーザーの ID が侵害されることはありません。

2. ユーザーは、必要なリソースをセキュリティで保護された状態で利用できます。「セキュリティによる保護」と「利用可能」の定義は以下のとおりです。

   • セキュリティによる保護 ‐ リソースが、改ざんされたり、認証されていないユーザーによりアクセスされることはありません。

   • 利用可能 ‐ リソースにはセキュリティの脆弱性はなく、各サービス合意書に基づいて利用できます。

3. ユーザーのデータと通信は非公開です。

4. ユーザーは、役割を理解し、セキュリティで保護された環境を維持するために必要な責任を果たします。

5. ユーザーは、自分に影響のあるリスクに関する情報を適宜受信します。

これらの保証を提供するために、Corporate Security Group ではリスク管理アプローチを使用しています。リスク管理は、継続的にリスクを特定、評価、および緩和するプロセスです。セキュリティに対するリスク管理アプローチは、ビジネスのニーズとセキュリティ対策にかかるコストの釣り合いが取れている必要があることを前提としています。Microsoft では、リスク管理アプローチを使用して、セキュリティに関するリスクを体系的に評価して優先順位を設定し、効果的な意思決定支援機能をサポートしています。

OTG によるリスク管理方法

このドキュメントの後半では、Corporate Security Group によるリスクの管理方法、IT 環境を管理可能なコンポーネントに分割する方法、および悪意のあるユーザーや認証されていないユーザーがデジタル資産にアクセスできないようにするために Microsoft 社内で行っている対策に重点を置いて説明します。詳細情報が利用できるものについては、リンクを提供します。

リスク管理

リスク管理を行うと、組織では限りあるリソースを体系化して優先順位を設定し、ビジネスに対するリスクを管理するための一貫性のある明確な方針を定めることができます。リスクのレベルを許容範囲内まで緩和するコスト効率の良い管理環境を展開することで組織に利益をもたらすことができます。

図 1 は、リスク管理フレームワークを適用することで全体的なリスクが緩和されることを示しています。

“許容範囲内のリスク”の定義やリスク管理アプローチは、企業によって異なります。正しい解答も間違った解答もありません。今日、多数のリスク管理モデルが使用されています。各モデルには、正確性、リソース、時間、複雑性、および主観性のバランスに関してメリットとデメリットがあります。Corporate Security Group のリスク管理モデルは、純粋な定量分析、セキュリティ投資に対する利得の分析、定性分析、および推奨事例のアプローチなど、さまざまなアプローチを組み合わせています。

Microsoft のデジタル資産に対するリスクを緩和して、セキュリティ制御を適用するために必要な作業を体系化して優先順位を設定するため、Corporate Security Group では典型的なリスク管理モデルに基づいたフレームワークを開発しました。

Microsoft Corporate Security Group のリスク管理フレームワーク

安定したフレームワークを使用し、役割と責任分担が定義されたリスク管理プロセスに投資をすると、組織では、脅威の優先順位を明確にして、脅威を緩和するための計画を行い、今後のビジネスに対する脅威や脆弱性に対処できます。セキュリティリスクの管理方法を改善するため、Corporate Security Group では、以下の繰り返し行われる 4 段階のプロセスで構成されている典型的なリスク管理アプローチに従っています。

1. リスクの評価 ‐ 評価方法論を実行してリスクを評価します。

2. ポリシーの定義 ‐ リスクを緩和するためのセキュリティポリシーを開発します。

3. 制御の実装 ‐ 費用対効果分析の結果に基づいてリスクを緩和するようにデザインされたユーザー、プロセス、およびテクノロジを体系化します。

4. 監査と調査 ‐ 効率を上げるために環境を監視、監査、調査、および制御します。

図 2 に Corporate Security Group のリスク管理フレームワークの手順を示します。

フレームワークの最初の段階では、リスクの評価を実行してリスクを検証します。Corporate Security Group では、各分類のガイドとしてセキュリティの原則を使用して、リスクの評価を実施しています。

2番目および3番目の段階では、セキュリティ制御を定義して実装しています。セキュリティを制御するには、テクノロジ (スマートカードやIPsec を使用したネットワークのセグメンテーション) または動作に関するポリシー (未認証のモデムを使用することを禁止する) を実装できます。

4番目 (最後) の段階では、セキュリティ制御を実装した後に、リスクを評価して、その効果を調査します。この調査結果は、セキュリティ制御を実装した後に期待されるリスクのレベルと実際に達成されたリスクのレベルを比較するのに使用します。この新しいリスクのレベルは、次のサイクルのリスクの評価でデータとして使用されます。

リスク評価のコンポーネント

リスク管理プロセスの最初の段階 (リスクの評価) は、ビジネスにおけるセキュリティの問題を理解して、利用可能なリソースのリスク緩和に関する優先順位を設定するために重要な段階です。図3にリスク評価の基本的なコンポーネントを示します。

リスクのコンポーネントを評価するための一貫性のある構造を伝達することで、デジタル資産の所有者およびOTG は進行状況の追跡に共通の分類を使用し、評価プロセスに加担しています。多くの利害関係者が、各コンポーネントに対して十分な対応を行う必要があることに注意してください。このことは、新しい制御ソリューションを評価したときに、ビジネスの主要な分野に与える影響の負担が大きい、脆弱性が発生する可能性が高い、および費用対効果分析の結果が大きい場合に特に注意する必要があります。利害関係者には、リスクの予測に携わるリスク管理の専門家、特定の脆弱性や脅威が発生する可能性を把握しているセキュリティアナリスト、セキュリティ保護対象のデジタル資産の価値を熟知しているデータの所有者、およびリスクを緩和するために実施できるセキュリティ制御を特定できるセキュリティアーキテクトとエンジニアが含まれることがあります。

セキュリティ制御のレベルによる“影響”について理解を深め、資産の価値とリスクの組み合わせに基づいてレベルが高度化しているセキュリティ制御を適用するため、Corporate Security Group では価値に基づいて資産をグループ化する分類システムを開発しました。

データの分類

すべてのデジタル資産のビジネスにおける価値は均等ではありません。価値が低く、Five Trustworthy Assurances (5 つの信頼性の高い保証) を実現するのに必要なコストが見合わないと判断される資産もあります。逆に、Five Trustworthy Assurances (5 つの信頼性の高い保証) を実現するために必要な追加の制御にかかるコストが正当化される非常に価値の高い資産もあります。Microsoft が所有している大部分のデジタル資産は、Five Trustworthy Assurances (5 つの信頼性の高い保証) に記載したレベルのリスク緩和を行う必要があります。　

コスト効率の良い方法で、リスクを許容範囲内のレベルに緩和するために、Corporate Security Group ではデジタル資産をデータの種類別に分類しています。データの分類を行うと、デジタル資産の保護計画のコスト効率が良いかどうか、および優先順位が適切に設定されているかどうかを判断するのに役立ちます。また、データの分類を行うことで資産に対する影響を把握できます。これは、全体的なリスクを評価する際の重要な変数になります。

データの分類学には有名なものがありますが、Corporate Security Group では資産を以下の3種類に分類しています。

• 高価値 ‐ Microsoft の最も重要なデジタル資産が対象となります。Corporate Security Group では、Five Trustworthy Assurances (5 つの信頼性の高い保証) 以外にも複数の強力なセキュリティ制御の手段を提供します。この分類では、追加の制御にかかるコストは、資産に対する全体的なリスクのレベルをできるだけ低くする必要があるというビジネスのニーズによって正当化されます。たとえば、Windows ソースコードサーバーには貴重な知的財産が保存されています。ソースコードが侵害されると、Microsoft には大きな悪影響を及ぼす可能性があります。そのため、セキュリティ制御のレベルおよびコストが高くなることは正当化されます。

• 中価値 ‐ 大部分のデスクトップコンピュータやサーバーおよび OTG で提供しているサービスが対象となります。たとえば、この種類に分類される資産には、ファイル共有サーバー、電子メールインフラストラクチャ、およびMicrosoft の運営計画データが含まれます。Corporate Security Group では、資産の所有者側で特別な操作を行う必要なく Five Trustworthy Assurances (5 つの信頼性の高い保証) を提供することを保証しています。

• 低価値 ‐ 比較的リスクが低く、その価値がコストの高いセキュリティ制御に見合わない資産が対象となります。たとえば、一部のテストラボには貴重なデータはほとんどなく、データが損失した場合に伴うリスクは許容範囲内になります。この場合、基本的なネットワーク制御、セキュリティの脆弱性に関する調査、およびウイルス対策ソフトウェアのインストールを行うことで、リスクを十分なレベルにまで緩和することができます。Corporate Security Group では、この種類に分類される資産に対して Five Trustworthy Assurances (5 つの信頼性の高い保証) を提供することは保証していません。ただし、この種類に分類される資産が上位の種類に分類される資産に対する脅威にならないよう、ビジネスのニーズに応じて IT サービスやリスク緩和のサポートを提供しています。

リスクと制御

リスク管理における重要な見解は、デジタル資産に対してリスクのレベルを許容範囲内まで緩和する適切なポリシーおよび制御を適用することです。表2は、データの分類に基づいて制御がどのように適用されているかを示しています。データの分類の価値が下がるほど、適用する制御の数とコストも下がります。

表 2 : データの分類とセキュリティ制御の例

データの分類	OTG サービスの例	セキュリティ制御の例
高価値	OTG で管理している高価値サービス ソースコードへのアクセス 人事データの管理	ユーザー : 2 要素の認証、明示的なユーザー認証が必要です デバイス : 明示的なユーザー認証とコンピュータ認証では IPsec が必要です
中価値	OTG で管理しているサービス ファイル共有 メール	ユーザー : 1 要素の認証、承認済みユーザー定義グループ デバイス : IPsec が必要です
低価値	基本的な OTG ネットワークサービス イントラネットの参照または仮想プライベートネットワーク (VPN) 用のネットワーク接続 整合性を確認するための制限付きネットワーク接続	認証 : 1 要素、制限付きのサービス (たとえば、Outlook Web Access のみを提供)

どれだけ多くの制御を用いても、リスクを完全に排除することはできません。一部のリスクは“仕様”によるものです。セキュリティで保護されたIT 環境を実現するには、リスクを許容レベルまで緩和するためにどこに制御を追加するべきかを理解することが重要となります。

セキュリティ エコシステム

全般的に、企業のIT 環境は扱いにくいものです。企業のIT 環境は恒常的に変化し、セキュリティに関しては “万能サイズ” のソリューションを適用できません。Corporate Security Group では、Microsoft の IT 環境をセキュリティエコシステムで構成されている管理可能なセキュリティコンポーネントに分割して、この問題に対処しています。このエコシステムは、外部環境および相互に対話している個別のコンポーネントで構成されています。Microsoft では、エコシステムには5つの環境 (データセンター、管理されているクライアント、管理されていないクライアント、リモートアクセスクライアント、およびエクストラネット) が含まれていると見なしています。個別の環境を定義する要素には、共通の事業目的を持つデータ、コンピュータ、ユーザー、および機能が含まれます。企業の IT 環境を 5 つのコンポーネントに分割することによって、Microsoft ではセキュリティに関するリスクを緩和して、リスクが発生する対象となる分野を限定しています。

セキュリティ ベクトル

エコシステムの各コンポーネントを特定したら、今度はCorporate Security Group が各コンポーネントの脆弱性や実施するセキュリティ制御を特定するために、これらのコンポーネントをグループに分割するフレームワークが必要になります。Corporate Security Group で使用しているフレームワークは以下の 5 つのベクトルで構成されています。

• ネットワーク ‐ データ転送およびインフラストラクチャデバイス

• ホスト ‐ オペレーティングシステムおよびコアサービス (たとえば、データベースサービス、Web サーバー、メールサーバー、ファイル共有など)

• アプリケーション ‐ 社内および社外で開発されたアプリケーション

• アカウント ‐ ID と関連付けられているデバイスまたはユーザー資格情報

• 信頼関係 ‐ Active Directory ディレクトリサービスおよび証明書ベースの信頼関係にマップされている管理モデル

図 4 にエコシステムの各コンポーネントおよび 5 つのベクトルを示します。

Corporate Security Group では、エコシステムと5つのベクトルという概念を導入することによって、セキュリティ問題の分野を体系化できるようになりました。リスク管理フレームワークを適切に配置すると、エコシステムのコンポーネントのリスクを個別に評価して、各コンポーネントに適切なセキュリティ制御を配置できます。

エコシステム、5つのベクトル、およびリスク管理アプローチを組み合わせることにより、エコシステムの各コンポーネントのビジネス ニーズに適したリスク管理が提供されます。たとえば、企業ネットワークに接続しているリモートユーザーのリスクを評価する際、5つのベクトルを評価した結果、いくつかの制御が配置されました。5つのベクトルのうち以下の4つのベクトルで脅威が特定されました。

• ホスト :別のコンピュータ上にあるデータへの承認されていないアクセス

• アプリケーション:リモートコンピュータ経由で社内アプリケーションへの承認されていないアクセス

• アカウント:権限を拡張または昇格するのに使用できる資格情報への承認されていないアクセス

• ネットワーク:リモートコンピュータからの過剰なネットワークアクセスによる可用性の拒否

リスク管理の例

ここでは、Corporate Security Group がリスク管理プロセスを使用する方法の例として OTG の “Network Segmentation with IPsec” (IPsec を使用したネットワークのセグメンテーション) プロジェクトを使用します。リスク管理プロセスには、詳細なリスクを特定して、その特定したリスクを緩和するための技術的な対策を実際に配置することまでが含まれます。ここでは、このプロジェクトをIPsec プロジェクトと呼ぶことにします。

IPsec プロジェクトでは、企業ネットワークのホストを“管理されたコンピュータ” と “管理されていないコンピュータ” の2 つの大きな種類に分類することを目標としています。この論理的な区分により、ネットワークレベルのアクセスは OTG のセキュリティ要件を満たしているデバイスのみで許可され、既定では管理されていないデバイスからのアクセスは拒否されており、OTG で管理しているコンピュータで発生するリスクを緩和するのに役立っています。OTG により “管理されているコンピュータ” として定義されているのは、OTG の管轄下にあり、OTG で監視メカニズムと修正プログラム管理メカニズムの対象となっている Windows Active Directory ドメインに参加しているコンピュータです。Microsoft のネットワーク上に存在する多くの管理されていないデバイスは、主に製品テスト、デバッグ、個人的なラボで使用されているため、OTG で管理しているドメインには参加していません。Corporate IPsec ポリシーでは、認証メカニズムとしてKerberos を推奨しており、2番目の認証メカニズムとしてコンピュータベースのデジタル証明書を使用できるようになっています。　

IPsec プロジェクトの例では、Corporate Security Group は、OTG で管理されているコンピュータが Microsoft の企業ネットワーク上の管理されていないコンピュータから行われたネットワーク層への攻撃により生じた不要な脅威にさらされていたことを特定しました。リスクの評価では、脅威と影響の可能性を調査しました。次に、このリスクに対処するための詳細なセキュリティ要件を作成しました。その後、インフラストラクチャアーキテクトとネットワークエンジニアは代替の制御について比較検討を行い、技術的なソリューションとしてはIPsec を使用した論理的な区分が最適だと判断しました。プロジェクトの実装チームを結成し、IPsec の展開を行いました。特定したリスクの緩和に関するこのソリューションの有効性は、ソリューションの実装中および展開の完了後に評価します。

IPsec プロジェクトのリスク評価は以下のとおりです。

• 資産 : データの分類が “高価値” および “中価値” のデジタル資産を保護します。

• 脅威 : 承認されていないアクセス、“有線による” データ整合性の侵害、および広範な攻撃につながる可能性がある情報収集。

• 影響 : Microsoft では、盗難または破損したデータや知的財産により利益や評判を失うという損害を受けます。Microsoft 社員の生産性が落ちます。

• 脆弱性 : バッファオーバーフロー攻撃、修正プログラムが適用されていない脆弱性への攻撃、または不適切なシステム構成への攻撃などのネットワークレベルの脅威により攻撃が行われることがあります。また、ハッカーが管理されていないコンピュータに侵入して、管理されたコンピュータに攻撃を加える可能性があります。

• 現在の制御 : ウイルス対策ソフトウェア、ルーターやファイアウォールによる選別、修正プログラムの管理、集中管理されたセキュリティ構成、およびその他の手段。

• 可能性 : 高。現在の制御を使用した場合にも攻撃が発生しており、今後も攻撃が発生する可能性があります。

• 現在のリスクのレベル : 1 年以内にデータの分類が “高価値” または “中価値” のデータが侵害される可能性は中程度から高程度です。

リスク管理における企業の役割

Corporate Security Group は、リスクの優先順位設定や整合性を確認する際に重要な役割を担っています。ただし、OTG や利害関係者の貢献や所有権について認識することは重要です。Corporate Security Group と OTG の機能の主体性を保つため、OTG ではグループ間の連携を奨励すると同時に、最適なバランスを保った状態で任務を分離するような役割を定義しました。

表 3 では、OTG のリスク管理における役割と責任分担について説明します。表に記載する対応策はIPsec プロジェクトの例に基づいています。

表 3 : リスク管理の役割

タスク	組織の所有権 (役割)	IPsec プロジェクトの対応策
1. 組織内の IT リスクを特定して優先順位を設定します。	第 1 の所有権は Corporate Security Group にあります。	Corporate Security Group では、管理されていないコンピュータから管理されているコンピュータに対するリスクを特定して、そのリスクに優先順位を設定した一覧を作成しました。
2. リスクを許容範囲内のレベルまで緩和するためのセキュリティポリシーを定義します。	第 1 の所有権は Corporate Security Group にあり、OTG や事業主との間の連携プロセスを先導して、適切なポリシーを定義します。	Corporate Security Group では、特定したリスクを緩和するために、管理されたコンピュータと管理されていないコンピュータ間の区分を指定したセキュリティ要件に関するドキュメントを作成しました。
3. リスクを緩和するためのソリューションを開発します。	第 1 の所有権はエンジニアと OTG にあります (ただし、Corporate Security Group の協力が必要です)。	インフラストラクチャアーキテクトおよびネットワークエンジニアは、IPsec 技術に基づいたソリューションをデザインしました。OTG は、IPsec プロジェクトを実装、配置、および監視します。
4. ソリューションを効率的に運用します。	第 1 の所有権は OTG にあります。	サポート対象となる層を整備して、サポートプロセスを配置しました。
5. 整合性を調査するために監査および監視します。	Corporate Security Group はポリシーを実施します。	ソリューションの配置中および配置後に、Corporate Security Group ではソリューションの有効性を監査および評価しました。

図 5 は、リスク管理プロセスの各手順の対応策に対する各役割の体系化されたマッピングを示しています。

セキュリティに関するリスクから適切な制御ソリューションを導き出すことは複雑な作業なので、セキュリティ管理プロセスにおいて役割や責任分担を明確に定義することは有益です。セキュリティ管理プロセスには多くの組織やグループがかかわっているため、各組織やグループがセキュリティ制御を効率的に実現および維持するためにそれぞれが貢献すべきことを理解することが重要になります。ビジネスに対するリスクを評価および伝達するために、セキュリティの専門家が必要になることもあります。ただし、デジタル資産を保護および維持する最終的な責任は、資産の所有者にあります。

Corporate Security Group の構成

Corporate Security Group の任務は、“デジタル資産の評価、伝達、および緩和を体系的に行い、Microsoft の知的財産や生産性の損失につながる可能性のある悪意のあるユーザーまたは承認されていないユーザーによるデジタル資産へのアクセスを防ぐこと” です。企業のIT 　セキュリティに関するリスクを管理するためには、訓練を受けた専門家チームが必要になります。図 6 に Corporate Security Group で定義した組織の役割を示します。

Threat, Risk Analysis and Policy

Threat, Risk Analysis and Policy チームは、セキュリティポリシー、リスク評価、およびリスク管理フレームワークの所有者に関する唯一の信頼できる情報源としての役割を担っています。

このチームでは、現在の環境の IT 資産、リスク、およびリスクの緩和を評価して優先順位を設定します。また、今後発生するリスクとリスクの緩和を分析および管理するプロセスも管理しています。主な役割は以下のとおりです。

• セキュリティポリシーとセキュリティ要件に関する唯一の信頼できる情報源を開発します。すべてのポリシーが特定したリスクの緩和に役立つことを保証します。

• Microsoft 製およびサードパーティ製のセキュリティ製品の早期導入により、Microsoft の優良顧客になります。

• 一貫性のある拡張可能なセキュリティデザインレビュープロセスを提供します。このプロセスでは、Corporate Security Group に所属するレビュー対象事項の専門家が参加した脅威の評価やセキュリティで保護されたデザインのコンサルティングを提供します。

• リスクの発生率が高い分野に対してセキュリティ標準を促進します。

Assessment and Compliance

Assessment and Compliance チームは、セキュリティの監査および実際の脅威の評価のさまざまな側面を対象とした専門家で構成されています。主な役割は以下のとおりです。

• セキュリティサービスの管理 : セキュリティ要件の定義、ポリシーの開発、および監査計画、監視計画、修正計画の実行により主要な環境のセキュリティを強化します。

• セキュリティ評価サービス : 優れた IT セキュリティ評価サービスを実行し、セキュリティポリシーおよびセキュリティ標準に応じて、重要な IT 資産をセキュリティで保護します。たとえば、Attack and Penetration チームでは、エコシステムのすべての層に対して実際の脅威を評価する監査サービスおよびコンサルティングサービスを提供しています。これには、ネットワーク、ホスト、アプリケーション、信頼関係、およびアカウントレベルの制御が含まれます。このチームは、高度な技術を有する内部および外部からの脅威に対する OTG によるセキュリティ制御の効果を調査し、その後、リスクを緩和するコスト効率の良いソリューションの開発支援を行うことを目的としています。

• 整合性と修正 : 体系的に脆弱性を特定し、所有者と協力して修正を行うことによって、管理された環境内のアカウント、信頼関係、ホスト、およびネットワークが Corporate Security Group で実施したポリシーに準拠していることを保証します。

Monitoring, Intrusion Detection, and Incident Response

Monitoring, Intrusion Detection, and Incident Response チームの主な役割は以下のとおりです。

• 侵入の検出 : 環境間で行われるアクティビティおよびイベントを監視します。

• 重要なインシデントへの対応 : 環境内のネットワーク侵入者に対する対応および修正を行います。

• 第 1 層のセキュリティサポート : 小規模なウイルスまたはネットワーク攻撃の問題に対して迅速な対応および解決方法を提供します。

• 科学的な捜査 : ホストに対して電子証拠物の回復サービスを提供します。

• IT の調査と整合性の監視は以下のように行われます。

  • すべての報告された承認されていないネットワークアクセスを調査します。

  • すべての承認されていないピアツーピアファイル共有を調査します。

Shared Services Operations

Shared Services Operations チームは、セキュリティインフラストラクチャのサポートおよびアクセス管理を行う役割を担っています。主な役割は以下のとおりです。

• 米国で実施している柔軟な Physical Access and Global Remote Security Access プログラムを開発および管理します。

• 以下の事項を含む集約的なクライアントサポート提供する公開キー基盤を管理します。

  • スマートカードの発行

  • 第 2 層と第 3 層のサポートおよびトラブルシューティング

  • カードアクセスの発行

  • 暗号化に主眼を置いたソリューションのデザイン

  • 公開キー基盤 (PKI) 証明書のサポートおよびトラブルシューティング

• Corporate Security Group 主導で行っている重要な情報のセキュリティリスクを緩和するためのプログラムを管理します。

• セキュリティツールを管理します。

リスク管理によるセキュリティ ソリューションの作成

このドキュメントで既に説明したフレームワークを使用して、リスク管理プログラムを始動することにより、Microsoft は(他の企業と同様に) 無数のセキュリティに関するリスクに直面していることがわかりました。OTG は、5 つのエコシステム環境と5つのベクトルでリスクを評価し、リスク緩和の戦略を以下の 4 つの実行グループに分類しました。

• ネットワーク境界をセキュリティで保護する - 侵入者および悪質なコードが容易にネットワークにアクセスできないように、ネットワーク境界にあるセキュリティ ホールをふさぎます。

• ネットワーク内部をセキュリティで保護する - ネットワーク境界の内部でユーザーアカウント、ポリシー、クライアントとサーバーのセキュリティ構成を管理します。

• 重要な資産をセキュリティで保護する - 重要な資産をセキュリティで保護し、脆弱性を定期的に確認するようにします。

• 監視と監査を行う - 継続的に整合性を保つように対応を行います。

実行グループの形成は、結果として、IPsec プロジェクトを使用したネットワークのセグメンテーションなど、複数のプロジェクトと戦略の特定および実装を導きます。OTG のアプローチでは、プロジェクトと戦略を組み合わせ、広範囲に渡る、多層防御のセキュリティを実現しました。

2000 年には、Corporate Security Group は、このような多くのプロジェクトで使用される基盤を築く PKI を作成しました。OTG が構築した PKI 階層は 3 つの層で構成されています。この 3 つの層とは、オフラインの企業ルート証明機関、オフラインの従属証明機関、オンラインの企業の複数の発行機関です。オフラインのルート証明機関は、自己署名されたエンティティであり、すべての PKI の信頼のアンカーです。この証明機関は、他の中間の証明機関を従属させる場合に単独で使用します。このような中間の証明機関は、Microsoft 全体における複数のネットワーク環境および Active Directory 環境でオンラインの発行機関を従属させる場合に使用します。発行機関は、Active Directory と対話し、ユーザーおよびシステムに対してすべての証明書を発行する役割を担っています。

ネットワーク境界をセキュリティで保護する

ネットワーク境界をセキュリティで保護する目的は、ネットワークにアクセスする前にできるだけ多くの攻撃をブロックすることです。OTG は、この目的を達成するために、対象となる戦略およびイニシアチブを使用し、以下で説明するソリューションを展開しました。詳細については、http://www.microsoft.com/japan/technet/itsolutions/msit/security/twcomp.mspx の「Microsoft におけるネットワーク境界のセキュリティ」を参照してください。

リモート アクセス用のスマート カード

65,000 人以上の Microsoft の従業員は、リモートアクセス (たとえば、直通電話や VPN) を使用して、Microsoft 社の電子メールアカウント、ファイル、コンピュータネットワークリソースに世界中からアクセスできます。OTG は、毎週 250,000 以上のリモートアクセス接続を管理します。OTG は、悪意のあるユーザーによる脅威を適切に処理するために、スマートカードを使用して、2 要素によるユーザー認証を実装しました。2 要素による認証によって、有効なユーザーがリモート接続を開始することをさらに保証します。65,000 以上のスマートカードは、世界中で従業員に配布されています。リモートアクセス用のスマートカードの実装の詳細については、Smart Card Deployment at Microsoft」(英語) を参照してください。

セキュリティによるリモート ユーザーの保護

管理されていないコンピュータが遠隔地からネットワークに接続すると、企業のネットワークセキュリティ全体が危険にさらされる可能性があります。管理されていないコンピュータとは、組織の IT 専門家がオペレーティングシステムのセキュリティ設定、セキュリティ修正プログラムのインストール、または専門的なセキュリティソフトウェアを制御できないコンピュータのことです。組織のグループポリシーは、このようなコンピュータには適用されません。結果として、管理されていないコンピュータは、重要なセキュリティ修正プログラムを頻繁に見落とします。また、その他の点として、このようなのコンピュータは、IT セキュリティポリシーおよび IT セキュリティ標準に従って構成されていません。セキュリティによるリモートユーザーの保護 (SRU) のイニシアチブでは、デバイスがセキュリティ要件を満たしていると確認される場合のみ、企業ネットワークへのリモートアクセス接続が許可されます。グループポリシーの設定では、リモートユーザーはカスタマイズしたプロファイルとスクリプトで接続マネージャを使用して、接続する必要があります。このプロファイルとスクリプトでは、システム構成の確認、ウイルス対策ソフトウェアと署名ファイルの更新、インターネット接続ファイアウォールの有効化、インターネット接続の共有の無効化、および最低限必要な Windows バージョン (このドキュメント作成時ではMicrosoft Windows XP Professional Service Pack 1) の使用を徹底します。

セキュリティによるワイヤレス アクセスの保護

OTG は、世界中に4,000 以上のワイヤレスアクセスポイント (AP) を配置しました。そのうちの2,100 以上がピュージェット湾地方に配置されています。AP では、30,000 人以上の従業員へのワイヤレスネットワーク接続が可能になります。各ユーザーがワイヤレスネットワークにアクセスする前に、802.1X クライアント認証プロトコルを使用してそのユーザーを一意に認証する必要があります。この認証プロトコルは、Windows XP Professional および Windows Server 2003 ファミリに組み込まれています。さらに、Pocket PC 2002 は、選択したワイヤレスローカルエリアネットワーク (WLAN) ハードウェアが 802.1X に対応しています。このドキュメントを作成する時点では、認証方法として、証明書と一緒に拡張認証プロトコル (EAP) またはTransport Layer Security (TLS) を使用して実装を行います。コンピュータアカウントの証明書とユーザーアカウントの証明書、またはそのいずれかを使用します。ユーザーやデバイスとワイヤレスネットワーク間の各ワイヤレスセッションは一意に暗号化する必要があります。ユーザーとデバイスは両方ともワイヤレスセッションで定期的に再度認証する必要があります。ポリシーにより、OTG 以外が管理するワイヤレスアクセスポイント ("認証されていない" AP) は、企業ネットワークでは禁止されます。OTG は、多くの企業と同様に、認証されていない AP をスキャンして、自動検出テクノロジと自動管理テクノロジを評価しています。

境界メッセージング ファイアウォール

Outlook Web Access (OWA) や Outlook Mobile Access (OMA) などのサービスによる、モバイル従業員のインターネット上での電子メールアクセスを可能にするには、インターネットおよび企業ネットワークの両方にアクセスできるサービスが必要です。OTG は、侵入者が承認されていないアクセスを行う際のリスクを軽減するために、このようなメッセージングサービスを実行しているフロントエンドサーバーの前に Microsoft Internet Security and Acceleration (ISA) Server 2000 Feature Pack 1 を展開します。フロントエンドサーバーは、企業ネットワークのホームサーバーとなり、インターネットには接続していません。代わりに、ISA Server を実行しているサーバーがインターネットおよび企業ネットワークに接続しています。ユーザーは ISA Server の外部インターフェイスに接続していますが、フロントエンドサーバーに直接接続しているかのように動作します。このアプローチでは、インターネットを介して企業ネットワークに接続するシステムの多層防御の対象を提供します。このため、これらのシステムをファイアウォールの背後に配置することにより、インターネット上の攻撃の直接的なリスクからこのシステムを切り離します。構成には、強化されたファイアウォールのセキュリティ設定、ネットワーク分離、アプリケーションのフィルタリング、およびプロトコルのフィルタリングが含まれています。ISA Server の詳細については、http://www.microsoft.com/japan/isaserver/ を参照してください。

電子メールのウイルス対策

ウイルスのリスクを管理するための OTG のアプローチでは、ソフトウェアフィルタリング以上のことを行っています。多層化した防御として、すべてのデスクトップコンピュータ、サーバー、電子メールゲートウェイ、インターネットゲートウェイ、および携帯情報端末 (PDA) にウイルス対策ソフトウェアを展開します。Computer Associates 社のeTrust を、すべてのデスクトップコンピュータおよび完全に管理されているサーバー上で使用しています。ただし、ゲートウェイは除きます。ここでは、Trend Micro 社の InterScan Viruswall および Brightmail 社のソフトウェアも実行されています。毎日約 500 万通の受信した電子メールメッセージがスキャンされています。平均で、1 日当たり 800 個のウイルスが駆除され、約 240 万通の迷惑メールがフィルタ処理されます。

セキュリティによるエクストラネット接続とパートナー接続の保護

OTG は、さまざまなビジネスパートナーに接続するエクストラネット環境を維持します。Microsoft は、社内で実装した物理デバイスおよび IT デバイスのセキュリティ標準が社外パートナーが所有および使用するデバイス上でも実装されることを保証できません。このようなデバイスは、通常、商取引およびMicrosoft との情報交換に使用されていますが、結果として、脆弱性を利用して、Microsoft を攻撃し、Microsoft の資産および知的財産を危険にさらすために使用できます。したがって、OTG はエクストラネットをセキュリティで保護する際に以下の 4 つのイニシアチブを対象としました。

• 管理者用のスマートカード - ドメイン管理者の資格情報の盗用により、ドメイン全体の整合性が危険にさらされる可能性があります。この脅威に関連するリスクは緩和できます。これには、ドメインコントローラ上のスマートカード、およびエクストラネット上で選択した "セキュリティ設定の高い" メンバサーバーが必要です ("セキュリティ設定の高い" サーバーは、追加の制御を必要とするサーバーと定義されます。これは、このサーバーに含まれるデータもサーバーの侵害による被害も多いためです)。スマートカードリーダーは、ドメインコントローラおよびこれらのサーバーに組み込まれます。フラグが管理者アカウントに設定されると、対話型ログオンではスマートカードが必要になります。

• ベンダネットワークの撤廃 / 移行 / 修正 - ベンダネットワーク内のネットワークおよびサーバーのセキュリティは、セキュリティ標準に準拠しておらず、環境の数とベンダネットワークのアーキテクチャにより課題となっていました。そのため、これらのネットワーク上に存在するサービスが監査され、サービスの所有者が特定されました。結果として、ほとんどのビジネスパートナーのアプリケーションは、エクストラネット上でホストされるようになりました。ベンダの接続は、エクストラネットに再び戻されるか、インターネットに移行されました。ネットワーク接続およびベンダ接続は、すべてのパートナー接続が OTG によって所有および管理されるように閉鎖されました。これにより、OTG は、Microsoft が所有するパートナー環境でいつでも直接接続を停止できるようになります。

• パートナーアカウントのセキュリティ - Microsoft 資産のリスクは、社外の脅威およびユーザー管理タスクの委任が原因で、エクストラネット上でより高くなりました。このプロジェクトの結果、すべてのパートナーアカウントは、OTG によって所有および管理されるようになり、企業ネットワーク上のアカウントに適用されるすべてのアカウントポリシーとパスワードポリシーに準拠することが必要になりました。また、パートナー環境では、メンバサーバーのローカルアカウントを作成できません。OTG で管理しているすべてのサーバー上のパートナーのすべてのローカル管理者アカウントは、ローカル管理者アカウントの一意なパスワードを要求し、OTG のスタッフによる管理用に 1 つのローカルアカウントを要求することにより強化されました。共有アカウントの脆弱性は、サービスに共通するドメインアカウントの使用を制限し、ドメインの管理者特権によるサービスの使用を制限することにより緩和されました。未使用の新しいアカウントは 30 日後に削除され、非アクティブなアカウントは無効になりました。無効になったアカウントは、対話型ログオン、サービスまたはバッチジョブとしてのログオン、ネットワーク間のログオン機能から制限されました。資格情報は対象とするログオンの権利に制限され、非アクティブなパートナーアカウントおよび共通するパートナーアカウントは削除されました。

• ベンダへの直接接続の削除 - 現在、パートナーは、Microsoft のネットワークにアクセスする前に、境界アクセス制御ポイントで自らを認証する必要があります。アクセスは、ベンダが Microsoft との事業活動に必要とするシステムおよびネットワークリソースのみに制限され、実装されます。境界アクセス制御ポイントは、インターネット認証サービス (IAS) で使用可能なリモートアクセスポリシー (RAP) の制約と組み合わせて、ISA Server ファイアウォール経由で実装されます。

ネットワーク内部をセキュリティで保護する

ネットワーク内部をセキュリティで保護する目的は、企業ネットワーク上のユーザーおよびコンピュータに強力な認証および承認を保証することです。OTG は、ネットワーク内部をセキュリティで保護するために、以下で説明するソリューションを展開しました。

共有サービス アカウントの脆弱性の軽減

アプリケーションは、サービス (一種のバッググラウンドプロセス) を使用して、サーバー上で作業を行ったり、サーバーから情報を入手します。Windows 2000 以前では、ネットワーク上のリソースにアクセスするサービスでは、使用するリモートサーバーごとにそのサービス自体を認証するために、ドメインユーザーアカウントを使用する必要がありました。指定したコンピュータの管理者がそのコンピュータで構成されているすべてのサービスのアカウントのユーザー名とパスワードの情報を公開できるようにするツールを使用できます。

OTG は、Windows 2000 以降のオペレーティングシステムに存在するオペレーティングシステム所有のアカウント LocalSystem を使用するように多くのサービスを変換するプロジェクトを実装しました。ドメインレベルの管理者特権が必要なサービス、またはコンピュータアカウントの認証をサポートしないサービスを使用するアプリケーションでは、代わりの構成を使用しました。このような構成では、複数のコンピュータ上のサービスを使用して、その都度管理オーバーヘッドを最小限に抑えることにより、各コンピュータ上で一意なアカウントとパスワードを使用したり、サービスが "セキュリティ設定の高い" サーバーとして機能するコンピュータを処理したり、アプリケーションを構成します。

ローカル管理者 アカウントの強化

OTG で管理しているサーバーのドメインメンバシップが壊れているか、または証明できない場合、ローカル管理者アカウントを使用して、管理作業をサーバー上で直接実行する必要があります。このためOTG は、OTG で管理されている各サーバー上でこのようなアカウントを少なくとも 4 つ管理していました。この場合、1 つのローカル管理者アカウントの侵害により OTG で管理している他のサーバーを危険にさらす可能性がある脆弱性が生み出されました。このリスクを緩和するために、すべてのローカル管理者アカウントに対する一意なパスワードの要求を義務付けました。また、(サーバーごとおよびドメインごとに) 1 つの管理者レベルのアカウントを義務付けました。これには、新たに、このサーバー上でのローカル管理者アカウントの削除が伴います。

脆弱なパスワードの削除

侵入者は、パスワード解読技術を使用して、承認されていないアクセスを行うことにより、脆弱なパスワード (“administrator”、“admin”、“password”、コンピュータ名、Null など) や空白のパスワードを悪用できます。侵入者は、ユーザー (またはシステム) アカウントを使用してアクセスした後、効率良くネットワークリソースに対して無制限にアクセスできます。このようなアカウントを特定し、所有者に修正するように通知するためのスキャンを展開するアプローチは、速度が低下し (スキャンに 36 時間かかり)、効果的ではありませんでした (半数のアカウントしか修正されませんでした)。

Corporate Security Group は、この結果を改善するために、社内で開発した、定期的に自動プロセスを管理するスキャナツールを展開しました。このプロセスでは、脆弱なパスワードまたは空白のパスワードを持つアカウントを継続的に特定し、その後、このアカウント用に強力なパスワードを新しく作成すると同時にパスワードを再設定します。Corporate Security Group は、OTG で管理しているサーバーのサーバー構成の要件も作成しました。この要件では、強力なパスワードの選択と使用を義務付けています。広範に展開された Windows XP では、ローカル管理者アカウントのパスワードフィールドが Null の場合、ユーザーがシステムにリモート接続できないようにして、このセキュリティの脅威の軽減を支援しています。

さらに、OTG は、強力なパスワードの管理を確実に行うために、ドメインユーザーアカウントのドメインレベルで、カスタムパスワードフィルタ (Passfilt.dll) を実行します。Passfilt.dll の詳細については「Installing and Registering a Password Filter DLL」(英語) を参照してください。このパスワードフィルタは、Windows 2000 Server および Windows XP Professional オペレーティングシステムのセキュリティコンポーネントに移行されました。強力なパスワードは、Windows 2000 Server、Windows Server 2003、および Windows XP Professional のシステム管理ツールを使用して有効にできます。

Windows NT 4.0 ドメインから Windows 2000 Active Directory への移行

多数の企業ドメインが Windows 2000 に移行しましたが、多くのMicrosoft Windows NT Version 4.0 のドメインが依然として企業ネットワークとの信頼関係を持ったまま存在していました。OTG は、Windows NT 4.0 で Active Directory がサポートされていないことが原因で、このようなWindows NT 4.0 のドメインに存在するコンピュータおよびユーザーアカウントを効率的に管理できませんでした。

OTG は、Windows NT 4.0 のドメインを Windows 2000 以降をアップグレードするか、Windows NT 4.0 のドメインを破棄するか、またはドメインの信頼関係を企業ネットワークに移動するためのプロジェクトを開始しました。この手順では、Windows 2000 以降を実行しているすべてのコンピュータ上で、OTG で管理されているドメインと信頼関係のあるドメインのユーザーアカウントで OTG のセキュリティポリシー、設定、構成、およびソフトウェアを展開およびサポートできるようにすることで、インフラストラクチャを強化しました。また、このような操作により、ユーザーやコンピュータを正確に一意に特定する機能があり、ユーザーとコンピュータのグループを特定する機能があるという条件で、すべてのコンピュータアカウントやユーザーアカウント間でセキュリティの指示が一貫したアプリケーションを保証します。

管理者用のスマート カード

プロジェクトでは、スマートカードを使用した 2 要素による認証を実装することにより、高い特権を持つアカウントや重要なインフラストラクチャサーバー (ドメインレベルの管理者アカウント、ドメインコントローラ、Source Depot サーバーなど) に対するセキュリティの脅威を緩和しています。このプロジェクトでは、並行して 2 つの重要な作業を行います。第 1 の作業では、スマートカードを使用するアカウントによる対話型ログオンを、対象のサーバーでサポートできるようにします (必要なハードウェアと証明書ユーティリティを展開します)。第 2 の作業では、スマートカードに対応する、ドメインレベルの管理者アカウントを所持すべき管理者を特定し、そのアカウントを作成および展開します。この作業には、管理者アカウントモデルを改善して、操作に悪影響を与えずにこのようなアカウントの数を最小限に削減して、スマートカードが必要なアカウントを特定するための詳細分析が含まれます。

IPsec を使用したネットワークのセグメント化

OTG は、IPsec を使用して、Microsoft のネットワーク上のデバイスを "管理されたコンピュータ" と "管理されていないコンピュータ" の 2 種類に大きく分類します。この論理的な区分により、ネットワークレベルのアクセスはセキュリティ要件を満たしているデバイスのみで許可され、既定では管理されていないデバイスからのアクセスは拒否され、OTG で管理しているコンピュータで発生するリスクを緩和するのに役立ちます。OTG により “管理されているコンピュータ” と定義されるのは、OTG 管理のドメインに参加し、OTG で監視メカニズムと修正プログラム管理メカニズムの対象となっているコンピュータです。管理されていないデバイスの多くは、主に製品テスト、デバッグ、個人的なラボで使用されます。

IPsec を使用してネットワークをセグメント化するプロジェクトは 2 段階で行われました。第 1 段階では、約 150,000 台の管理されているデスクトップコンピュータおよびサーバーが、管理されていないコンピュータからの通信をブロックせずに IPsec を使用するように構成されました。段階的に展開することにより、実装者は第 1 段階で IPsec 技術の問題に注目できます。現在は、第 2 段階を展開中です。そのため、OTG は、セグメンテーションを実装し、管理されていないコンピュータからの着信接続をブロックするために IPsec ポリシーを少しずつ変更しています。IPsec ポリシーでは、認証メカニズムとして Kerberos を推奨しており、2 番目の認証形式としてコンピュータベースのデジタル証明書を使用できるようになっています。

重要な資産をセキュリティで保護する

OTG は、重要な資産をセキュリティで保護し、定期的に脆弱性を確認するために、以下で説明するソリューションおよび要件を展開しました。

管理されたソース コード

Microsoft のソースコードは高価値のデジタル資産です。ただし、ソースコードのセキュリティ管理の対象となる正式な企業レベルのサービスは存在しませんでした。一貫性のないプロセス以外に、不要なインフラストラクチャおよびスタッフが存在しました。

OTG は、企業レベルで共通する集中管理された、専門的なサービスの作成を目的としたプロジェクトを実装しました。これは、Microsoft の各ビジネスグループ間でソースコードを安全に管理するためのサービスです。このプロジェクトでは、承認されていないユーザーがソースコードの整合性および機密性を侵害した場合のリスクを軽減することを目標としています。このプロジェクトのコンポーネントには、以下のようなものがあります。

• セキュリティで保護された、個別のネットワークフォレストの作成

• Source Depot サーバー上のローカル管理者アカウントの特権の制限

• 承認済みのSource Depot アカウントから実行するサービスとバッチジョブの削除

• データセンターの修正プログラム管理プロセスおよびウイルス対策プロセスを使用した、修正プログラムを適用していない脆弱性の修正および監査の実施

• イベント管理ソフトウェアおよび侵入検出ソフトウェアのSource Depot サーバーへの追加

• セキュリティで保護されたデータセンター機能におけるSource Depot サーバーの場所の指定

ソース コードサーバーのセグメンテーション

ある時点では、企業ネットワーク上の任意のコンピュータが、ネットワーク層の Source Depot サーバーにアクセスできました。このように企業ネットワーク上の 1 台のコンピュータへの侵入が脆弱性を作り出すような状況では、結果として1 台以上の Source Depot サーバーに侵入が広がる可能性がありました。

OTG は、Source Depot サーバーにアクセスできるコンピュータを、アクセスする必要があるユーザーのコンピュータにのみ制限するためのプロジェクトを実装しました。セキュリティで保護されたコードサーバーへのアクセスを認証および承認するために、IPsec テクノロジが使用されました。Source Depot サーバーへのアクセス権を必要とする開発者のコンピュータアカウントは、セキュリティグループに登録および追加されます。セキュリティグループには、IPsec、Kerberos、および "ネットワーク経由でコンピュータへアクセス" ローカルポリシーのユーザー権利の割り当てに合わせて、必要な Source Depot サーバーへの制御されたアクセスが提供されます。

セキュリティで保護されたドメイン コントローラ

企業の環境には、1 台のサーバーでインフラストラクチャ、エンドユーザー、ツールサービスを強化する多くのサーバーがありました。OTG は、ドメインコントローラとして設定されているサーバーを定期的に監査して適切な構成を確認するプロジェクトを始動しました。つまり、このプロジェクトでは、サーバーの機能は、ドメインコントローラやグローバルカタログサーバーなどのインフラストラクチャサービス、DNS、DHCP、Microsoft Systems Management Server (SMS) を提供することに制限されます。ドメインコントローラでは、監視機能 (SeNTry や Microsoft Operations Manager など) を提供するサービスを実行できます。さらに、ドメインコントローラの状態に関するバックアップを提供できることもあります。ドメインコントローラの状態をバックアップするために展開した任意のリモートサーバーでは、セキュリティのレベルを高くする必要があります。最小限度のサービス構成のセキュリティの原則に従い、ドメインコントローラに設定されているサーバー上にエンドユーザーがファイルを配置できるようにするサービスは禁止されています。また、最小限のサービス構成の別の推奨事例に従い、ドメインコントローラに設定されているサーバーは、インターネットインフォメーションサービス (IIS) と共に構成しません。

監視と監査を行う

攻撃者は、コンピュータ ネットワークを脅かし続けます。ただし、多くの組織は、攻撃の予想や防止ではなく、攻撃発生後の攻撃への対応におけるリソースに重点を置いています。セキュリティポリシー、サービス、およびイニシアチブが現在成功しているかどうかは、これらの対応を適用する機能にかかっています。OTG が監視および監査する戦略では、対応の監視および監査をより効率的に行うツールの改良に注目しています。OTG は、この戦略を実現するために、以下に説明するソリューションおよび要件を展開しました。

ネットワーク侵入の検 出

ハッカーによる侵入の試みが増加し続けることにより、企業ネットワーク境界への攻撃を監視する Corporate Security Group のネットワーク侵入検知システム (NIDS) を拡張および改良するという戦略が注目されるようになりました。このイニシアチブは、2 つの層で構成された侵入検出を使用するという戦略に従っています。外側の層 (NIDS) では、Corporate Security Group がネットワークの外側からの攻撃や接続の試みを追跡および監視できます。一方、内側の層 (HIDS : ホスト侵入検知システム) では、外側の層からの違反を検出できます。

このような 2 種類の層を使用して検出を行うことにより、ネットワークへの侵入の特定、追跡、分離、および停止に対する全体的な価値が大幅に高まります。ただし、1999 年に実装された NIDS システムは、企業ネットワークの拡張に対応するのに苦戦を強いられました。より新しいイニシアチブは、以下のように OTG の NIDS 機能を向上しました。

• ほぼ同時に外部ネットワークのすべての攻撃の試みを確認する機能、攻撃のパターンと傾向を特定するためにネットワークの攻撃に関する情報を格納する機能、および攻撃の証拠を収集する機能を強化しました。

• ネットワークへの侵入を検出するためにカスタム署名を定義して使用する機能を強化しました。

• ネットワークへの侵入を検出するセンサを集中管理するコマンドおよび制御を作成しました。

OTG は、サードパーティおよび社内で開発された多くのプログラムやツールを使用して、侵入の検出を管理します。このようなプログラムやツールには、Microsoft Audit Collections System (MACS)、Internet Security Systems 社のBlackICE や RealSecure、プロキシトラフィック監視やウイルス対策ソフトウェアが含まれます。

脆弱性の管理

コンピュータの脆弱性管理に対する OTG のアプローチでは、最初にアクティブな脆弱性の定期的なスキャンと監査を行います。体系的な脆弱性の管理ソリューションは、Microsoft のすべての環境で対応の確認と修正の管理を行うために開発されており、ネットワークデバイス、ホスト、アプリケーション、信頼関係、およびアカウントの適用範囲が設定されています。ツール、およびそのツールの使用に関するプロセスは、社内ではSecure Environmental Remediation (SER : セキュリティで保護された環境の修復) と呼ばれています。OTG のソリューションでは、環境を監査し、その環境をリスクの許容可能なレベルにします。許容限度は、新しい各環境でネットワークへのアクセスを許可する前に、環境の所有者が設定します。新しい環境は、正確で一貫性のある対応および修正を行う対象となります。設定および違反の報告は、OTG の管理者と環境の所有者に対して適切に行われます。

セキュリティ修正プログラムの管理

Microsoft は、オペレーティングシステムおよびユーザーアプリケーションの脆弱性を修正するために定期的に修正プログラムをリリースします。OTG によるデバイスの管理には、セキュリティ修正プログラムの管理が含まれています。すべてのコンピュータでは、Corporate Security Group が重要と判断するセキュリティ修正プログラムの対応レベルを維持する必要があります。Corporate Security Group は、この対応レベルを確保するために以下のことを行います。最初に、一貫性のある、タイムリーなオペレーティングシステムおよびアプリケーションの修正プログラムのインストールを監視および保証します。次に、エンドユーザーが操作することなく、アプリケーションのセキュリティ修正プログラムを適用します。最後に、エンドユーザーがセキュリティ修正プログラムを管理できないようにします。例外は認められません。OTG は、対応を監視および適用するために、主なツールとして Microsoft SMS 2003 を使用します。OTG は、SMS 2003 を使用して、対応期限を過ぎたデスクトップおよびサーバーに修正プログラムを非表示でインストールします。追加のツールとして、手動で修正プログラムをインストールするようにサーバー管理者やデスクトップユーザーに通知する Windows Update、ユーザーが修正プログラムを手動でインストールできるように修正プログラムへのリンクと説明を記述した電子メールメッセージ、および緊急の修正プログラムを迅速に展開するためのログオンスクリプトがあります。SMS 2003 の詳細については、「Microsoft Solutions for Management: Patch Management Using Microsoft Systems Management Server 2003」(英語) および http://www.microsoft.com/japan/smserver/ を参照してください。

まとめ

Microsoft Corporate Security Group は、定型的なリスク管理フレームワーク、プロセス、および明確な役割と責任分担に基づいた戦略によって、適切にIT 環境をセキュリティで保護してきました。リスク管理フレームワークは、OTG がセキュリティによる保護を提供するために行った具体的な対策について理解するのに重要です。OTG がリスクを緩和するために行った対策の例は、Microsoft の IT 環境をセキュリティで保護するために使用している主要な制御について解説することを目的としています。Corporate Security Group では、長い時間をかけて、 Windows 環境をセキュリティで保護するための効率的なフレームワークを開発してきました。ただし、このアプローチはWindows 環境を効率的にセキュリティで保護するのに使用できるアプローチの一例にすぎません。Corporate Security Group は、直接的な経験から、コスト効率よくリスクを緩和するには、定型的なリスク管理フレームワークとプロセスが必要であることを会得しました。

Corporate Security Group では、リスク管理アプローチに関することを体系化しています。Corporate Security Group では、インシデントが発生した後に脆弱性の評価を行うのではなく、定型的なリスク管理フレームワークを使用し、継続して現在のリスクプロファイルを評価しています。現在のリスクプロファイルの評価とは、リスクを特定して、リスクに優先順位を設定し、リスクを再評価することです。継続してリスクを評価することによって、企業の方針決定者がリスクとセキュリティの制御にかかるコストの釣り合いが取れた業務決定を下すのに必要なデータを提供できます。

Corporate Security Group は、定型的なリスク管理フレームワーク内でリスクを許容範囲レベル内まで緩和するコスト効率の良い制御環境を開発するために試行錯誤しています。リスクの許容範囲は、組織によって異なります。ある組織におけるリスクの許容範囲は、その組織固有の特性によってMicrosoft のリスクの許容範囲とは異なる可能性があります。

Corporate Security Group では、リスクを体系化して優先順位を設定するプロセスの一環として、データの分類システムを採用しています。このシステムは、最初に最も付加価値の高いリスクに主眼を置いて対処し、付加価値の低いリスクは最後に対処するのに役立ちます。データの分類システムは、組織によって異なりますが、リスクの優先順位を設定するプロセスにおける重要な部分になります。

Corporate Security Group では “Five Trustworthy Assurances” (5 つの信頼性の高い保証) を制作して、保護対象となるデジタル資産やセキュリティによる保護対象外となるデジタル資産を伝達しています。5 つの保証は、各データの分類のリスクを分析する際の基本要素となります。すべての組織のリスク管理プログラムにおいて、保証と保証の対象者を定義することが重要になります。

過去数年間のテクノロジの進歩は、ネットワーク境界のセキュリティ保護、ネットワーク内部のセキュリティ保護、重要な資産の保護、および監視や監査などの典型的なセキュリティの区分に課題をもたらしています。テクノロジの進歩およびビジネス関係によってネットワークの “内部” と “外部” の境界線があいまいになるにつれて、これらの 4 つの区分の重要度も低くなってきています。その結果、Corporate Security Group では、これらの区分を使用する代わりに、Microsoft リスク管理プロセスを使用したセキュリティに対する新しいアプローチを採用する方向に変わってきています。

さらに、Corporate Security Group のセキュリティリスク管理に対するアプローチは、適宜ネットワークベースのセキュリティ制御で補足された Windows ベースのセキュリティ制御に構築する予定です。Windows Rights Management などのポリシーの実施テクノロジは、Windows XP Professional のInternet Connection Firewall やウイルス対策ソフトウェアなど、拡張するセキュリティ制御では、さらに重要な役割を果たすことが期待されています。IPsec や Internet Connection Firewall などのテクノロジを使用して “仮想のセキュリティ境界” を作成することによって、企業のデバイスをその配置場所に関係なくセキュリティで保護できます。また、Corporate Security Group では、認証インフラストラクチャを、パスワードを使用した弱い認証からスマートカードを使用した 2 要素による強力な認証に移行する予定です。たとえば、“セキュリティ設定の高い” サーバー資産へのVPN アクセスや管理者のアクセスには既にスマートカードを展開しています。

コンピュータリソースの脆弱性を完全に排除することはできません。リスクはネットワークに付いて回るものです。そのため、これらのリスクを緩和するためにコスト効率の良いセキュリティ制御を特定するリスク管理プロセスを実装することが重要になります。リスク管理を行うことによって、組織では限りあるリソースを体系化して優先順位を設定し、ビジネスに対するリスクを管理するための一貫性のある明確な方針を定めることができます。Microsoft Corporate Security Group で使用したリスク管理の方法論は、任意の組織で使用できます。効率的なリスク管理プログラムを実行すると、全体的なリスクを、組織において許容範囲であると見なされるレベルにまで緩和する一連のセキュリティ制御を実現できます。

詳細情報

IT ショウケースの資料は、「マイクロソフト IT ショウケース」からご覧いただけます。

企業向けの信頼できるセキュリティガイドの詳細については、「セキュリティ ベスト プラクティス」を参照してください。

Microsoft Security Notification Service は、新しいセキュリティ情報が公開されたときに、そのことを購読者に電子メールで通知する無料のサービスです。このサービスでは、システムを悪意のある攻撃者から保護するのに役立つ的確な情報を提供します。このサービスに登録するには、「プロファイル センター」をご覧ください。

このドキュメントに関する質問、コメント、提案、またはマイクロソフトIT ショウケースに関する詳細情報については、showcase@microsoft.com (英語のみ) 宛てに電子メールでお問い合わせください。

ダウンロード

Microsoft のセキュリティ対策
515 KB
Microsoft Word ファイル
Office ビューアのダウンロード