マイクロソフトの Securing Windows 2000 Server ソリューション
トピック
セキュリティ リスク管理統制 (Security Risk Management Discipline: SRMD) は、どの脅威および脆弱性が個々の組織にとって最も潜在的に影響を及ぼすかを判定するのに役立つ、詳細なプロセスです。会社が異なれば、ビジネス要件も異なります。したがって、脆弱性の一覧を 1 つ作成して、それがすべての環境に同じような影響を与えると見ることは不可能です。
このプロセスの詳細は、第 3 章「セキュリティ リスク管理の統制について理解する」で説明されています。この章ではこのプロセスを一般的な顧客に適用します。この適用例に関する背景を適切に示すために、対象となる環境に関して高い水準から詳細を説明します。この章の最後に、この章で取り上げた具体的なリスクを全体的に定義、説明、および分析します。
シナリオの概要
このソリューションは Contoso, Ltd という名前の市場調査会社を例にして展開します。Contoso にはオフィスが 2 つあります。本社はジョージア州アトランタにあり、2 番目のオフィスはマサチューセッツ州ボストンにあります。Contoso はかなり大きな企業であり、コンピュータ リソースを使用する社員は数千人に達します。Contoso が公表した昨年の収益は 8 億 2900 万ドル (約 995 億円) でした。
同社のインフラストラクチャは Microsoftョ Windowsョ 2000 Server に完全にアップグレードされています。しかし、クライアントには種々のものが混在する状態です。具体的には、Microsoftョ Windows 98 SR2、Microsoftョ Windows NTョ Workstation バージョン 4.0、Windows 2000、および Windows XP が現在使用されています。
管理モデル
Contoso では会社の管理グループを担当するテクノロジに基づいて区分しています。ドメイン コントローラの管理を含む、すべてのドメイン全般にわたる管理を担当するグループがあります。また会社のインフラストラクチャ サービスを管理するグループもあります。このグループは、社内のファイル サーバーおよびプリント サーバーの管理に加えて、Windows インターネット ネーム サービス (WINS) 、動的ホスト構成プロトコル (DHCP)、およびドメイン ネーム システム (DNS) の管理も行います。
さらに、Web サービス グループもあります。このグループは環境内のすべてのインターネット インフォメーション サービス (IIS) サーバーの管理を担当しています。IIS は、ハイパーテキスト転送プロトコル (HTTP) およびファイル転送プロトコル (FTP) を使用した、マイクロソフトの Web サーバー ソフトウェアです。管理グループの詳細を下の表に示します。
表 4.1 Contoso の管理グループ
| グループ名 | 担当 |
|---|---|
| ドメイン技術 | ドメイン管理 ドメイン コントローラ管理 DNS |
| 運用 | WINS DHCP ファイル サービス プリント サービス |
| Web サービス | IIS 管理 |
インフラストラクチャのレイアウト
ネットワークの設計
Contoso にはデータ センターが 2 つあり、T1 回線で相互に接続されています。それぞれのオフィスにはエンジニアおよび運用のスタッフがいて、ネットワーク インフラストラクチャ サービスを提供しています。Web サーバーはすべてアトランタにあるメイン データ センターに置かれています。
各ロケーションはすべてのサーバーに 100 メガバイト/秒 (Mbps) で接続されており、すべてのクライアント ワークステーションは 10 Mbps で接続されています。サーバーはセグメント化されて、独自のサブネットを構成しています。クライアント コンピュータは個々のサブネットに接続されています。すべてのコンピュータはアトランタでの接続を通じてインターネットにアクセスします。
Active Directory の設計
Contoso は、1 つの空のルート ドメインおよび単一の子ドメインを伴う、単一の Windows 2000 Server フォレストを展開しています。空のルート ドメインは別個のドメインであり、ドメイン内のドメイン コントローラ用のコンピュータ アカウントおよび既定のユーザー アカウントだけを保持しています。
空のルート ドメインを作成する理由は、地理的な境界の間で均等に分割した複数の子ドメインを設定し、それを単一の中央のグループで管理するためです。空のルート ドメイン自体によって、セキュリティが高まることはありません。しかし、エンタープライズ管理者と地域のドメイン管理者を分離することにより、意図せぬエラーがフォレスト全体に影響を及ぼすことを防止する役に立ちます。Contoso が空のルート ドメインを作成したのは、支店を設置する国を将来的に増やすことを予測しているためです。
上位レベル ドメインのダイアグラムを下図に示します。
.gif)
図 4.1: Contoso 社の Active Directory の設計
Contoso はまたネットワークをアトランタとボストンの 2 つの Microsoftョ Active Directoryョ ディレクトリ サービス サイトに分割しました。この 2 つのサイトで、フレキシブル シングル マスタ オペレーション (FSMO) の役割を分担しています。
各サイトにはドメイン コントローラが配置されています。そこでは、DNS、DHCP、ファイル サーバー、およびプリント サーバーと Active Directory が統合的に稼働しています。アトランタには全社用の WINS サーバーが置かれています。IIS を実行しているサーバー コンピュータの大部分がアトランタに配置されています。しかし、一部の小規模の部門 Web サーバーはボストンに置かれています。
Contoso は現在、自社の内部ネットワークのアップグレードを進めています。Contoso はスイッチ ベースのネットワーク トポロジに移行中です。しかし、同社の建物の中には、ハブによって接続されているコンピュータが大量に残っているところがあります。
.gif)
図 4.1: Contoso 社のサービス レイアウト
上の図は Contoso 内のサーバー ベースのサービスの配置を示しています。しかしこの図は社内のサーバーの台数を正確に表してはいません。
ビジネス要件
前述したように、Contoso は市場調査会社です。市場調査業界は、生産者から消費者への商品とサービスの流通に関わる活動を、計画および管理することに主眼を置いています。それらの活動には、特定の市場のニーズを満たすための製品の包装、価格設定、販売促進、および物流などが含まれます。
市場のニーズをつかむために、市場調査員は顧客についてできる限り多くのことを知る必要があります。これを促進するために、Contoso は市場調査員に担当する市場に関する詳細な情報を提供しています。
Contoso のマーケティング情報の大部分は社内に置かれている IIS サーバーに収められています。Contoso の市場調査スタッフは、顧客向けに詳細な情報を収集するときには、内部の市場調査 Web サーバーを利用します。それらの情報の一部はファイル共有リソースにも収められています。しかし、ファイル共有リソースに収められている情報はイントラネット サーバー上で利用できる情報のサブセットにすぎません。
Contoso は内部データがセキュリティで保護され、かつ常に安全であることを確実にしたいと願っています。市場調査は非常に競争が激しい業界です。Contoso の調査データは同業他社との競合で優位に立つための主要なものです。そのために、自社の市場調査データのセキュリティを高い水準に維持することは、同社の最優先事項です。
Contoso の外部および周辺ネットワークとの接続のセキュリティに対処するために、別のプロジェクトが開始されています。これらは、このプロジェクトの範囲を超えています。
セキュリティ リスクの特定
いかなるセキュリティ プロジェクトにおいても、最初のステップは対処すべきセキュリティ リスクを定義することです。セキュリティ リスクとは資産、資産に対する脅威、および何らかの方法で悪用されうる資産の脆弱性が組み合わさったものです。この関係を家に例えるとわかりやすいでしょう。
家は資産です。家は価値があるので、保護が必要です。泥棒は家に対して脅威をもたらす因子です。なぜならば、泥棒は家を破損したり家財を盗んだりする可能性があるからです。家には窓が必要です。しかし窓が開いていると、泥棒がそれを悪用して家に侵入することができるため、家は脆弱になります。この簡単な例から、脅威をもたらす因子がどのように脆弱性を悪用して、資産にアクセスするかがわかります。
組織のコンピュータ環境をセキュリティで全面的に保護する最初のステップは、環境内の資産、環境に影響を及ぼしうる脅威、およびこの資産の脆弱性を特定することです。 このプロセスに従うと、組織が一連のセキュリティ リスクを特定して、適切に分析して優先順位を付ける役に立ちます。
資産の特定
資産には様々なものがあります。しかしこの章では、コンピュータ関係の資産に限定して検討を進めます。資産を非常に簡単に特定できる組織もあれば、非常に困難な組織もあります。それは調達のプロセスおよび資産管理体制により異なります。
組織内に配置されているサーバーの台数を知ることよりも、それらのサーバーが果たしている機能を知る方が重要です。たとえば、市場調査会社である Contoso では、Web サーバーを使用して、社員が市場データにアクセスできるようにしています。そのためこれらの Web サーバーの方がプリント サーバーよりも重要であると、Contoso は判断する可能性があります。あるいは、自社の環境内の Web サーバーの間にも、全社的な重要性のレベルに違いがあると判断する可能性もあります。
それに加えて、資産は物理的なハードウェアだけに限られません。コンピュータ環境においては、DNS サーバーによって提供されるネーム サービスのような潜在的な資産も評価に含める必要があります。サービス アカウントや管理者アカウントといった、ユーザー アカウントも資産に含まれます。
資産の重要度の設定
資産を特定することは定性的なプロセスです。しかし、各サーバーまたはサーバー グループの潜在的な価値を判定するときには、組織のビジネス目標に対する全般的な利益を念頭に置く必要があります。それにより、各サーバーまたはサーバー グループの資産の重要度 (asset priority: AP) を定義することができます。その過程で考慮すべき主な要素には、次のようなものがあります。
資産の帳簿上の価値
資産の構築にかかるコスト
資産の保護にかかるコスト
競争相手に対する資産の価値
資産の回復にかかるコスト
組織の資産のすべてを同じ尺度で評価することは非常に困難です。したがって、資産をベースとなるテクノロジの類似性に基づいて区分してから評価するとよいでしょう。これにより、組織内で類似した尺度に基づいて、種々の資産の相対価値を比較することがはるかに容易になります。
資産の価値の確定
資産を特定する際には、各リソースの資産価値 (Asset Value: AV) を特定することもきわめて重要です。AV は資産の金銭的な価値です。資産価値を特定する際に考慮すべき重要な事項がいくつかあります。資産の物理的な価値および資産上に収められているデータのビジネス上の価値などです。
物理的な価値は、以下のコスト要素に基づいて、非常に簡単に算出できます。
ハードウェア コスト
ソフトウェア コスト
サポート コスト
取替原価
資産上に収められているデータのビジネス上の価値を数値で表現することは非常に困難でしょう。データの価値は、会社の全般的な財務上の目標に対する貢献度に基づくこともあれば、外部の人または組織にとってのデータの価値に基づくこともあるでしょう。通常、この価値には議論の余地が大幅にあります。しかし、類似の資産上に置かれているデータに比べて、データが失われたときの相対的な影響を示すものとなります。データの価値はハードウェア自体の価値よりもはるかに高くなることがよくあります。
資産の間接的な価値は数量化することがさらに困難といえます。この数値は、資産が失われたり被害にあったりしたときに、評判の低下、訴訟、商機の逸失などを通じて会社が損失を被る可能性のある額とします。それに加えて、資産の損失によって引き起こされた損害を補償または補修するために会社が負担するコストも、この価値に含まれることがあります。
最後に、外部の組織に対するデータの価値を評価します。間接的なビジネス価値の場合と同様に、これも算出するのは困難といえます。この数値には、資産上に収められている実際のデータに外部の関係者が支払う金銭的な価値を反映させます。
資産価値は金額で表され、資産が失われたときの予想被害額の算出に使用することができます。AV を算出するには、資産の物理的な価値、資産を通じて得られる直接的なビジネス上の価値、資産を通じて得られる間接的なビジネス上の価値、および外部の関係者に対する資産の価値を加算します。
上記のとおり、この数値を決定することは非常に困難です。サーバーの物理的な価値はコンピュータ全体の価値のほんの一部にすぎません。資産を通じて組織が得る実際の価値は、資産が果たす機能または資産上に収められているデータを通じて実現されます。
Contoso の資産一覧
セキュリティ リスク分析のプロセスの一環として、組織の資産を特定して評価する必要があります。その目的は、全般的なセキュリティ リスクのステートメントへの入力情報および組織にとっての資産の相対的な価値を算出する手段を提供するためです。セキュリティ リスク分析のプロセスは、セキュリティ保護対策の承認を得るために、リスクを特定するとともに、被る可能性のある損害を評価する方法です。
Contoso はプロジェクトの最初の段階で対処する資産のグループをいくつか特定しました。その 1 つに Windows 2000 のインフラストラクチャがあります。このグループには、ドメイン コントローラ、ファイル サーバーとプリント サーバー、IIS サーバー、およびインフラストラクチャ サーバーが属します。Contoso はさらにインフラストラクチャ サーバーに DNS、DHCP、および WINS の各サービスを含めるように定義しました。
これらのサーバーは上に列挙した基準に基づいて評価されました。このプロセスの一環として、ドメイン技術、運用、Web サービス、および拡張セキュリティの各チームは、サーバーの各グループに関して全般的な資産の重要度 (AP) を決定しました。そのために各チームは以下の 1 から 10 に及ぶ尺度に基づいて評価を行いました。この尺度は会社にとって不可欠な資産を判別するのに使用することができます。
1 - サーバーは基本的な機能を果たすが、ビジネスに財務的な影響を及ぼすことはない。
3 - サーバーには重要な情報が保持されているが、迅速かつ容易に回復することが可能。
5 - サーバーには重要な情報が保持されており、回復するには相当の時間がかかる。
8 - サーバーには会社のビジネス目標にとって重要な情報が保持されている。この機器が被害を受けると、すべてのユーザーの生産性に大きな影響を及す。
10 - サーバーは会社のビジネスに重大な影響を及ぼす。この機器が被害を受けると、競争上不利になる。
Contoso の資産の一部に適用された資産の重要度の評価を下の表に示します。これはすべての資産を網羅したものではなく、Contoso の環境において行われた全体的な評価の例を示すものです。
表 4.2 Contoso における資産の重要度
| サーバーの区分 | 資産の重要度 (AP) |
|---|---|
| ルート ドメイン コントローラ | 8 |
| エンタープライズ管理者アカウント | 10 |
| 子ドメイン コントローラ | 8 |
| 北米ドメイン管理者アカウント | 10 |
| 北米ドメイン ユーザー アカウント | 5 |
| ルート DNS サービス | 4 |
| 子 DNS サービス | 5 |
| WINS サーバー | 3 |
| DHCP サーバー | 1 |
| ファイル サーバーとプリント サーバー | 8 |
| 調査 IIS サーバー | 10 |
| 部門 IIS サーバー | 6 |
| 人事 IIS サーバー | 7 |
それに加えて、次の表に示されるように、各サーバーの資産評価を行いました。
この資産評価の詳細な内訳については、ジョブ エイド 1「セキュリティ リスク管理」を参照してください。
表 4.3 Contoso における資産の評価
| サーバーの区分 | 物理的な価値 | 付加価値 | 資産価値 (AV) |
|---|---|---|---|
| 単一のルート ドメイン コントローラ | 18,000 ドル | 10,000 ドル | 28,000 ドル |
| エンタープライズ管理者アカウント | 0 ドル | 8 億 2900 万ドル | 8 億 2900 万ドル |
| 単一の子ドメイン コントローラ | 18,000 ドル | 50,000 ドル | 68,000 ドル |
| 北米ドメイン管理者アカウント | 0 ドル | 8 億 2900 万ドル | 8 億 2900 万ドル |
| 北米ドメイン ユーザー アカウント | 0 ドル | 1,000 ドル | 1,000 ドル |
| ルート DNS サービス | 18,000 ドル | 30,000 ドル | 48,000 ドル |
| 子 DNS サービス | 18,000 ドル | 30,000 ドル | 48,000 ドル |
| WINS サーバー | 18,000 ドル | 0 ドル | 18,000 ドル |
| DHCP サーバー | 18,000 ドル | 0 ドル | 18,000 ドル |
| ファイル サーバーとプリント サーバー | 40,000 ドル | 480,000 ドル | 520,000 ドル |
| 調査 IIS サーバー | 46,000 ドル | 550,000 ドル | 596,000 ドル |
| 部門 IIS サーバー | 32,000 ドル | 50,000 ドル | 82,000 ドル |
| 人事 IIS サーバー | 32,000 ドル | 300,000 ドル | 332,000 ドル |
資産の重要度および資産価値とは
会社の資産を評価する方法はたくさんあります。ここでは、Contoso の資産を評価するために使用された基準について、詳しく説明します。下に示す情報は、この特定のシナリオにおいてどのような意志決定が行われたかを説明しています。読者の会社におけるシナリオは異なっており、自社のビジネスのニーズと要件に基づいて異なる値が算出されるでしょう。ここで示す値はきわめて主観的なものであり、Contoso の独特な環境において行われたプロセスの概要を示すために提示するものです。
ルート ドメイン コントローラ
ルート ドメイン コントローラはインフラストラクチャの重要な構成要素です。しかし、簡単に再作成できないようなデータは、ルート ドメイン コントローラにはほとんど置かれていません。Contoso はルート ドメインにドメイン コントローラを何台か配置して、提供するサービスに冗長性を持たせています。ルート ドメイン コントローラは会社の財務的な利益に直接貢献することはありませんが、膨大な力を備えています。そのために、これらのコンピュータは資産の重要度として 8 を割り当てられています。
ルート ドメイン コントローラには、社外で財務的な価値があるようなデータはほとんど置かれていません。しかし、これらのサーバーが被害を受けると、ユーザーの情報が制約される可能性があります。このため、ルート ドメイン コントローラ上のビジネス データは約 10,000 ドルの価値があると評価されました。ハードウェアのコストと合わせて、ルート ドメイン コントローラの合計 AV は 28,000 ドルと見積もられました。
これらの数値は単一のドメイン コントローラに関するものであり、ドメイン サービス全体の重要度を表すものではありません。ドメイン管理者アカウントおよびエンタープライズ管理者アカウントは、関連するリスクを計算するための、独自のリソースとして評価されました。
Contoso はさらに、ドメイン サービス全般の重要度と価値を評価して、ドメインのすべての機能を麻痺させてしまうような可能性のあるリスクを検討することもできました。しかし、それは現在のプロジェクトの範囲外であるとみなされました。
エンタープライズ管理者アカウント
エンタープライズ管理者グループに属するアカウントは組織内で最も重要なアカウントです。エンタープライズ管理者はフォレスト内の任意のコンピュータの制御権を取得できます。これらのアカウントは、必要な場合にのみ使用し、組織内で最も厳しく管理することが必要です。
エンタープライズ管理者グループの力は絶大であるので、この資産の重要度は 10 と評価されました。このアカウントを制御できなくなると、組織は壊滅的な被害を受ける可能性があります。
エンタープライズ管理者グループに属するアカウントの価値は膨大です。その価値は Windows 2000 のフォレストに格納されているか、またはセキュリティで保護されているすべてのデータの価値に匹敵します。そのため、エンタープライズ管理者アカウントの価値は過去 1 年間の会社の収益である 8 億 2900 万ドルに等しいと評価されました。エンタープライズ管理者グループはそのセキュリティにビジネス全体が依存しているかのように、保護する必要があります。
子ドメイン コントローラ
子ドメイン コントローラには、ユーザー パスワードなど組織内のユーザーに関する重要な情報が収められています。この情報の損失または損害により、会社は甚大な影響を受ける可能性があります。Contoso はすべてのロケーションに複数台のドメイン コントローラを配置して、単一のドメイン コントローラが故障した場合の影響を小さくするようにしています。したがって、単一のドメイン コントローラが故障しても、容易に復旧を図ることができます。これらの要因の組み合わせから、Contoso は子ドメイン コントローラの資産の重要度を 8 と評価しました。
子ドメイン コントローラのデータは 50,000 ドルと評価されました。この見積もりは、外部の組織がユーザーの電話番号または電子メールのアドレスに支払うであろう金額に基づいています。ハードウェアの価値と合わせて、子ドメイン コントローラの AV は 68,000 ドルと見積もられました。
ルート ドメイン コントローラの場合と同様に、この数値にはドメイン アカウントが被害を受けた場合、またはすべてのドメイン サービスが麻痺した場合は考慮に入れられていません。代わりに、単一のドメイン コントローラによって提供されるデータおよび機能だけに焦点を当てて、見積もりを出しています。
北米ドメイン管理者アカウント
Contoso は "Northamerica" という子ドメインを設けています。このドメインに、サーバー、データ、およびアカウントをはじめとする、会社の資産の大部分が置かれています。数ではエンタープライズ管理者グループ中のアカウントよりも少ないですが、北米ドメイン管理者グループ中のアカウントは大きな力を持っています。
ドメイン管理者はドメイン内のすべてのリソースを全面的に制御することができるので、北米ドメイン管理者アカウントの重要度は 10 と評価されました。これらのアカウントの 1 つが被害を受けた場合の影響は、エンタープライズ管理者グループ中のアカウントが被害を受けた場合をやや上回るでしょう。いずれの場合も、組織内のすべてのコンピュータが被害を受ける可能性があります。
前述のように、ドメイン管理者グループ中のアカウントの価値は膨大です。このため、北米ドメイン管理者グループ中のアカウントの価値もまた過去 1 年間の会社の収入に等しいものと評価されました。
北米ドメイン ユーザー アカウント
組織においてドメイン管理者アカウントだけが、関心の対象というわけではありません。ユーザー アカウントにはドメイン管理者アカウントほどの直接的な力はありません。しかし、攻撃者が組織を乗っ取ろうとする際に、ユーザー アカウントはもうひとつの足掛かりになります。ユーザー アカウントの安定性と完全性を保つことは、Active Directory における主要な関心事項の 1 つです。そのために、ユーザー アカウントの重要度は 5 と評価されました。
単一のユーザー アカウントの物理的な価値はごくわずかです。ユーザー アカウントが被害を受けた場合には、アカウントを回復するために多少の管理作業が必要であり、ある程度の機能の損失もありえます。しかし、すべての資産の中で、ユーザー アカウントは価値を見積もるのが最も難しいものの 1 つといえます。アカウントを再作成し失われた生産性を補うためのコストから、ユーザー アカウントの AV は約 1,000 ドルと見積もられました。
ルート DNS サービス
ルート DNS サーバーは大きな機能を提供しますが、きわめて容易に再作成することが可能です。これらのサーバー中のデータは社外の関係者にとってはたいした情報ではなく、それらのデータが失われても全体的な影響はごくわずかです。しかし、DNS サーバーが汚染されると、ユーザーは別のロケーションにリダイレクトされたり必要なリソースにアクセスできなくなったりします。そのような理由から、ルート DNS サーバーは資産の重要性として 4 を割り当てられました。
純粋な DNS サーバーにはビジネス データは何も置かれていません。しかし、何らかの方法で DNS サーバーのサービスが阻害された場合に、機能および生産性が失われる可能性があります。機能を復旧して問題を修正するのにかかる時間の見積もりと生産性の損失の見積もりとに基づいて、ルート DNS サービスのその他の価値は約 30,000 ドルであるとの見積もりが出されました。ハードウェアの価値と合わせて、DNS サーバーの AV は 48,000 ドルと評価されました。
Contoso の DNS サーバーはドメイン コントローラの一部として稼働していますが、両方のサービスを分けて対処するという決定がなされたことに注意してください。
子 DNS サービス
子 DNS サーバーには、サーバーとクライアント ワークステーションのすべて、および子ドメインのネットワーク サービスの一部についての情報が置かれています。これは、関係者にとって価値のある情報となります。Contoso のネットワークが円滑に機能するように維持するためにこれらのサーバーにかかるコストは非常に高いにもかかわらず、会社の利益に直接影響することはありません。これらのサーバーに置かれているデータは DNS サーバー上で容易に再作成することができるので、その資産の重要性には 5 が割り当てられました。
ルート DNS サーバーの場合と同様に、純粋な DNS サーバーにはビジネス データは何も置かれていません。しかし、何らかの方法で DNS サーバーのサービスが阻害された場合に、機能および生産性が失われる可能性があります。機能を復旧して問題を修正するのにかかる時間の見積もり、および生産性の損失の見積もりに基づき、北米ドメインにおける DNS サービスの付加価値は約 30,000 ドルであると評価されました。ハードウェアの価値と合わせて、DNS サーバーの AV は 48,000 ドルとの見積もりが出されました。
この場合も、Contoso のDNS サーバーはドメイン コントローラの一部として稼働しています。しかし、両方のサービスを分けて扱うという決定がなされたことに注意してください。
WINS サーバー
WINS サーバーに置かれている情報は DNS サーバーのものと似ています。しかし、Contoso において WINS サーバーが使用されているのは、主として古い Windows 98 および Windows NT Workstation 4.0 が稼働しているワークステーションです。この場合も、サーバーのデータを再作成することは容易なので、資産の重要度には 3 が割り当てられました。
WINS サーバーにはビジネス データは置かれていません。WINS サーバーに置かれている情報は、環境内のホストに関するネットワーク基本入出力システム (NetBIOS) の名前情報だけです。生産性が低下すれば、環境内のすべての WINS サービスが低下するという影響を受ける可能性があります。しかし、冗長性を持たせてあるので、このリスクは緩和されています。WINS サーバーの合計 AV は 18,000 ドルとの見積もりが出されました。
これは環境全体の WINS サービスの価値を表すのではなく、単一の WINS サーバーの価値のみを示すことに注意してください。
DHCP サーバー
DHCP サーバーには他の組織に価値を提供するような情報はほとんど置かれていません。DHCP サーバーは容易に再作成でき、会社の利益に直接寄与することはありません。こうした理由により、DHCP サーバーの資産の重要度には 1 が割り当てられました。
DHCP サーバーにはコンピュータとその IP アドレスに関する情報、および DHCP スコープ情報の一部しか置かれていません。DHCP サーバーはビジネス上の機能を果たしますが、DHCP サーバーにはビジネス上の価値を生む情報は置かれていません。Contoso は環境内に複数台の DHCP サーバーを設置し、DHCP スコープを作成するときに 80/20 ルールを適用して、DHCP サーバーに障害が発生した場合に備えています。このため、単一のサーバーに障害が発生しても、影響は大幅に緩和されます。そのような状況に基づき、単一の DHCP サーバーの AV は 18,000 ドルと見積もられました。
これは環境全体の DHCP サービスの価値を表すのではなく、単一の DHCP サーバーの価値のみを示すことに注意してください。
ファイル サーバーとプリント サーバー
ファイル サーバーおよびプリント サーバーには会社の知的財産が大量に置かれています。これらのコンピュータの損失は、自社にとっても競合他社にとっても非常に大きな損失となります。それらのサーバーに置かれていたデータを再作成するには膨大なコストがかかるでしょう。このため、Contoso のファイル サーバーとプリント サーバーの資産の重要度には 8 が割り当てられました。
各ファイル サーバーとプリント サーバーに置かれたデータの価値は、サーバーあたり平均で 200,000 ドルと見積もられました。この計算は、このデータを生成するコスト、およびデータによって組織に現在もたらされている価値に基づいています。
調査 IIS サーバー
Contoso の調査 IIS サーバーは社内ユーザー向けの市場調査データの大部分を発行しています。調査 IIS サーバーには会社の競争力を高める主要データが置かれています。このため調査 IIS サーバーは非常に重要であり、資産の重要度には 10 が割り当てられました。
各調査 IIS サーバーに置かれているデータの価値は 450,000 ドルと見積もられました。この場合も、この計算は、データを生成するコストおよびデータによって組織に現在もたらされている価値に基づいています。それに加えて、このデータは外部の組織に対して約 80,000 ドルの価値があるものと見積もられました。この両方をハードウェアのコストと合計すると、市場調査データ専用の各 IIS サーバーの AV は 596,000 ドルとなりました。
部門 IIS サーバー
部門 IIS サーバーにも Contoso の現在および将来のプロジェクトに関する貴重なデータが置かれています。しかし、純粋にビジネスにとって価値のある大量の情報は置かれていません。これらのサーバーは主として通信のために使用されます。こうした理由により、部門 IIS サーバーの資産の重要度には 6 が割り当てられました。
部門 IIS サーバーに置かれているデータの価値はサーバーあたり平均で 50,000 ドルとの見積もりが出されました。前述のとおり、この計算は、データを生成するコストおよびデータによって組織に現在もたらされている価値に基づいています。ハードウェアのコストと合計すると、部門 IIS サーバーの AV は 82,000 ドルとなりました。
人事 IIS サーバー
人事 IIS サーバーは他のバックエンドの人事システムに対するフロントエンドのサーバーです。人事 IIS サーバーは容易に再作成でき、また重要なビジネス データが大量に置かれることもありません。しかし、人事 IIS サーバーを開発するには相当のコストがかかります。したがって、人事 IIS サーバーの資産の重要度には 7 が割り当てられました。
人事 IIS サーバー上に置かれているビジネス データの価値は 100,000 ドルとの見積もりが出されました。その中には大量の人事データおよび社内情報が含まれており、この見積もりは外部の組織に対する価値を示したものです。その他、この情報が漏れた場合に起こりうる訴訟や評判の下落などに対処するコストは、200,000 ドルと推定されました。この両方を人事 IIS サーバーのハードウェアの価値と合計すると、この資産の AV は 332,000 ドルという見積もりが出されました。
脅威の特定
Contoso のセキュリティ プロジェクトにおいて取り上げるべき資産を特定して、価値を評価しました。次のステップは、資産を保護するためにどの脅威に対処する必要があるかを判定することです。脅威には多くの形態があり、それに応じて会社の資産に対するリスクも異なります。組織内の資産に対する脅威は無限にあります。詳細は、第 2 章「セキュリティの概要を定義する」を参照してください。簡単に言えば、脅威は自然、機械、人為の 3 つのカテゴリに大別されます。
Contoso の環境において特定された脅威
Securing Windows 2000 プロジェクトの一環として、Contoso は潜在的に悪意のある攻撃だけを考慮の対象とすることに決定しました。同社では運用手順およびトレーニング ポリシーが実施されており、システム環境を不注意によって誤用する脅威を減らすことに役立っています。同社の物理ネットワーク設計およびシステム要件も、機械的な脅威を減らす役に立っています。それに加えて、自然災害が発生した場合に備えて、Contoso は明確な緊急時対策を作成しています。
セキュリティ プロジェクトにおいて対処する脅威の数を減らすことで、セキュリティ ポリシーおよびセキュリティ手順を確立するために必要な攻撃の様相、およびプロジェクトの範囲を完全に理解することがはるかに容易になります。しかし、プロジェクトの範囲を設定することは、組織環境へのすべての脅威に完全に対処するには、追加のプロジェクトが必要になることも意味します。
セキュリティ リスクの分析 - 脅威確率を判定する
具体的なな脅威確率を判定するすることは、セキュリティ リスク分析のプロセス全体にとって非常に重要です。組織のセキュリティ リスク ステートメントを作成するときに、その数値が各リスクの重要性を判定する助けとなります。
Contoso では脅威確率 (threat probability: TP) を潜在的な脅威が発生する可能性と定義しています。Contoso はすべての高レベルの脅威に関する尺度を作成して、これらに 0 ~ 1.0 のランクを付けました。この尺度では、確率が 0.1 の脅威が発生する可能性は非常に低く、確率が 1.0 の脅威は必ず発生すると想定しています。各脅威確率の詳細を下の表に示します。
表 4.4 Contoso における脅威確率
| 脅威 | 確率 |
|---|---|
| 火災 | 0.05 |
| 水害 | 0.025 |
| 風害 | 0.025 |
| 地震 | 0.001 |
| 停電 | 0.0002 |
| ハードウェアの障害 | 0.1 |
| ネットワークの障害 | 0.3 |
| 情報を知らないユーザー | 0.2 |
| 悪質なコード (ウイルス) | 0.6 |
| 産業スパイ | 0.1 |
| 内部からの攻撃者 | 0.6 |
| 外部からの攻撃者 | 0.4 |
内部からの攻撃者および外部からの攻撃者に設定された可能性のランクは、2002 年の「コンピュータ犯罪とセキュリティ サーベイ」の結果および Contoso の前年の経験に基づいています。
これは特定できる脅威の一部でしかありません。しかし過去の経験、環境条件、地理、および組織が属する業界などの要因に基づいて、どのように脅威の一覧を作成できるかを示しています。
セキュリティ アセスメント
多くの情報システム プロジェクトの場合と同様に、セキュリティ プロジェクトを計画する最善の方法は既存の状況を調査することです。ポリシーと手順を確認し、物理、周辺、ネットワーク、ホスト、アプリケーション、およびデータのレベルでのテクノロジの利用状況を調査する必要があります。セキュリティ アセスメントには多くの目標があります。したがって、目標を達成するために遂行可能な事項はいくつかのカテゴリに分けられます。これらのカテゴリの例を次に示します。
運用アセスメント
侵入テスト
脆弱性アセスメント
侵入検知監査
このサービスを提供するマイクロソフトのパートナーがたくさんあります。マイクロソフトの認定パートナーの一覧については、https://www.microsoft.com/japan/partners/partner.mspx を参照してください。ここでは 3 つのセキュリティ アセスメントのカテゴリについて、詳細を説明します。
運用アセスメント
セキュリティの出発点はよく定義されたポリシーにあります。組織をセキュリティで保護する最初のステップは、文書化された組織のポリシーを徹底的に検討することです。運用アセスメントでは、通常会社のポリシーおよび手順に関する詳細な調査結果を得ることができます。運用アセスメントはテクノロジの高度な利用に及ぶこともあります。
運用アセスメントの目標は、現在のセキュリティの状態および運用管理の準備状況を組織が特定できるように支援することです。それに加えて、組織のセキュリティへの準備状況を改善し総所有コスト (total cost of ownership: TCO) を削減するのに役立つ、一般的および特定の推薦事項を提示します。
侵入テスト
侵入テストは許可されていない個人が、組織内に侵入する方法を判定するのに役立ちます。この例を次に示します。
外部リソースをスキャンして、被害を受ける可能性のある対象を特定する。
ウォーダイヤリング (war dialing) を行って、電話によるセキュリティ保護されていないアクセス経路を特定する。ウォーダイヤラ (war dialer) は、モデムの電話番号に無許可でアクセスするためにハッカーが使用するツールです。
ウォーピン (war pinging) を行って、外部から利用可能なホストを特定する。それらのコンピュータは将来的にテストでさらに活用できます。
ウォードライビング (war driving) を行う。これは比較的新しい概念で、組織内のセキュリティで保護されていないワイヤレス アクセス ポイントの特定を試みるプロセスです。
ソーシャル エンジニアリングを行って、パスワードや何らかのセキュリティ情報を漏洩する可能性のある人物を特定する。この情報には、偶然に機密情報が含まれることがあります。
侵入を試みて、施設への物理的なアクセスが容易であるかどうかを判定する。
これらのテストは組織が施行しているセキュリティ ポリシーへの注目を高める役に立ちます。侵入テストを実施する際に考慮すべき最大の事項の 1 つは、このテストの実施に高い評価を得ている外部組織を見つけることです。あらゆる侵入テストは、開始する前に文書による承認を必要とします。ほとんどの会社では、このような事柄を無許可で実施すると、解雇の理由となります。
脆弱性アセスメント
脆弱性アセスメントは侵入テストをさらに一歩進めたものです。潜在的なアクセス ルートの一部を特定するのではなく、脆弱性アセスメントでは組織への可能なすべてのエントリ ポイントを定義します。組織の内部で、セキュリティ プロジェクト チームは他の内部的な資産の弱点を特定して、脆弱性アセスメントをさらに進めます。このテストは通常、すべてのコンピュータにおける管理特権を持つ社内スタッフが実行します。
脆弱性とは、情報システムまたはそのコンポーネント (たとえば、システム セキュリティ手続き、ハードウェア設計、および内部統制) の弱点のことで、悪用されると情報に関わる大きな被害が生じます。通常、脆弱性の原因は資産の現在の構成にあります。資産の構成が変化するにつれて、脆弱性アセスメントを繰り返して、更新されたシステムを検証してセキュリティが保護されていることを保証する必要があります。
脆弱性は多層防御モデル内のあらゆる弱点で発生します。このモデルは内部および外部の脅威からリソースを保護する戦略となります。多層防御 (縦深セキュリティまたは多層セキュリティと呼ばれることもあります) はもともと軍事用語であり、セキュリティ対策を何重にも張り巡らせて、障害が発生するポイントがひとつもない、凝集性の高いセキュリティ環境を形成することを意味します。このモデルには、人、プロセス、またはテクノロジにかかわる問題への対処が含まれており、このアセスメント戦略を使用して明示することができます。
ツールを使用するかまたは手作業で、脆弱性スキャンを行うことができます。自動スキャンを使用すると、ネットワーク中の各コンピュータまたはコンポーネントを特定することができます。スキャン ツールは、まず潜在的なターゲットを特定し、それから一連のテストを実行して、資産内の潜在的な脆弱性を判定します。
手作業でスキャンする場合は、アセスメント ツールから得られた情報を利用して、ターゲットの環境に関するさらに詳細な情報を入手します。さらに一歩進めて、手作業のプロセスでは、自動プロセスでは明らかにされなかった弱点のある領域を特定することがあります。
侵入検知監査
侵入検知監査では通常、他のいくつかのテストの結果を組み合わせて、組織の侵入検知ツールが予測どおり機能していることを検証します。侵入検知監査を担当する機関は、運用アセスメントから得られた情報を利用して、組織内に現在適用されているポリシーおよびプロセスを理解します。侵入テストの結果から、このテストの担当者またはグループは、組織が危険に曝されている種々の領域の概要を特定することができます。脆弱性アセスメントを行うことにより、グループは組織内に現在どのような問題が存在するかを理解することができます。
侵入検知監査の実施を依頼されたサード パーティは上記のすべての知識を利用して、組織の外部から侵入を試みます。脆弱性アセスメントとの大きな違いの 1 つは、このテストは通常は管理権限を有していない外部の機関によって実施されることです。このプロセスが成功に終わる場合、対象となる企業は侵入検知システムの実装状況を再評価する必要があります。侵入することに成功した場合、テストを実施したグループはそのプロセスを組織内で繰り返して、侵入検知システムまたは管理者に気付かれずにさらにどんな情報を入手できるかを判定する作業を続けます。
侵入検知監査は最も総合的なテストであり、定評のある組織にのみ実施を依頼します。このテストを実施するには、最高責任者の許可が必要です。また、こうしたテストの影響全体を、テストの実施前に全面的に評価する必要があります。
脆弱性アセスメントのツール
企業の中には、サード パーティにスキャンの実施を依頼するよりも、脆弱性アセスメント ツールを購入することを希望するところがあります。どちらのアプローチにも、利点と欠点があります。会社のインフラストラクチャをサード パーティにレビューしてもらうことには、非常に大きな価値があります。しかし、それに要するコストは制約要因となります。
独自に脆弱性アセスメント ツールを使用する場合、下記の機能ができるだけ多くアセスメント ツールに備わっていることを確認するため、次の事項を検討します。
脆弱性データベースの一覧
脆弱性アセスメント ツールでは、複数のソースからの脆弱性一覧が使用可能であることが必要です。たとえば、マイクロソフト セキュリティ情報、Common Vulnerabilities and Exposures (CVE) データベース、CERT Coordination Center、BugTraq などです。
更新機能
脆弱性アセスメント ツールはテスト結果を自動的に更新できることが必要です。ツールがスキャンする脆弱性の一覧の質および実施されるテストの質は、脆弱性アセスメント ツールによる最新の更新の質と同じレベルでしかありません。手作業での更新を必要とするツールを使ってスキャンする場合、管理者がすべての可能性を確認していない危険は増大します。
カスタマイズ機能
脆弱性アセスメント ツールにはカスタマイズ機能が必要です。すべての環境には違いがあります。組織の中には、環境の構成の都合上、ある種の脆弱性を許容しているところがあります。そのような組織は、既知の問題が検出されるたびに、警告されることを好みません。その他に、そのような組織には、他の環境では一般的ではない、特定の調査事項を抱えていることがあります。
ネットワークのセキュリティ
脆弱性スキャン ツールはネットワークのセキュリティを確認する必要があります。そのテストの一環として、脆弱性スキャン ツールは開かれたポートを確認します。その結果、セキュリティで適切に保護されていないサービスが見つかることがあります。
ホストのセキュリティ
脆弱性スキャン ツールはホストのオペレーティング システムのセキュリティを確認する必要があります。これには、稼動している不必要なサービスをスキャンすること、およびコンピュータ上のグループとアカウント、さらにサーバー上の不必要なユーティリティを分析することも含まれます。適切なアクセス制御リスト (ACL) がイベント ログに適用されていること、レジストリへのアクセス許可が適切に強化されていること、および必要なユーザー権利だけが割り当てられていることを確認します。
アプリケーションのセキュリティ
テストにはアプリケーションのセキュリティも対象とします。その中には、ベースラインのオペレーティング システムの設定、ドメイン コントローラおよびドメイン設定のスキャン、および Web サーバーのスキャンも含まれます。特に、組織内で IIS を使用している場合、IIS サーバーの構成情報が収められている IIS メタベースの設定を、このツールで監視します。また、inetpub ディレクトリが他のボリュームに移されていること、および IIS Lockdown Tool と URLScan が実行されていることも検証します。
データのセキュリティ
脆弱性スキャナを用いて、データのセキュリティも確認します。検討事項には、中核となるオペレーティング システム ファイルのセキュリティ、サービス パックのレベル、インストールされている修正プログラム、ACL、およびファイル共有のアクセス許可があります。修正プログラムとは、製品の欠陥に対処するために使用される 1 つ以上のファイルから構成される、累積的なパッケージです。修正プログラムは特定の顧客の状況に対処するものであり、顧客の組織の外には通常は配布されません。ただし、マイクロソフトから文書による正式な同意を得た場合には、その限りではありません。
重要度の設定
最後に、特定した重要性の高い事項を定義するのに、このツールを役立てます。たとえば、Microsoft Security Response Center は、対処する脆弱性に基づいてセキュリティ修正プログラムを特定し、それから各セキュリティ修正プログラムに重要度を設定します。Microsoft Security Response Center はマイクロソフトのビジネス ユニットであり、マイクロソフトの製品に関わるすべてのセキュリティ上の脆弱性を調査および解決します。
具体的な重要度は、重大、重要、普通、および軽微となっています。この重要度の設定は非常に一般的なものですが、どのセキュリティ修正プログラムを優先的に直ちに適用し、別のグループの機器にはどのように対処すればよいかを、組織が判断する役に立ちます。
セキュリティ リスク分析プロセスへの入力
セキュリティ リスク分析プロセスの一環として、いくつかの基準に基づいて、各脆弱性を評価する必要があります。それによって得られる情報は、各脅威によって組織がさらされる全般的なリスクを判定する役に立ちます。これを行うには、各攻撃者、行為、脆弱性、および資産の組み合わせごとに、簡潔なリスク ステートメントを作成します。この作成には大変な労力がかかるように思えるかもしれませんが、組織の全般的なセキュリティ プロジェクトの一環として、対処する必要のある問題を全面的に定義する役に立ちます。
リスク ステートメント
セキュリティ リスク ステートメントを作成するときに、それぞれの可能性を別々に対処し、それぞれのリスクの具体的な結果を記述します。複数の結果がある場合は、リスク ステートメントの範囲が広すぎる可能性があるので、絞り込む必要があります。
各リスク ステートメントでは、条件から結果を導きます。第 2 章「セキュリティの概要を定義する」で示したとおり、作成するセキュリティ リスク ステートメントは次に示す形式に基づくようにします。
脅威を及ぼす者がツール、テクニック、または手法を使用して脆弱性を悪用する場合、資産の機密性、完全性、または可用性の損失という影響が出る恐れがあります。
深刻度の判定
深刻度 (criticality factor: CF) は、問題の脆弱性を悪用した特定の行為によって引き起こされた損害の尺度です。1 つの脆弱性を悪用したいくつかの行為を通じて、資産が攻撃される可能性があります。各行為はターゲットのコンピュータに対して違った影響を与える可能性があります。そのために、各脆弱性に対する潜在的な行為を評価するために、何らかの調査を行う必要があります。
深刻度は 1 ~ 10 の尺度で表します。1 は行為の影響はほとんどないことを示し、10 は取り返しのつかない膨大な損害が発生する可能性があることを示します。
特定された脆弱性を悪用する労力の判定
労力 (effort: E) は特定の行為を行うために攻撃者に必要とされる作業、知識、または経験の量を示します。特定の行為を行うための労力のレベルは、攻撃の単純性に基づいて判定します。悪意のある攻撃者のタイプは広範にわたります。攻撃の方法や仕組みについてほとんど知識のない (しかし情報を略奪するのに役立つツールは知っている) 「スクリプト・キディー」からセキュリティに関する深い技術知識を有する真の「クラッカー」までさまざまです。クラッカーとは、コンピュータのセキュリティ対策を打ち破って、無許可でアクセスを行う人物です。
個々の行為の労力は深刻度と同じ尺度の 1 ~ 10 で表します。1 は行為を行うのに技能はほとんど必要ないことを示し、10 は熟練したセキュリティ プログラマ並の技能が必要であることを示します。
脆弱性係数の判定
脆弱性係数 (vulnerability factor: VF) とは、特定の形態の攻撃に対する脆弱性の尺度です。
資産の脆弱性係数も 1 ~ 10 の尺度で測定します。1 は該当の資産はきわめて被害を受けにくいことを示し、10 は資産が特定の問題に無防備であることを示します。
Contoso の環境において特定された主要な脆弱性
Contoso は自社のネットワーク上で脆弱性スキャン ツールを使用して、構成に関する主要な問題点をいくつか特定しました。このツールは問題点の長い一覧を返しました。それらの問題点には、リスクに対する脆弱性のランク付けが高、中、低で示されていました。Contoso は、このセキュリティ プロジェクトの遂行中に、リスクに対する脆弱性が高と中の問題点に直ちに対処することを決定しました。
いくつかの脆弱性をまとめて大きなカテゴリにグループ化することができます。Contoso では、特定した個々の脆弱性に関して、脆弱性のグループ化を検討しました。そして、各脆弱性の労力、重大性係数、および深刻度の評価付けを行いました。
バッファのオーバーフロー
Contoso の環境において使用した脆弱性スキャナにより、IIS に関連するバッファのオーバーフローの影響を受けやすいサーバーが数多くあることが指摘されました。バッファのオーバーフローはシステムにアクセスするために攻撃者が悪用する行為の一種です。特に、Code Red ワームによって悪用される、セキュリティ修正プログラムがインストールされていない ida/idq のバッファ オーバーフローの存在が脆弱性スキャナにより検出されました。ワームとは、スタンドアローンの自己増殖型のプログラムであり、通常はメモリを消費してコンピュータをクラッシュさせるという悪事を働きます。
リスク ステートメント
Code Red を使用して ida/idq の脆弱性を悪用すると、ネットワークのトラフィックが増大して、調査 IIS サーバーの完全性と可用性が失われるという結果が生じます。
リスク ステートメントは脆弱性のある各資産について作成する必要があります。したがって、部門 IIS サーバーおよび人事 IIS サーバーについても、同様のリスク ステートメントを作成します。
深刻度
Code Red ワームは 2001 年 7 月 17 日に初めて発見されました。このワームはインターネットを通じて驚くべき早さで自己増殖し、14 時間で約 360,000 台のサーバーに感染しました。その過程で、Code Red ワームは Web サーバーに被害を与え、過剰な大量のトラフィックを発生させ、多くの企業のネットワークをオーバーフローさせました。
企業環境に対する潜在的な影響を考慮して、Contoso のセキュリティ チームは社内のすべての IIS サーバーに関して Code Red の深刻度の評点を 9 としました。
労力
Code Red を作成するのはきわめて困難です。ida/idq オーバーフローは非常に複雑であり、当初はその脆弱性を悪用することは非常に困難でした。しかし、Code Red はきわめて広がりやすい性質を備えています。Code Red ワームは自己増殖するので、それを悪用するのに技能はほとんどまたはまったく必要ありません。このため、Code Red の悪用に必要な労力の評点を 1 としました。
脆弱性係数
Contoso ではその後も引き続き、2 箇所にあるサーバー ドメインにおいて、Code Red による感染が見られています。コンピュータにセキュリティ修正プログラムが全面的にインストールされる前に、ビルド プロセスの過程で、会社のサーバーに感染することがよくあります。このため、既知の IIS のバッファのオーバーフローの問題に対処することは、Contoso の最大の懸案事項の 1 つです。
Code Red は社内のサーバーに感染し続けているので、現在のサーバー ビルド プロセスはこのワームに対してきわめて脆弱になっています。しかし、セキュリティ チームの担当者がこの問題を修正するセキュリティ修正プログラムをインストールしています。そこで、Contoso の Web サーバーの脆弱性係数の評点を 8 としました。
NetBIOS の列挙
脆弱性スキャナにより、すべてのコンピュータが NetBIOS のエミュレーションに対して脆弱であることが検出されました。NetBIOS では、プロセス間通信 (IPC) に既定の共有リソースを使用しています。既定では、だれもがこの共有リソースに接続することができます。その際にユーザー名もパスワードも必要ありません。単に共有リソースに接続するだけでは、ファイルを参照したりプロセスを制御したりする権利はだれにも与えられません。しかし、大量のシステム情報を参照することは可能です。
コンピュータ上の IPC$ 共有リソースに対するヌル接続 (ユーザー名もパスワードも使用しない接続) を行うことにより、攻撃をかけようとする人は一般的に入手可能なユーティリティを使用して、次のような情報を参照することができます。
アカウント名
グループ
共有リソース
アカウントのコメント フィールド
アカウントの最終ログオン時刻
アカウントの最終パスワード変更
これらは容易に参照できる項目のほんの一部にすぎません。ユーザー名やパスワードなしに、入手可能な情報の代表的なものです。
リスク ステートメント
攻撃者が NetBIOS エミュレーション ツールを使用してヌル セッションを悪用すると、北米ドメインのドメイン コントローラの機密性が失われて、無許可のユーザーがアカウント情報へのアクセスを取得することになります。
ルート ドメイン コントローラに関しても、同様のステートメントを記述します。
深刻度
ヌル セッションを使用した NetBIOS の列挙は重大なセキュリティ違反を招きます。無許可のユーザーがすべてのユーザー アカウント名、アカウント コメント、グループ、および共有リソースを参照することを防止できないために、組織は重大なリスクに直面します。ユーザー名とパスワードの組み合わせの半分に相当する、多数のアカウント名が攻撃者の手に渡る可能性があります。
ユーザー名が漏れた場合の潜在的な影響を考慮して、Contoso は会社のすべてのドメイン コントローラに関する NetBIOS 列挙の CF の評点を 6 としました。Contoso はメンバ サーバー上に特定のユーザー アカウントを作成していません。しかし、別途リスク ステートメントを記述することができます。これは、メンバ サーバーには列挙の対象となりうる共有リソースが含まれているからです。Contoso はこのことを大きな脅威とは見なしませんでしたが、メンバ サーバーの CF の評点を 3 とすることもできました。
労力
指定したホスト上の NetBIOS 情報を列挙するのに必要な労力はごくわずかです。ターゲットとなるコンピュータとの間にヌル セッションを確立した後で、この機能を自動化する数多くの無料ツールがインターネット上で入手可能です。
Contoso はこの脆弱性に付け込む後必要な労力の評点を 2 としました。
脆弱性係数
Contoso の環境には現在のところ、メンバ サーバーまたはドメイン コントローラのいずれにも NetBIOS の列挙を防止する対策は取られておりません。このため、すべてのサーバーの VF の評点を 10 としました。
SNMP の列挙
コンピュータ上で簡易ネットワーク管理プロトコル (SNMP) が有効に設定されており、既定のコミュニティ名 "public" 文字列が使用されていることが、脆弱性スキャン ツールにより検出されました。
Contoso ではイベントの報告に、Windows 2000 サーバー上で SNMP サービスを使用しています。Contoso はこれまでずっと “public” を使用してきました。したがって、一般的なハードウェアの監視に加えて、コンピュータの次の側面に関する情報を返すためにも SNMP を使用することに関心を持っていました。
アカウント名
共有リソース名
共有リソースのパスとコメント
実行中のサービス
開かれているポート
リスク ステートメント
攻撃者が SNMP 列挙ツールを使用して public コミュニティ名を悪用すると、北米ドメインのドメイン コントローラの機密性が失われて、無許可のユーザーがアカウント情報へのアクセスを取得することになります。
ルート ドメイン コントローラに関しても、同様のステートメントを記述します。
深刻度
SNMP の列挙は大量な情報の流出につながるので、大きな危険性を秘めています。特に、指定されたコミュニティ名にターゲットとなるサーバーへの書き込み能力がある場合、危険性は増大します。構成上の理由から、Contoso はすべてのサーバーの CF の評点を 6 としました。
Contoso が何らかの書き込み可能なコミュニティ名を使用していた場合、別のリスク ステートメントを生成する必要が生じたでしょう。
労力
SNMP の列挙は、インターネット上で入手可能ないずれかのフリーウェアまたはシェアウェアを使用して、容易に行うことができます。Contoso はそれらのツールを使用する労力の評点を 2 としました。
脆弱性係数
Contoso では監視を行うために大部分のサーバー上で SNMP を有効にしており、そのコミュニティ名を既定の public としています。そのために、Contoso は非常に被害を受けやすくなっています。そこで同社は SNMP の列挙に関する VF の評点を 10 としました。
DNS の列挙
DNS サーバーではゾーン転送を制限していなかったことが、脆弱性アセスメントにより明らかになりました。DNS のこの機能がセキュリティ保護されていない場合、攻撃者は組織の DNS サーバーからデータを容易に入手することができます。
Contoso は Windows 2000 において DNS と統合された Active Directory を使用しています。DNS にはドメインに関する情報が大量に置かれています。サーバー名、インターネット プロトコル (IP) アドレス、ネットワーク上で実行されているサービス、およびグローバル カタログや DC など特定のサービスを実施しているサーバーがあります。
リスク ステートメント
攻撃者が nslookup を使用してロックされていないゾーン転送を悪用すると、北米ドメインの DNS の機密性が失われて、コンピュータおよびサービスの識別情報が漏れることになります。
ルート ドメイン サーバーに関しても、同様のステートメントを記述します。
深刻度
DNS の列挙は環境内のホストおよびサービスに関する大量な情報の流出につながります。しかし、その中に特定のユーザーに関する情報または会社にとって重要なデータは含まれていません。したがって、Contoso はドメイン コントローラの CF の評点を 2 としました。
労力
DNS の列挙は、ほとんどのオペレーティング システムに付随するツールを使用して、容易に行うことができます。Contoso はそれらのツールを使用する労力の評点を 1 としました。
脆弱性係数
Contoso は環境内で DNS ゾーン転送をセキュリティで保護していないため、DNS の列挙の VF の評点を 7 としました。
弱いパスワード
Contoso が選定した脆弱性アセスメント ツールには追加の機能があります。それは、ユーザー アカウントに対して基本的な辞書攻撃を行って、弱いパスワードを洗い出すことです。それに加えて、セキュリティ アカウント マネージャ (SAM) データベース内のパスワード ハッシュを調べて、ブランクのパスワードや重複するパスワードが存在するかどうかを確認します。重複するパスワードが大量に見つかると、それらは組織内で新しいアカウントが設定されたときに使用される既定のパスワードであると攻撃者は判断します。
SAM 内の情報は暗号化されています。しかしパスワードを解読しなくとも、ハッシュに基づいてブランクのパスワードや重複するパスワードを洗い出すことは容易にできます。Contoso ではアカウント ロックアウト ポリシーを定義していないので、パスワードの推測を何回でも試行することができます。脆弱性スキャン ツールにより、どんな辞書にも載っている一般的な言葉だけで構成されるパスワードが数多く発見されました。そのようなパスワードが解読されるのは、時間の問題です。
リスク ステートメント
攻撃者がブルートフォース攻撃によってパスワード ポリシーの抜けを悪用する場合、エンタープライズ管理者アカウントの完全性と機密性が失われて、攻撃者が組織に無許可でアクセスを取得することになります。
ドメイン管理者グループおよび一般ユーザー アカウントに関しても、同様のリスク ステートメントを記述します。
深刻度
弱いパスワードはすべてのシステム管理者にとって頭痛の種です。パスワードが弱いと、攻撃者はユーザー アカウントとパスワードの組み合わせをすぐに取得できます。このため、Contoso はこの問題の評点を 10 としました。
労力
弱いパスワードは、インターネット上で入手可能な辞書攻撃ツールを使用して、容易に推測することができます。Contoso はこうしたツールを使用する労力の評点を 2 としました。
脆弱性係数
Contoso はパスワード ポリシーを設定しておらず、ログオンの失敗を監査していないので、弱いパスワードの VF の評点を 10 としました。
暗号化されていないサーバー メッセージ ブロックのトラフィック
Contoso ではサーバー メッセージ ブロック (SMB) 通信に既定の設定が用いられていることが、脆弱性スキャナによって検出されました。
既定では、Windows NT LAN Manager (NTLM) のチャレンジおよびレスポンスが、ネットワーク上の LanManager (LM) の認証または NTLM のハッシュを渡すことはありません。しかし、この情報交換トラフィックを監視し、ブルートフォース方式で元の LM ハッシュ値を引き出せるツールが存在します。
ハッシュ値を入手した後で、他のいくつかのユーティリティを使用して、ハッシュを解読して平文のパスワードを入手することができます。
リスク ステートメント
攻撃者が SMB スニファを使用して暗号化されていない SMB トラフィックを悪用する場合、エンタープライズ管理者アカウントの完全性と機密性が失われて、攻撃者は組織に無許可でアクセスを取得することになります。
ドメイン管理者グループおよび一般ユーザー アカウントに関しても、同様のリスク ステートメントを記述します。
深刻度
パスワードを解読することにより、ヌル セッションからは入手できないファイルおよびサービスに攻撃者は無許可でアクセスできるようになります。そのために、Contoso はこの問題の CF の評点を 10 としました。
労力
市販のツールを購入することで、この機能を取得することができます。しかし、このツールですべてのトラフィックを無差別に参照できることが必要です。スイッチ式のネットワークの使用により、この可能性は大幅に低下しています。Contoso は現在ネットワーク インフラストラクチャのアップグレードを進めているので、このツールを使用する労力の評点を 5 としました。
脆弱性係数
Contoso はパスワード ポリシーを実施していないので、短いパスワードが数多く使用されています。そのようなパスワードは、SMB キャプチャ テクニックを使って、すぐに割り出すことができます。こうした状況を踏まえ、セキュリティ チームはこの問題の VF の評点を 10 としました。
無効な監査
スキャンされたサーバーの多くは、攻撃の可能性を感知するのに十分なレベルにまで、監査の設定が有効にされていませんでした。たとえば、パスワードに対するブルートフォース攻撃を感知するのに役立つ、アカウント ログオンの監査の設定は有効になっていませんでした。
リスク ステートメント
攻撃者が監査を無効にするツールを悪用する場合、北米ドメイン コントローラの完全性と機密性が失われて、攻撃者は感知されずにリモート システムへのアクセスを取得することができます。
北米ドメイン コントローラ、すべての IIS サーバー、DHCP サーバー、WINS サーバー、およびファイル サーバーとプリント サーバーに関しても、同様のリスク ステートメントを記述します。
深刻度
攻撃者は auditpol のようなリソース キットを使用して、監査の貧弱な構成を悪用することができます。auditpol を使用すると、監査機能をまったく無効にしてしまうことができます。実際に危険にさらされているデータはないことから、Contoso はこの行為に対する CF の評点を 3 としました。しかし状況によっては、予期せぬ攻撃を調査することが妨げられる可能性があります。
労力
auditpol を使用するには、システム上でツールを入手するとともに、管理者としてのアクセス権を取得する必要があります。ツールを実行すること自体は簡単ですが、管理者としてのアクセス権が必要とされるため、Contoso はこの行為に要する労力の評点を 4 としました。
脆弱性係数
Contoso は監査ポリシーを実施しておらず、現在セキュリティ イベントをまったく監査していないので、セキュリティ プロジェクト チームはこの行為に対する VF を 9 としました。
抑制されない DoS 攻撃
サービス拒否 (DoS) 攻撃はユーザーがリソースにアクセスすることを妨害する攻撃です。DoS 攻撃にはさまざまな種類があります。その中で最も一般的なものは、個々のコンピュータの IIS または伝送制御プロトコル/インターネット プロトコル (TCP/IP) のどちらかのスタックに影響を及ぼすものです。
TCP/IP ベースの DoS 攻撃からコンピュータをセキュリティで保護するためにコンピュータ上で実施可能な変更がいくつかあることが、脆弱性スキャン ツールによって検出されました。
リスク ステートメント
攻撃者が DoS 攻撃を行い TCP/IP の DoS に対する脆弱性を悪用する場合、ルート ドメイン コントローラの可用性が失われて生産性の低下を招きます
北米ドメイン コントローラ、すべての IIS サーバー、DHCP サーバー、WINS サーバー、およびファイル サーバーとプリント サーバーに関しても、同様のリスク ステートメントを記述します。
深刻度
TCP/IP DoS 攻撃を受けると、システムは完全に使えなくなります。そのため、Contoso はこうした攻撃に対する CF の評点を 8 としました。
労力
この機能を提供する使いやすいグラフィカル ユーティリティがたくさんあります。したがって、この弱点を悪用する攻撃者に必要な労力の評点を、Contoso は 1 としました。
脆弱性係数
現在のところ Contoso は TCP/IP DoS 攻撃に対する対抗策を講じていません。したがって、Contoso は この行為の脆弱性係数の評点を 9 としました。
IIS ディレクトリのスキャン
IIS サーバーをスキャンしたところ、ディレクトリのスキャンに関する共通の問題が見つかりました。この脆弱性を悪用すると、攻撃者はターゲットのコンピュータ上のディレクトリのレイアウトやファイルの内容といった情報を参照できるだけではなく、多くの場合サーバー上のファイルに書き込みを行い、コマンドを実行することができます。
リスク ステートメント
攻撃者がダブル デコード攻撃を行って URL の正規化の問題を悪用する場合、調査 IIS サーバーの完全性と機密性が失われて、攻撃者はサーバー上でファイル システムを参照しコマンドを実行することができるようになります。
部門 IIS サーバーおよび人事 IIS サーバーについても、同様のリスク ステートメントを記述します。
深刻度
IIS のディレクトリ スキャン機能を利用することは非常に危険です。これは、リモート ユーザーが Web サーバーから何らかのシステム コマンドを発行することを許可するためです。しかし、IIS バージョン 5.0 では、それらのコマンドのコンテキストを IUSR アカウントとして実行するように制限しています。それにもかかわらず、その脆弱性を攻撃されるリスクは大いにあります。そのために、Contoso はこの問題の CF の評点を 7 としました。
労力
IIS のディレクトリ スキャン機能を利用する労力はごくわずかです。IIS のディレクトリ スキャン機能を利用するためのツールは何種類かあります。その中で最も簡単なのは、Web ブラウザです。そのため、Contoso はこの機能を利用する労力 の評点を 2 としました。
脆弱性係数
Contoso には最新のセキュリティ修正プログラムをインストールしておらず、IIS の最善の実施方法に従ってビルドされていない、IIS サーバーがたくさんあります。そのため、Contoso は IIS サーバー上でこの機能を利用する VF の評点を 9 としました。
セキュリティ リスクの分析と優先順位付け
分析
種々のアセスメントを行った結果として、Contoso の環境内での影響と危険性に基づいて、セキュリティ リスクを分析して優先順位を付ける作業を開始するのに十分な情報が収集されました。リスク ステートメントを記述する前に、それらの情報を 1 つの表にまとめると役に立つでしょう。その一部を下の表に示します。
表 4.5 Contoso におけるリスク アセスメントの要約
| 脅威 | TP | 行為 | CF | 労力 | 脆弱性 | VF | 資産 | AP |
|---|---|---|---|---|---|---|---|---|
| 悪質なコード | 0.6 | Code Red | 9 | 1 | ida/idq の脆弱性 | 8 | 調査 IIS サーバー | 10 |
| 悪質なコード | 0.6 | Code Red | 9 | 1 | ida/idq の脆弱性 | 8 | 部門 IIS サーバー | 6 |
| 悪質なコード | 0.6 | Code Red | 9 | 1 | ida/idq の脆弱性 | 8 | 人事 IIS サーバー | 7 |
| 攻撃者 | 0.6 | NetBIOS 列挙ツール | 6 | 2 | ヌル セッション | 10 | ルート ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | NetBIOS 列挙ツール | 6 | 2 | ヌル セッション | 10 | 北米ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | SNMP e列挙ツール | 6 | 2 | public コミュニティ名 | 10 | ルート ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | SNMP 列挙ツール | 6 | 2 | public コミュニティ名 | 10 | 北米ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | Nslookup | 2 | 1 | ロックされていないゾーン転送 | 7 | ルート DNS | 4 |
| 攻撃者 | 0.6 | Nslookup | 2 | 1 | ロックされていないゾーン転送 | 7 | 北米 DNS | 5 |
| 攻撃者 | 0.6 | ブルートフォース攻撃 | 10 | 2 | パスワード ポリシーの欠如 | 10 | エンタープライズ管理者アカウント | 10 |
| 攻撃者 | 0.6 | ブルートフォース攻撃 | 10 | 2 | パスワード ポリシーの欠如 | 10 | 北米ドメイン管理者アカウント | 10 |
| 攻撃者 | 0.6 | ブルートフォース攻撃 | 10 | 2 | パスワード ポリシーの欠如 | 10 | 北米ユーザー アカウント | 5 |
| 攻撃者 | 0.6 | SMB スニファ | 10 | 5 | 暗号化されていない SMB トラフィック | 10 | エンタープライズ管理者アカウント | 10 |
| 攻撃者 | 0.6 | SMB スニファ | 10 | 5 | 暗号化されていない SMB トラフィック | 10 | 北米ドメイン管理者アカウント | 10 |
| 攻撃者 | 0.6 | SMB スニファ | 10 | 5 | 暗号化されていない SMB トラフィック | 10 | 北米ユーザー アカウント | 5 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | ルート ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | 北米ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | 調査 IIS サーバー | 10 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | 部門 IIS サーバー | 6 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | 人事 IIS サーバー | 7 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | ファイル サーバーとプリント サーバー | 8 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | WINS サーバー | 3 |
| 攻撃者 | 0.6 | 監査を無効にできるツール | 3 | 4 | 無効な監査 | 9 | DHCP サーバー | 1 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | ルート ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | 北米ドメイン コントローラ | 8 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | 調査 IIS サーバー | 10 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | 部門 IIS サーバー | 6 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | 人事 IIS サーバー | 7 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | ファイル サーバーとプリント サーバー | 8 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | WINS サーバー | 3 |
| 攻撃者 | 0.6 | DoS 攻撃 | 8 | 1 | TCP/IP DoS の脆弱性 | 9 | DHCP サーバー | 1 |
| 攻撃者 | 0.6 | ダブル デコード攻撃 | 7 | 2 | URL の正規化の問題 | 9 | 調査 IIS サーバー | 10 |
| 攻撃者 | 0.6 | ダブル デコード攻撃 | 7 | 2 | URL の正規化の問題 | 9 | 部門 IIS サーバー | 6 |
| 攻撃者 | 0.6 | ダブル デコード攻撃 | 7 | 2 | URL の正規化の問題 | 9 | 人事 IIS サーバー | 7 |
脅威の頻度レベル
脅威の頻度レベル (threat frequency level: TL) とは、予想される攻撃の頻度、潜在的な被害、および攻撃を行うのに要する労力の尺度です。この値は脅威確率 (TP) にリスク係数 (risk factor: RF) を乗ずることにより算出されます。RF は攻撃の深刻度 (CF) を、行為を行うのに必要な労力 (E) で割ったものです。
影響度
影響度 (impact factor: IF) も潜在的な損失を表します。この数値は脆弱性係数 (VF) に資産の重要度 (AP) を乗ずることにより算出されます。
危険度
最後に、TL に IF を乗ずることにより、リスクに対する危険度 (exposure factor: EF) を算出することができます。すべてのリスクの危険度を比較することにより、組織はどのリスクに最初に対処すべきかを判断することができます。
Contoso のリスク分析
特定された上位リスク
全般的なセキュリティ リスク分析プロセスを通じて特定された上位のリスクを要約して下の表に示します。危険度は以下の式を用いて算出されました。
EF = ((TF x IF) / 1000)
EF = (((TP x RF) x IF) / 1000)
EF = (((TP x (C / E)) x IF) / 1000)
最も基本的な形の式は次のようになります。
EF = (((TP x (C / E)) x (VF x AP)) / 1000)
表 4.6 Contoso 環境において特定された上位リスク
| 脆弱性 | 資産 | EF |
|---|---|---|
| ブルートフォース攻撃 | エンタープライズ管理者アカウント | 0.6 |
| ブルートフォース攻撃 | 北米ドメイン管理者アカウント | 0.6 |
| DoS 攻撃 | 調査 IIS サーバー | 0.432 |
| Code Red | 調査 IIS サーバー | 0.432 |
| DoS 攻撃 | ルート ドメイン コントローラ | 0.3456 |
| DoS 攻撃 | 北米ドメイン コントローラ | 0.3456 |
| DoS 攻撃 | ファイル サーバーとプリント サーバー | 0.3456 |
| Code Red | 人事 IIS サーバー | 0.3024 |
| DoS 攻撃 | 人事 IIS サーバー | 0.3024 |
| ブルートフォース攻撃 | 北米ユーザー アカウント | 0.3 |
| Code Red | 部門 IIS サーバー | 0.2592 |
| DoS 攻撃 | 部門 IIS サーバー | 0.2592 |
| ダブル デコード攻撃 | 調査 IIS サーバー | 0.189 |
| NetBIOS 列挙ツール | ルート ドメイン コントローラ | 0.144 |
| NetBIOS 列挙ツール | 北米ドメイン コントローラ | 0.144 |
その他の定量的分析ツール
組織内の上位のリスクを特定して優先順位を付けることは、多くの場合、リスク分析プロセスの始まりにすぎません。次のステップは、特定した各リスクに対処するための、解決または緩和のステップとなります。その方策を決定することは比較的簡単ですが、必要な解決ステップを実施してみると、非常に困難であることがあります。
安全対策にかかるコストを正当化するには、さらに情報が必要な場合があります。組織のセキュリティ プロジェクトの一環として何らかの解決ステップを実施する価値を判断するには、次の手順が役に立ちます。
個別予想被害額
個別予想被害額 (Single loss expectancy: SLE) は個々のシステムに価格を付ける方法です。SLE では単一の要素のリスクだけを表します。つまり、個々の脅威となるイベントの予想される影響を金額または他の尺度で表します。SLE の金額を算出するには、資産価値 (AV) に対象の脅威の危険度を掛けます。
たとえば、調査 IIS サーバーが Code Red に感染した場合の影響の SLE は、上に示されている危険度の 0.432 に調査 IIS サーバーの AV である 596,000 ドルを掛けて算出されます。
SLE = .432 X 596,000 ドル = 257,472 ドル
年間発生率
年間発生率 (annualized rate of occurrence: ARO) は 1 年間にある脅威が発生する確率です。たとえば、10 年間に 1 回発生する脅威の ARO は 1/10 ないし 0.1 となります。1 年間に 50 回発生する脅威の ARO は 50.0 となります。頻度の値の範囲は、0.0 (脅威が発生する見込みはありません) から何らかの実数となります。この値は脅威の種類や発生源の数に大きく左右されます。大組織においては、何千回も発生し非常に高い ARO を示すリスクがありえます。
Contoso の環境においては、サーバーが Code Red に頻繁に感染しました。昨年 1 年間では、50 台のサーバーのうちの 25 台が Code Red に感染しました。その結果、ARO は 1/2 または 0.5 になりました。
年間予想被害額
年間予想被害額 (annual loss expectancy: ALE) は個別予想被害額 (SLE) に年間発生率 (ARO) を掛けることによって算出されます。
リスクを効果的に特定して予算措置を講ずるためには、年間の予想被害額を算出するのが有効であるといえます。たとえば、上に示した Code Red が、ARO が年間 0.5 回であり、SLE が 257,472 ドルである 1 台の IIS サーバーに影響を与えるとすると、その ALE は 128,736 ドルになります。予想される脅威の頻度 (ARO) を計算の要素に入れると、リスクの財務的な影響が正確に表現されます。
安全対策の価値
予測された安全対策のコストを確実に設定して、対策の維持に必要な年間運用コストの見積もりを出すことができれば、各安全対策を実施するための全体の価値を決定することができます。リスク削減対策の費用対利益分析を有効に行うためには、このプロセスが基礎となります。
安全対策の価値を算出するには、安全対策の初期コストと年間運用コストを ALE から差し引きます。上で計算したリスク分析の例を使用すると、特定された脅威に対処するための安全対策を実施するための初期コストが 20,000 ドルと見積もられ、その年間運用コストが 1,000 ドルと見積もられるならば、この安全対策の価値は 128,736 ドル - (20,000 ドル + 1,000 ドル)、つまり 107,736 ドルとなります。
まとめ
この章では、セキュリティ リスク 管理統制 (SRMD) を一般的な顧客のシナリオに適用しています。この適用例に使用した情報はすべて、実際のデータに基づいています。しかし、ここに示した情報は、組織がセキュリティ リスク アセスメントを全面的に実施するために必要な情報の、ほんの一部にすぎません。すべてのリスク分析表やセキュリティ リスク ステートメントを含めてしまうと、この章は理解しづらいものとなります。これを避けるために、すばやく参照して容易に理解できるように、重点的に例を示しました。
SRMD は、組織内のリスクをカテゴリ区分して評価する、何百とある方法の 1 つです。この情報を利用して、既存のポリシーや手続きを強化できます。また、組織がこうした基準を初めて設定する際の手掛りとすることもできます。
この章で示したガイドラインは、リスクの一覧を作成し、それに対処するための解決ステップを取るように構成されています。この一覧は作成されたので、次のステップは表に示された脆弱性のセキュリティ保護に必要なプロセスを明確にすることです。
詳細情報
セキュリティ リスク分析は Microsoft Solutions Framework (MSF) のリスク分析プロセスに基づいています。詳細は、https://technet.microsoft.com/ja-jp/library/cc506049.aspx を参照してください。
関連情報
次の書籍は、Windows 2000 における特定の脆弱性についてさらに理解を深めるために、優れた参考書です。
『Hacking Exposed Windows 2000: Network Security Secrets & Solutions』Joel Scambray および Stuart McClure 共著、McGraw-Hill Professional Publishing 刊、ISBN: 0072192623
目次
第 4 章 ‐ セキュリティ リスク管理の統制を適用する
付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成