セキュリティ入門
エンド システムのセキュリティに関する考慮事項
最終更新日: 2001年2月9日
トピック
はじめに
セキュリティ チームの編成
セキュリティ担当重役 (CSO) の任務
セキュリティ ポリシーの文書化
ユーザーの責任、トレーニング、および意識向上
物理セキュリティ
電子メールの使用
ウィルスからの保護
リモート アクセス制御
暗号化戦略
サーバーのセキュリティ
ワークステーションの制御
はじめに
一般にセキュリティ モデルを構築するには、まず最初に、外部からの攻撃や内部での不正使用からシステムを保護できるようにセキュリティ基準とセキュリティ ポリシーを確立する必要があります。リソース、アプリケーション、および関連データを保護することがエンタープライズ全体を保護することにつながります。システムをセキュリティで保護するには、情報技術 (IT) インフラストラクチャを保護すると共に、組織全体にわたってソフトウェアと関連データを保護するための手順、指針、および技術が必要です。このホワイト ペーパーでは、Microsoft Windows システムをセキュリティで保護するために必要となる一般的な手順について述べます。ここでは、ある銀行 (以後、A 銀行) が Microsoft Consulting Services プロジェクトに基づいてセキュリティ計画に取り組んだ具体例を通じて、セキュリティ計画の作成方法を理解していきます。
セキュリティ チームの編成
セキュリティ担当重役をリーダーとするセキュリティ チームを編成することが、エンタープライズをセキュリティで保護する上での第一歩となります。通常、セキュリティ チームは組織内のスタッフで構成します。セキュリティ チームには、セキュリティ基準の定義とセキュリティ ポリシーの実施を円滑に遂行できるように適切な裁量権を与えます。チームの規模は、組織の規模と複雑性、さらに必要とされるセキュリティのレベルに応じたものとします。チームの目標と目的を明確に定め、それに応じた役割と責任をチーム メンバに割り当てます。
セキュリティ担当重役 (CSO) は、セキュリティ チームの指揮をとる責任者です。CSO は、社内セキュリティ ポリシーを確立するためのビジョンをチーム全体に浸透させると共に、セキュリティ チームのメンバが行うべき作業を定義する責任を負います。
セキュリティ チームが果たすべき最も重要な任務は、次のとおりです。
システムをセキュリティで保護するための社内 IT セキュリティ ポリシーを確立する。
組織に必要なセキュリティのレベルを特定します。この作業へのアプローチとしては、業務上の職能や何らかの区分に応じて組織をセグメント化する方法が有力です。実際の組織に最も適した基本モデルを使用します。たとえば、次のような観点からのモデル化を検討します。
地理的な位置
業務上の職能単位 (事業体)
業務組織の構造
管理責任
オブジェクト セキュリティの必要条件
複数のモデルの組み合わせ
次に、全社的な IT セキュリティ ポリシーの適用範囲に含まれる個々の事業体や個々のオブジェクトに対するセキュリティ要件を決定します。A 銀行の例では、社内レベルのセキュリティ計画を作成した後、それを事業体ごとにカスタマイズする方法を採りました。
目標とするレベルのセキュリティを計画、編成、および実装するための正式なロードマップを作成する。
目標とするセキュリティ レベルに応じたセキュリティ基準を定義し、データ保護に関してどのようなリスクを査定するかを定義する。
セキュリティ基準の実施を監督する。
組織のセキュリティ ガイドラインとポリシーをユーザーと管理者に浸透させるためのトレーニング方法を開発および実施する。
セキュリティ計画を実施した後、セキュリティ インフラストラクチャ全体を管理する。
組織内で発生したセキュリティ関連の問題に対処する。
セキュリティ担当重役 (CSO) の任務
CSO が果たすべき主な任務は、次のとおりです。
セキュリティ戦略上のアドバイスを与える。
情報セキュリティのポリシーと手順を確立して、正しく実施し、組織の情報資産を確実に保護するように指揮をとる。
これらのポリシーと手順の作成およびレビューに参加する。
情報セキュリティ システムを最新の状態に維持する。
情報セキュリティの違反には、会社外部に発生源があるもの、社内に発生源があるもの、自然発生的なもの、人為的なものなどがあります。 CSOの重要な任務は、まずこれらの違反をまず防止すること、防止できなかったものについては検出して封じ込めること、さらに違反による問題が発生した場合は復旧処置が必要になるので、そのための手順を確立しておくことです。これらの手順が正しく確立されるように指揮をとることが重要です。
CSO が任務遂行にいかに尽力しても、組織全体が計画に取り組まなければ、適切な情報セキュリティ計画を作成して正しく実施することはできません。人的資源や予算など、さまざまな側面から計画を安定してサポートし、セキュリティ プログラムおよびセキュリティ プロジェクトを効果的に立案および実施できるようにすることが、セキュリティ計画成功の鍵となります。また、実施フェーズにおいて、全社一体となった協力体制を築くことも必要です。
CSO は、上級管理者として情報セキュリティに対する統括責任を負います。この役割において、CSO は次のことを行わなければなりません。
リスクを評定し、組織ニーズを判別してセキュリティと会社の使命の間のバランスをとる。
社内の取りまとめ役を務め、必要に応じてチーム外からの支援を求める。
組織内のほかの部署に属しているセキュリティ担当者、ほかの会社の CSO、および外部のセキュリティ専門業者などとの連携をとる。
セキュリティ モデルがトップ マネジメントに正しく伝達されるように尽力し、また、適切なレベルの上級管理職からセキュリティ計画に対する後援を得る。
CSO が中心となって、組織全体にわたり、さまざまな職能や分野を代表する社員からなる諮問委員会を設けることをぜひ検討してください。このような諮問委員会を設けると、計画フェーズにおいてポリシーと手順を策定する上で参考となり、また計画実施後に組織全体にわたって情報セキュリティ活動を継続的に推進する上で参考となる重要な意見が得られます。
A 銀行の例では、次のことが CSO の役割となります。
行内の情報セキュリティ ポリシーの作成、実施、および改定の責任を負う。
行内で技術を設計、計画、調達、またはアップグレードする際に意思決定チームに参加する。
銀行全体にわたる情報セキュリティに対する意識向上を推進する。
行内における情報セキュリティの権威となる。
質問、警告、ウィルス、セキュリティ違反など、情報セキュリティに関するあらゆる問題を統括して受け付ける窓口となる。
経営陣に対し、セキュリティ違反、情報セキュリティ活動、リスクなどを通知する。
IT 関連の任務と責任を適切に分割するようにアドバイスする。
セキュリティ ポリシーの文書化
セキュリティ ポリシーでは、既知の攻撃やセキュリティ問題から組織を保護することを狙いとして一連のガイドラインと基準の概略を定めます。たとえば、A 銀行の CSO が Web セキュリティ ポリシーの防止的側面に関して設定した目標は、次のようなものです。
企業の情報セキュリティに影響する行動に関して、一般的な行動原則の概略を定める。
誰がサイトにどのようにアクセスできるか、また誰がアクセスを承認するかを定義する。
誰がセキュリティ、アップグレード、バックアップ、保守を担当するかを定義する。
ページ上での公開を許可する情報の種類を指定する。
サイトで何を保護し、誰に対して保護するかを定義する。
本稼動環境にインストールするソフトウェアおよびページに対してインストール前にどのようなテストと評価を実施するかを定義する。
サーバーと Web ページの内容に関する苦情や要望をどのように処理するかを定義する。
A 銀行の CSO は、さらに、ポリシーにセキュリティ違反対策を盛り込むように指示し、次のことを定義するように要求しました。
疑義や問題が発生したときに、報道機関、警察や検察、その他の組織に対するスポークスマン役を務めるのは誰か。
緊急事態が発生した場合の連絡先は誰か。
障害への対処を含め、セキュリティ上の問題が発生したときに組織としてどのように対処するか。これには、障害対策チームの編成、代替作業サイトの選定、対処能力のテスト、証拠の取り扱い、バックアップ、復元などの問題が含まれる。
一般的なセキュリティ ガイドライン
A 銀行のセキュリティ プロセスでは、次に、一般的なセキュリティ ガイドラインの概略をまとめました。たとえば、外部ネットワーク サービス (インターネットを含め、社外のネットワーク上で提供されるサービス) を利用するときには、行内の情報が不正なアクセス、改ざん、破壊、または漏洩の危険にさらされます。A 銀行では、このような危険から行内の情報を保護するための予防策を確立しました。A 銀行のポリシーの例を次に示します。
サーバー セキュリティ
行内のネットワークは、ファイアウォール保護なしに境界ネットワーク (ぺリメター ネットワーク、DMZ または緩衝地帯とも呼ばれます) に接続できないものとする。行内ネットワークをインターネットから保護するために、完全なファイアウォール アーキテクチャを確立しなければならない。このファイアウォールの構成およびセットアップに対するアクセスは、厳重に管理する。現在の構成を変更する場合は、セキュリティ委員会の承認を得なければならない。内部ネットワークから境界ネットワーク内のマルチホーム サーバーに直接接続すると、このセキュリティが侵害されるので、それを防止しなければならない。特に以下の点に注意すること。
銀行外の人にもアクセスできるデバイス (サーバー、ルーター、スニファ、プリンタなど) は、セキュリティ チームの承認がない限り、境界ネットワーク上に設置してはならない。
すべての境界ネットワークのサーバーは、施錠された安全な場所に保管する。
サーバーのバックアップは、サーバーから離れた安全な場所に保管する。また、システム修復ディスクは、サーバーから離れた別の場所に保管する。
サーバーのフロッピー ドライブへのアクセスを制御する。いずれの境界ネットワーク サーバーも、フロッピー ドライブから起動できない構成にする。可能であれば、フロッピー ドライブを完全に取り外す。
銀行外の人に対しては、セキュリティ チームの承認がない限り、内部からも外部からも境界ネットワークに直接アクセスできないようにする。セキュリティ チームとの契約により明示的に許可されている場合を除いて、アクセスはすべてファイアウォールを経由して行わなければならない。
外部サーバー上での公開を可とする情報の種別
境界ネットワーク サーバー上に公開できるのは、パブリックとして分類された情報のみとする。
著作権のあるデータの公開またはダウンロードに関する制限
すべてのユーザーが著作権とソフトウェア ライセンス契約に従わなければならない。これらの契約に従わない場合は、社内情報セキュリティ ポリシーへの違反として処理する。著作権で保護されたデータをアップロードまたはダウンロードしたり、著作権のあるデータをエクストラネット サーバーまたはインターネット サーバー (境界ネットワーク内に置かれているサーバー) に表示または公開することは厳禁とする。
セキュリティに関する問題の報告
境界ネットワークに対する不審なアクセスが認められたり、セキュリティが損なわれている疑いがある場合は、情報セキュリティ部門に報告しなければならない。
ウィルスの予防対策
外部サービスからダウンロードした情報や境界ネットワークに公開された情報に対しては、社内で承認されたウィルス スキャン プログラムですみやかにウィルス チェックを行わなければならない。
アクティブに使用されていない外部セッションの終了
アクティブに使用されていないセッションは、切断する。境界ネットワークに対するアイドル接続をすべて切断するタイムアウト手順を確立する。
パスワード管理
ユーザー アカウントとパスワードの機密保持は、ユーザー自身が行わなければならない。さらに、外部サービスへのアクセスに使用するパスワードと内部 (行内) システムで使用するパスワードは別のものにしなければならない。インターネットなどの外部サービスを通じてユーザー アカウントとパスワードが転送されるときには、クリア テキスト転送が行われることがあり、その場合は傍受される危険性がある。境界ネットワーク上では、パスワードを強化する必要がある。
パスワードの使用に際しては、次のガイドラインに従うこと。
パスワードは少なくとも 8 文字以上、できれば 9 文字とする。最近のセキュリティに関する研究発表によると、多くのクラッキング (不正侵入および操作) プログラムでは 8 文字からクラッキングを開始する。また、各パスワードは、パスワード強化の基準に従ったものでなければならない。
Windows 2000 の組み込みアカウント (サービス アカウントを含む) で使用するパスワードを変更する場合は、パスワード基準に準拠しなければならない。
すべてのアカウントにパスワードを設定することは必須条件とする。パスワードを空白にすることは禁止する。
自分のパスワードを第三者に使用させてはならない。何らかの理由でパスワードを共有しなければならなくなった場合は、その後で、すぐにパスワードを変更すること。
パスワードは 30 日ごとに変更しなければならない。変更したパスワードは、過去 6 回分までシステムに履歴を維持し、同じパスワードの使用を禁止する。これにより、少なくともパスワードを 7 回変更するまでは、以前と同じパスワードを使用できなくなる。
パスワードを書き留めたり、電子メールで送信したりしてはならない。
不正なパスワードが 3 回入力されると、アカウントをロックするものとする。ロックアウト期間は、30 分より長く設定する。この時間が経過するか、管理者がアカウントのロックを解除するまで、アカウントはロック状態に維持されるものとする。
不正な使用 :
A 銀行の外部サービス使用ポリシーは、次のとおりです。
A 銀行では、以下のように、倫理にも反し、セキュリティを損なう可能性のある意図的行為を禁止しています。
行内のサービスを私用や個人の利益に使用してはならない。
銀行内外のリソースに対して、無許可のアクセスを試みてはならない。
行内または境界ネットワーク上のサービスの本来の使用目的を妨害してはならない。
以上のような行為によりリソース (人的資源、メディア、コンピュータ) を浪費してはならない。
情報資産の整合性を損なったり、情報資産を濫用したりしてはならない。
ほかのユーザーまたは部門のプライバシーを侵害してはならない。
独自の情報や行内の機密情報を漏洩してはならない。
他人に対して不適切、不快、または無礼となる情報を境界ネットワーク プラットフォーム上に置いてはならない。
A 銀行は、境界ネットワーク上のあらゆるサービスに対するアクセスや操作を監視する権利を留保するものとする。外部サービス使用ポリシーに違反したユーザーは、処罰の対象となる。処罰内容としては、最低限でもアクセスを拒否することになり、悪質な場合は解雇または刑事訴追も検討する。
以上、セキュリティ ポリシーを作成する際に考慮すべき点の具体例として、A 銀行のポリシーを示しました。
ユーザーの責任、トレーニング、および意識向上
どれほど高度なセキュリティ モデルを構築しても、環境の整合性を維持するために自らに課せられた役割をユーザーが完全に理解していなければ、セキュリティ モデルが土台の部分からぐらついてしまいます。したがって、どの組織でも、ユーザーを教育および訓練するための計画を実施する必要があります。上級管理職からエンド ユーザーにいたるまで、社内のあらゆる階層をカバーするように、トレーニングと意識向上のためのプログラムを実施するのが理想的です。このプログラムでは、IT セキュリティ ポリシーを明確に説明すると共に、セキュリティに関するルールと規定を対象者に理解させます。IT セキュリティの目標を達成するためには、セキュリティの理解と積極的な取り組みが不可欠です。
A 銀行のトレーニングおよび意識向上プログラムでは、以下のことを対象者に理解させます。
セキュリティ目標および銀行のポリシーの概略。
行内のセキュリティはなぜ重要か。
セキュリティ関連の問題が発生するとエンド ユーザーおよび銀行がどのような影響を受けるか。
セキュリティに関連してスタッフがどのような責任を負い、どのような手順を踏んで、どのような職務を果たさなければならないか。
内部セキュリティ基準の実施計画と基準の遵守度チェックの計画。
たった一人がセキュリティ規定を遵守しないだけでどのような結果になるか。
セキュリティ違反を報告することの必要性。
ネットワーク セキュリティ計画の成否は、エンド ユーザー トレーニングの良し悪しにかかっています。最近では、ユーザーを信用させて、重要なセキュリティ情報をユーザー自身に開示させる攻撃方法 (ソーシャル アタック) による被害が問題になっています。エンド ユーザーが社内セキュリティ構造に関する教育と訓練を十分に受けていないと、無知が原因となってソーシャル アタックの被害に遭う危険性が高く、ネットワークのセキュリティが損なわれる結果になりかねません。IT セキュリティに関する最新の記事によると、ソーシャル アタックほどソフトウェアやハードウェアに基づくセキュリティをいとも簡単に侵害する方法はないと言われています。したがって、このような攻撃に対処するための知識をエンド ユーザー自身が身に付けなければなりません。
社内のエンド ユーザーに対してセキュリティ対策を浸透させ、徹底させるには、次のような対策が効果的です。
すべてのレベルの管理職とユーザーがポリシーを理解し、その実施に積極的に取り組むようにポリシーを社内で公開する。
新入社員に最初に渡す資料の中にポリシーを含める。セキュリティ関連の業務のために採用したユーザーに対しては、基礎知識チェックの制度を設ける。企業にとっての最大の脅威は企業組織自体の内側から萌芽するものであるという視点からも、社内に対しても目を光らせておく必要がある。
すべてのユーザーに対して、ポリシーを理解しており遵守する意思があることを示す誓約書への署名を求める。
ポリシーへのフィードバックや変更の要望をユーザーから得るためのメカニズムを作成する。
ハードウェアやソフトウェアの使用方法をユーザーに教育するトレーニング セッションを開催し、セキュリティ上正しい習慣を身に付けさせる。また、セキュリティ上の問題を認識し、報告するにはどのようにすればよいかを教育する。
セキュリティにとって重要な役割を持ちまわり制にする。これは、ユーザーにとって多角的な訓練となり、時間を要する攻撃に対する防御策ともなる。
ポリシーの有効性をチェックすると共に、組織がどの程度訓練されており、問題にどの程度対処できるかを評価する目的で、セキュリティ上のリスクを浮き上がらせる模擬演習を行う。
すべての請負業者およびビジネス パートナーに対して、組織のセキュリティ原則を遵守することを書面で確約するように要請する。
外部または内部からのセキュリティ違反に対する防御策を確立する。たとえば、すべてのアクセスを遮断する、サーバーをオフラインにする、侵入者を追跡して告発する、セキュリティが完全に損なわれた場合にサーバーを完全に再構築するなどの防御策が考えられる。
セキュリティ違反には、技術を駆使したものだけでなく、廃棄した書類を持ち去る、コピー機を悪用する、社員に成りすます、トレード ショウやオフサイト ミーティングなどで会社の機密情報をリークするなどといったケースもある。ポリシーには、このような違反とその結果に関する項も含めるべきである。
トレーニングおよび意識向上のための講座は、社員に常に最新の知識を与えられるように、定期的に実施するのが適切です。また、社員の新規採用、昇進、および異動の際には、新しいポジションに応じたセキュリティ トレーニングを実施します。ただし、トレーニングおよび意識向上のプログラムにおいては、計画と実施の適時性が最も重要な要素となります。セキュリティ対策を導入した後、かなり時間が経過してからトレーニングを実施したり、内部セキュリティ基準を実行に移しても効果を期待できません。
物理セキュリティ
一般的な考慮事項
A 銀行では、物理セキュリティについて検討した結果、外部からの悪意ある行為だけではなく、内部からの悪意ある行為に対してもコンピュータ システムを保護する必要があると判断しました。一般的には、鍵がかけられ、関係者以外は立ち入ることのできない建物にコンピュータを保管します。A 銀行では、物理セキュリティ モデルを定義するに当たって、ネットワーク接続を保護すると共に、サーバーへの物理アクセスを制御することを重点的に検討しました。
ネットワークとセキュリティ
高レベルのセキュリティを実現するには、ファイルやその他のオブジェクトに対するユーザー認証と保護が必要になるほか、ネットワーク自体を保護することも必要になります。場合によっては、コンピュータを完全に隔離することも必要になります。ネットワーク接続には、ほかのネットワーク ユーザーによる内部リスクと、不正なネットワーク傍受による外部リスクの 2 種類のリスクが付随します。ネットワーク上のどのユーザーに対しても、セキュリティで保護したコンピュータへのアクセスを可能にする必要がある場合は、そのコンピュータをネットワーク上に置いた方がコンピュータ内のデータにアクセスしやすくなります。
セキュリティで保護されたビル内にネットワーク全体を囲い込むことができれば、データが不正に傍受されるリスクを最小化または排除できます。セキュリティで保護されていない区域を通るケーブル配線では、ツイストペア線ではなく光ファイバ ケーブルを使用すると、回線の盗聴や転送データの収集などの不正行為の防止に役立ちます。ネットワーク リンクの制御を徹底し、組み込み式ハブ、ルーター、またはサードパーティ製のツールを使って、サーバーとの間の相互接続を追跡および管理するようにしてください。
A 銀行では、境界ネットワーク (DMZ または緩衝地帯とも呼ばれます) に対する内部からの直接接続をすべて禁止する方法を採りました。すべてのトラフィックを外側のファイアウォール (現在は、Cisco PIX Firewall) で制御するようにセットアップし、コンピュータと外部のサーバーの間の直接接続を禁止しました。
コンピュータへのアクセスの制御
承認されたユーザーでない人でもコンピュータに物理的にアクセスできるのであれば、そのコンピュータのセキュリティを維持することはできません。A 銀行では、このような物理的アクセスを制限するために、次のようなセキュリティ対策を講じました。
承認されたユーザーにしかサーバーのコンソールにログインできないようにアクセスを制限する。承認されたユーザー以外の人がログインした場合には管理者に警告を発するように、ログインを監査する。
どのサーバーのフロッピー ドライブと CD-ROM についても、管理者だけがアクセスできるように制限する。
CPU ケースに錠を付け、施錠した状態にする。鍵はコンピュータから離れた安全な場所に保管する。
すべてのハード ディスクを NTFS ファイル システム (NTFS) としてフォーマットする。
電源スイッチおよびリセット スイッチに手を触れることができないようにし、コンピュータのキーボード、モニタ、およびマウスだけを使用できるようにする。CPU およびリムーバブル メディア ドライブを施錠式のドアで保護する。
サーバー設置場所のセキュリティ
物理セキュリティ モデルにおいては、社内サーバーの設置場所のセキュリティが常に重要な要素となります。どのようなセキュリティ対策を講じていても、サーバーを安全な場所に設置しなければ、セキュリティを維持できません。A 銀行では、サーバー ファームを新設し、オンライン支店用のサーバーをその中に配置しました。サーバー ルームの構築に際しては、次のような点を重視しました。
設置場所とスペースに関する要因
オンライン支店ネットワークを今後拡張する場合を考慮して、サーバー数が少なくとも現在の二倍になっても対応できるだけのスペースを余分に用意しておく。さらに、装置の保守、インストール、配置替え、取り外しに支障がないように、十分な作業スペースを確保しておく。
部屋の位置としては、建物の中央か、外壁に接しておらず窓のない場所を選択する。ただし、装置の納入や撤去に支障のない場所であること。
部屋の位置は、建物全体にネットワーク ケーブルを走らせるためのケーブル ダクトに近い場所とする。この中核となる "バックボーン" 設備にもセキュリティ対策が施されていることを確認する。また、すべてのアクセス ポイントをセキュリティ コントロール ルームで監視できるようにする。
コンピュータ ルームの近隣の位置にセキュリティ監視ルームを設ける。この部屋には、週末、祝祭日を含め 24 時間体制ですべてのアクセス ポイントとシステムに関するすべての環境チェックポイントを監視する監視員を配備する。
空調設備が効果的に機能するのに十分な大きさのスペースを確保する。
特殊設備と部屋の改装
室温を 18 ℃ ~ 20 ℃ に維持でき、すべての装置を稼動させた状態でも温度調整可能な空調システムを設置する。
システム用ケーブルを収納するための二重床を使用し、ケーブルへのアクセスと配線変更に支障のない深さとする。
高度な警報システムを設置し、すべてのドアと、天井や二重床を含むすべてのアクセス ポイントにセンサーを取り付ける。煙、水漏れ、動きをそれぞれ専用のセンサーで検出できるようにする。また、それにアクセス制御システムも含める。
緊急用の電源を設置する。停電状態で設備を 8 時間継続して稼動させることができる電源装置を選ぶ。
部屋の四方はすべて頑丈な壁で囲む。壁を上の二重天井の上まで通し、天井裏から部屋への侵入を防止する。
出入り口にはセキュリティ対策および防火対策を施し、最も大きな装置を搬入、搬出できる十分な幅を持つものにする。
新しい手順の確立
コンピュータ ルームへの入室は必要な人だけに制限し、従業員、保守または整備担当者を含めてすべての入室者に対してセキュリティ チェックを実施する。
すべての監視ポイント、アクセス ポイント、環境チェックポイントをテストする定期的な監査プロセスを実施する。また、手動操作手順もテストする。
定期的に防災訓練を実施して、バックアップ メディアと対策マニュアルの有効性をテストし、業務進行に支障をきたさないようにシステムを最短時間で復元できることをテストする。
完全に機能する変更制御システムを実装する。詳細は、Microsoft Operations Framework (MOF) サイト (英語) を参照。
電子メールの使用
セキュリティ ポリシーでは、対象となる環境内での電子メールの適切な使用法の概略を示すことも重要です。ユーザーがメールの送受信に伴うリスクを十分に理解していないと、どれほど緻密なセキュリティ計画を立てても、ハッカーの被害に遭いかねません。A 銀行では、すべてのシステム ユーザーに適用する電子メール ポリシーを作成しました。その内容は次のとおりです。
禁止事項 : ほかのユーザーの電子メール アカウント、コンピュータ、またはその他の銀行資産を使用して、ほかのユーザーに成り代わったり、身元を詐称したりしてはならない。
禁止事項 : 架空アカウントを作成したり要求したりするなどの方法で、メール システムのユーザー セキュリティ メカニズムをバイパスしてはならない。
禁止事項 : 社内メールの転送ヘッダーを改変して、メッセージが実際とは異なるインターネット上の経路を通じて転送されたかのように偽装してはならない。
必要条件 : 機密扱いの情報や秘密の情報を電子メールや添付ファイルとして送信する場合は、パブリック インフラストラクチャ (インターネット) 経由で送信する前に暗号化しなければならない。セキュリティで保護されていないリンクを経由して機密情報を送信する場合は、S/MIME (Secure Multipurpose Internet Mail Extensions) を使って電子メールを保護することを標準とする。
必要条件 : すべての電子メール ウィルス チェック ソフトウェアを常に最新の状態に保つための自動プロセスを確立しなければならない。
すべてのシステム上のユーザー (特にラップトップ ユーザー) に対する必要条件 : ユーザーの個人用フォルダ (pst) 電子メール ストア ファイルをローカル システム上に置く場合は、そのファイルをパスワードで保護しなければならない。
推奨事項 : ラップトップ コンピュータに機密情報をダウンロードした場合は、ディスク暗号化でその情報を保護するのが望ましい。
非推奨事項 : 身元のはっきりしない電子メール添付ファイルを開かないこと。添付ファイルには、ウィルスや悪意のあるコードが含まれていることがあり、パスワードが盗用されたり社内データが破壊されたりする危険性がある。
ウィルスからの保護
コンピュータ、サーバー、およびそれらのデータをウィルスから保護するための予防策を講じることは特に重要です。コンピュータ システムに被害を及ぼす可能性のあるウィルスには、さまざまな種類のものがあります。その例を次に示します。
ファイル ウィルス ― プログラム ファイルに付加され、感染したプログラム ファイルを起動したときに実行されるウィルス。ウィルスのロードが完了すると、感染したプログラムがロードされ、実行される。
マスタ ブート レコード (MBR) ウィルス ― コンピュータ起動時に自動的に実行されるマスタ ブート コードを悪用するウィルス。MBR ウィルスは、オペレーティング システムがロードされる前に、BIOS がマスタ ブート コードをアクティブにしたときに実行される。多くの MBR ウィルスは、MBR セクタを独自のコードで置き換え、元の MBR をディスク上のほかの場所に移動する。コンピュータを起動すると、ウィルスがロードされ、実行される。
マクロ ウィルス ― プログラムのテンプレートやその他のファイルにマクロとして付加されるウィルス。アプリケーションでそのファイルを開くと、テンプレートがロードされ、ウィルスの命令が実行される。
隠しウィルス ― システム コードやその他のシステム ファイルの一部として隠し込まれるウィルス。システム上でメール プログラムを起動する操作を行っているはずでも、実際にはウィルスが実行され、システム レベルの特権が悪用されるなどの被害を生じる。
ワーム - ほかのウィルスに似ているが、感染対象となるほかのファイルを探し、ウィルス コードをそれらのファイルにコピーする点が異なる。
ほとんど毎日のように新しいウィルスによる被害が報告されています。このため、完全に自動化されたウィルス保護対策を確立することが非常に重要な意味を持ちます。A 銀行では、この問題に対処するために Windows 2000 用として市販されているアンチウィルス プログラム (Norton Internet Security 2000) を採用しました。また、すべてのシステムを定期的に更新すると共に、最新のウィルス パッチ レベルに適合しているかどうかを定期的にチェックする手順を確立しました。さらに、ウィルスがリムーバブル メディア経由で伝染することがないように、すべてのリムーバブル メディアをスキャンする手順を確立しました。
Microsoft でも、多くの種類のウィルスに対応できるカスタマイズ式アンチウィルス ツールである AVBoot を提供しています。AVBoot は、Windows 2000 セットアップ CD の \Valueadd\3rdparty\Ca_antiv フォルダに用意されています。このツールは、メモリのほか、ローカル コンピュータ上の各ディスクの MBR およびすべてのブート セクタをスキャンします。
リモート アクセス制御
Windows 2000 では、規定の設定でリモート アクセス制御ポリシーを通じてダイヤルイン特権を設定できるようになっています。これは、リモート アクセスを安全に制御するのに適した方法です。[アクセスを許可] か [アクセスを拒否] のどちらかを選択することで、ダイヤルイン特権を明示的に許可または拒否できます。リモート アクセスはポリシーに基づいて制御し、そのポリシーをすべてのユーザーに伝達することが重要です。A 銀行の仮想プライベート ネットワーク (VPN) 戦略では、次のような規定が設けられています。
どの VPN 接続もユーザー レベルの認証を使用し、認証失敗時には切断しなければならない。
どのリモート アクセス サービス (RAS) サーバーでも、これらのシステムへの管理アクセスを管理者に対して常時許可しなければならない。
行内ネットワークの内外を問わず、未承認 RAS サーバーの使用は禁止する。Rouge RAS サーバー、プライベート RAS サーバー、デスクトップ モデムなどは容認されない。
どのリモート アクセス ポリシーもすべての外部ネットワークに適用する。
どの共有においても、特定のユーザー レベル アクセス許可を使用しなければならない。匿名アクセス、ゲスト アクセス、および "everyone" アクセスは禁止する。
すべての通信内容を暗号化しなければならない。
どの外部ネットワーク接続に対する監査およびセキュリティ評価についても、侵入検出ツールを使用するものとする。
デスクトップ ユーザーについての観点から見ると、リモート アクセスに対して組織がネットワーク環境のセキュリティを維持する方法には、以下のような選択肢があります。
ユーザーに対して、Windows 2000 アカウント パスワードの定期的変更を義務付ける。
反転可能な暗号化を使用して、すべてのパスワードを保存する。
セキュリティで保護された VPN ベースのワークステーションからの対話式ログオンに対しては、スマート カードの使用を必須とする。
個々のアカウントの暗号化の種類として DES (データ暗号化規格) を設定する。
システム リソースの監査
組織内のシステムのセキュリティと整合性を確保するには、監査ポリシーが不可欠です。A 銀行では、行内のすべてのコンピュータ システムに対してセキュリティ ログを構成しました。これは、グループ ポリシー内で定義した監査ポリシーを使用して実施しました。A 銀行では、グループ ポリシーを使用して、境界ゾーンの Windows 2000 Active Directory に含まれるサイト、ドメイン、および組織単位のそれぞれに対する監査ポリシーを設定しました。また、個々のワークステーションやサーバーについても、ポリシーを設定しました。詳細については、ホワイト ペーパー『Data Security and Data Availability』(英語)を参照してください。一般的な監査としては、次のような監査があります。
アカウント ログオン イベントの監査
アカウント管理の監査
ディレクトリ サービス アクセスの監査
ログオン イベントの監査
オブジェクト アクセスの監査
ポリシー変更の監査
特権の使用方法の監査
プロセス追跡の監査
システム イベントの監査
A 銀行では、監査のレベルを次のように決定しました。
| イベント | 監査のレベル |
|---|---|
| アカウント ログオン イベント | 成功、失敗 |
| アカウント管理 | 成功、失敗 |
| ディレクトリ サービス | 監査なし |
| ログオン イベント | 成功、失敗 |
| オブジェクト アクセス | 成功 |
| ポリシー変更 | 成功、失敗 |
| 特権の使用方法 | 成功、失敗 |
| プロセス追跡 | 監査なし |
| システム イベント | 成功、失敗 |