マイクロソフトの Securing Windows 2000 Server ソリューション: 第 2 章 ‐ セキュリティの概要を定義する
第 2 章 ‐ セキュリティの概要を定義する
この章では、主に組織のセキュリティ分析を実施するために理解しておく必要のあるセキュリティのコンポーネントを定義する作業について説明します。さらに、組織が事前に資産分析を実施する方法について、一般的なガイダンスを示します。脅威、起こりうる損害、脆弱性、および対策の間の関係についても説明します。
トピック
セキュリティ リスク管理のコンポーネント
戦略的セキュリティ プログラムの必要性
セキュリティとは、組織でのリソースの使いやすさを維持することと、リソースに対するアクセスを制御することとの間でバランスを取ることです。ユーザーと攻撃者の両方を制限するセキュリティ プログラムを組み立てる作業は、時間的にもコストの面でも大きな負担となる場合があります。セキュリティ プログラムの構築において制御を重視しすぎると、効率的な作業を制限するポリシーに、ユーザーが不満を感じることがあります。
逆に、セキュリティ プログラムが弱すぎると、ユーザー間で職場のセキュリティに対して無頓着な姿勢が生まれ、攻撃者に隙を見せてしまう可能性があります。その他の潜在的な政治問題を避けるためにも、セキュリティの重要性について社内でコミュニケーションをとっておくことが極めて重要です。セキュリティの憲章、ポリシー、および計画が "中途半端" に実装されると、後に問題が発生する可能性があります。情報技術 (IT) プロジェクトにとっては品質が命であり、"欠陥ゼロ" の考え方が根本原則ですが、社内で高いレベルのセキュリティを保証するには、これと同じ原則を適用することが必要です。
安全なインフラストラクチャを確立するために不可欠な成功要因には、効果的なセキュリティ リスク管理プロセスの開発が含まれます。効果的なリスクの識別、評価、管理、軽減、(対策の) 執行、および不測事態対応計画を通じて、所定のリスクが表面化する確率を下げることに貢献でき、また、セキュリティ リスクが発生した場合にも、影響を最小限に抑えることができます。
セキュリティに特有のリスク分析活動を実施することで、注意と行動計画を必要とする重要なセキュリティ問題を浮き彫りにできます。脆弱性を利用した脅威によって社内の資産に何らかの害が与えられたときに、セキュリティ リスクは発生します。軽減計画や不測事態対応計画を立てることで、セキュリティ リスク管理に対して先行型および反応型のアプローチを提供するためのセキュリティ ポリシーと手続きを策定できます。
テクノロジが進歩し、テクノロジを悪用した新しい方法が発見されるにつれて、組織のセキュリティ計画を実装、執行、および継続的に最適化する作業の重要性は高まりつつあります。セキュリティ プログラムは時間の経過と共に変更する必要があります。これは、この有効性を監視し、新しいポリシーや手続きを導入する時期を判断するために常に注目しておく必要があるためです。セキュリティ プログラムは、企業の環境にカスタマイズして作られたインシデント レスポンス計画を通じて、法的に発生する潜在的な結果についてもカバーする必要があります。これは、セキュリティ上の失敗について告訴されることが深刻な問題になる可能性があるためです。
必要なコストは、適切で明確な資産評価を行うことで、より容易に判断できます。軽減のための投資コストも、資産が害を受けたり危険にさらされた場合に資産に及ぶ可能性のある事象の潜在的な影響に照らして検討する必要があります。この目標の達成については、第 3 章「セキュリティ リスク管理の統制について理解する」で定義しており、コストとリスクの間で適切なバランスを取る作業を支援するために、この統制を使う方法を説明しています。
会社の機密データの損失が生産性や収益に深刻な影響を与える場合、これを確実に保護するために必要な投資は多額なものとなる可能性があります。データを損失しても企業に害が及ばないのであれば、このようなデータの保護には力を入れる必要がなく、保護のための投資は少額でも十分です。
セキュリティ リスクの評価プロセスにおいて取り組む必要がある 8 つの基本的な検討事項は、以下のとおりです。
資産に対するセキュリティ要件。システム、ネットワーク、アプリケーション、およびビジネス データなど、何らかのレベルの保護を必要とする、企業のインフラストラクチャにおけるコンポーネントをすべて定義します。対策または予防手段の計画を適切に立てるには、定量的方法および定性的方法の両方を用いて資産を評価する必要があります。
脅威の分析。弱点の利用について既知の項目のリストを作成し、それぞれから生じる潜在的脅威の可能性を判断します。"弱点の利用" とは、環境における脆弱性を利用するために、脅威によって用いられる可能性がある手段です。脅威の分析を適切に行うには、環境におけるトップの脅威エージェントをまとめたリストが必要です。脅威とは、環境内の情報またはシステムに対する潜在的な危険のことです。脅威エージェントとは、ファイアウォール上の脆弱なポートを通じてネットワークを攻撃する者またはこのプロセス、あるいはセキュリティ ポリシーに違反した方法でデータにアクセスするために使われるプロセスのことです。
起こりうる損害の識別。識別された各脅威によって生じる資産損失の割合を分析します。各起こりうる損害の潜在的な価値の損失を識別および定義することは、セキュリティ リスクの分析において極めて重要なコンポーネントです。
脆弱性の評価。何らかのレベルの保護を必要とする資産に対して使用可能なあらゆる既知の脆弱性の包括的なリストを作成します。脆弱性とは、情報システムまたはこのコンポーネントにおける弱点であり、悪用される可能性があるものを指します (システム セキュリティの手続き、ハードウェアの設計、ソフトウェアの設計、および内部制御など)。
対策の開発。ビジネスとして十分に合理的で適切なセキュリティ リスク対策を開発します。つまり、社内の資産を保護するための費用効果の高い対策のことです。
侵入テスト。許可のない個人が企業にアクセスできる方法を識別するために、侵入テストを使います。一般的な侵入テストの方法は、以下のとおりです。
外部からのリソース スキャンにより、危険にさらされる可能性のある標的を識別する。
war ping を使ってセキュリティで保護されていない IP アドレスを識別する。war ping は、IP 番号の範囲を検索したり、使用中の番号、または、設定された時間内に応答を返す番号を検索する目的でハッカーが使うツールです。結果は .csv ファイルとして保存してデータベースにインポートできます。
機密情報を偶然に提供することがあるパスワードまたは何らかの形式のセキュリティ情報を漏洩するように騙すことができる個人を見つけ出すためのソーシャル エンジニアリング。
施設に対する物理的なアクセスが容易に得られるかどうかを判断するための侵入を構築する。
これらのテストは、セキュリティ ポリシーに対する企業の注意力を高めるために有用です。侵入テストを実行する際に検討すべき最重要項目の 1 つは、テストを実施する外部のエージェントとして、評判のよい業者を見つけることです。
インシデント レスポンス。優れたインシデント レスポンス計画は、自社に対する攻撃についての理解が進むにつれて、従うべき具体的な手続きの概略を示してくれます。一般に、攻撃の兆候が持つ性質により、セキュリティ プログラムに定義されている手続きに従う順序が決まります。時間が極めて重要な要因であるため、一般的には、まず短時間で済む手続きを試してみることをお勧めします。
資産の安全を守るための作業の範囲。"十分な" セキュリティを提供し、インフラストラクチャ全体を企業のサポートとエンド ユーザーの視点から見て使用可能な状態に保つのに必要な時間、労力、および予算を含む総合的な作業量を定義します。所定の予防手段に対する費用便益分析は、企業の総運用コスト (TCO) または投資収益率 (ROI) に対する資産を踏まえた、適切なセキュリティ リスク分析から得ることが必要です。
資産
企業の環境において、何らかのレベルの保護を必要とするものはすべて資産であると言えます。資産には、ソフトウェアやハードウェアのように貸借対照表に記載される品目をはじめ、データや人材など、比較的実体を掴みにくいものも含まれます。セキュリティの目的は、資産が危険にさらされるのを防ぎ、データの機密性、整合性、および可用性を守ることです。どの企業も、データを改ざんされるという、多くの有害なリスクについて懸念しています。これは、ビジネス データの整合性を損なうからです。
IT セキュリティ リスク管理における 1 つの重要な側面は、社内の主要な資産のそれぞれの価値、各資産が有する情報の価値、および環境内における資産間の関連を判断することです。たとえば、会社の Web サーバーから重要なビジネス データが危険にさらされた場合、会社の価値が下がるおそれがあります。あるいは、ルータが危険にさらされると、すべての支社が主要なデータ センタに接続される可能性があります。
各資産の総合的な関連価値によって、各資産に十分な保護を与えるのに必要なセキュリティのレベルに基づき、これをセキュリティで保護するための時間、労力、およびコストが決まります。資産には、関連づけられたレベルの依存性が含まれる場合があります。これらのリソースがどのようにして認証されるのか、または各資産やこれが公開するデータに対するアクセスがどのようにしてユーザーに承認されるのかを考えてみてください。たとえば、CIO のポータブル コンピュータのパスワードが弱いと、これが危険にさらされた場合に多大な金銭的リスクに及ぶ可能性があります。
資産そのものも、それぞれが必要とする保護措置に従って分類する必要があります。保護措置には、以下のものがあります。
予防—資産が損傷、改ざん、または盗難に遭うことを防止する措置。予防措置には、サーバー ルームのドアのロックから、高いレベルのセキュリティ ポリシーの設定まで、さまざまなものがあります。
検出—資産が損傷、改ざん、盗難、またはその他の方法で危険にさらされた場合に、これを検出できるようにする措置。検出措置には、資産がどのようにして危険にさらされたのか、および具体的に誰が損害を引き起こしたのかを判断するための機構も含まれます。侵入、損害や改ざん、およびウイルスの検出を支援するために、さまざまなツールを利用することができます。
反応—資産が喪失または損傷した場合でも、資産の回復を可能にする措置。
これらの保護措置の分類は、さまざまなタイプの対策と統合する必要があります。対策または予防手段によって、資産が危険にさらされる潜在的なリスクを軽減できます。対策は、コンピュータ環境の脆弱性を除去したり、または脆弱性を利用する脅威のリスクを軽減したりするためのものです。
自社の資産を保護する対策を立てるには、まず、関連する脅威とリスクを定義することによって、資産が危険にさらされる仕組みを理解する必要があります。以下のリストには、会社の資産を保護するセキュリティ プログラムを開発する際に考慮すべき 5 つの原則が挙げられています。各原則は、各社のニーズに従って評価する必要があります。
機密性。機密性は、情報へのアクセスをアクセス権を持つ者だけに限定することで維持される状態です。機密保持により、データ処理の各接続点で必要なレベルの秘密が確実に保たれ、不正な開示が防止されます。不十分なセキュリティ対策の一例として、人事部のファイル共有などの機密情報に対するアクセスを匿名ユーザーに許可してしまうことがあります。
整合性。整合性とは、情報と処理方法の正確性と完全性を守ることです。システムの環境内で情報の正確性と信頼性を維持し、データの不正な改ざんを防止できれば、整合性を保つことができます。システム内に不正なデータを保存することは、データの損失と同程度の深刻な被害をもたらす場合があります。
可用性。可用性とは、情報またはリソースの不正な差し止めを防ぐことです。可用性は、許可された個人に対してデータとリソースへのタイムリーなアクセスと信頼性を保証します。
認証。認証とは、ユーザーがシステムにログオンする際に、本人であることを確認するためのプロセスです。一般に、認証はユーザー名とパスワードによって行われます。より高度な認証方法として、スマート カード、または、指紋や網膜走査などのバイオメトリクスを使用するものもあります。
認証プロセスによって、ユーザーにリソースへのアクセス権が与えられるわけではありません。アクセス権は承認プロセスを通じて付与されます。認証を失うと、誰が資産にアクセスしようとしているのかを判断する手段がなくなります。
承認。承認とは、個人に与えられる権利、または、システムとシステムに保存されるデータを使用するプロセスのことです。承認は通常、システム管理責任者が設定し、環境内のコンピュータによって確認されます。確認は、暗証番号 (PIN)、コード番号、またはパスワードなど、何らかの形のユーザー ID に基づいて行われます。
承認プロセスは、適切なセキュリティ機関を使って、ユーザーにリソースへのアクセスを認めるかどうかを決定します。承認を失うと、資産へのアクセスを誰に許可すべきかを判断する手段がなくなります。
脅威、起こりうる損害、脆弱性、および対策の間の関係
脅威エージェントが脅威を発生させ、脆弱性を利用した場合、攻撃は潜在的にセキュリティを危険にさらすことになります。攻撃は機密性、整合性、または可用性を低下させることで、資産に損害を与える可能性があります。したがって、攻撃は会社の損失に対する起こりうる損害を発生させることになります。ただし、対策を講じることでこれらの起こりうる損害を最小限に抑えることができます。
たとえば、会社がウイルス対策ソフトウェアをサーバーにしかインストールしておらず、このウイルス定義ファイルが更新されていない場合、脆弱性が発生します。会社はウイルス攻撃を受けやすくなり、ウイルスが環境内に侵入して生産性を低下させる危険にさらされます。
リスクとは、ウイルスが環境内に侵入して損害を発生させる可能性のことです。ウイルス攻撃によってデータが喪失したり、改ざんされたりする可能性があるため、会社は今や、起こりうる損害を持っていることになります。この状況への対策は、環境内のすべてのコンピュータにウイルス対策ソフトウェアをインストールし、すべてのコンピュータ上で常に定義ファイルを更新することです。
セキュリティ管理の用語は難解な場合があります。以下の表は、セキュリティ管理の主要なセキュリティ コンポーネントに関する統一見解を示したものです。
表 2.1 主要なセキュリティ コンポーネント
| コンポーネント | 定義 |
|---|---|
| 脅威 | 脅威とは、情報またはシステムに対する潜在的な危険の一切を意味します。 |
| 脅威エージェント | 脅威エージェントとは、ファイアウォール上の脆弱なポートを通じてネットワークを攻撃する人物もしくはプロセス、またはセキュリティ ポリシーに違反する方法でデータにアクセスするために使われるプロセスのことです。 |
| 脆弱性 | 脆弱性とは、攻撃者または脅威エージェントに、コンピュータまたはネットワークに侵入して環境内のリソースに不正にアクセスする機会を与える可能性のあるソフトウェア、ハードウェア、または手続き上の弱点のことです。 |
| リスク | リスクとは、脅威の要因が脆弱性を利用する可能性のことです。損失が発生する可能性、または脅威が脆弱性を利用する確率を意味します。 |
| 起こりうる損害 | 起こりうる損害は、脅威エージェントが会社の資産を潜在的な損失の危険にさらす時に発生します。脆弱性によって、組織が損害の危険にさらされる可能性が発生します。 |
| 対策 | 対策または予防手段はリスクを軽減します。対策には、脆弱性を除去したり、または脅威エージェントによって脆弱性が利用されるリスクを軽減したりするソフトウェアの構成、ハードウェア、または手続きが含まれます。 |
| 脅威 | 例 |
|---|---|
| 致命的なインシデント | 火災、水害、暴風、地震、停電、テロ攻撃 |
| 悪意のない人物 | 知識のない従業員、知識のないユーザー |
| 悪意のある人物 | 攻撃者、産業スパイ、政府、贈収賄、ソーシャル エンジニアリング |
| 攻略手段 | 例 |
|---|---|
| テクニカルな脆弱性の悪用 | 辞書攻撃 バッファ オーバーフロー 構成の間違い リプレイ攻撃 セッションのハイジャック |
| 情報収集 | アドレスの識別
ドキュメントのグラインディング OS の識別 ポートのスキャニング 応答の分析 ソーシャル エンジニアリング サービスとアプリケーションの調査 ユーザーの列挙 脆弱性のスキャニング ワイヤレス リーク |
| サービス拒否 (DoS) | 物理的損害 リソースの削除 リソースの改ざん リソースの飽和 バッファ オーバーフロー |
例: 悪意のある攻撃者による攻略行為
情報の削除と改ざん
情報を削除または改ざんする悪意のある攻撃者は、一般的に、発生する事柄によって何かを証明したり、恨みを晴らしたりすることを願っています。悪意を持つ内部者は、企業に対する腹いせから行動するのが一般的です。何かに不満を抱いているのです。しかし、部外者の場合は、攻撃が可能であることを証明するだけの目的で攻撃を仕掛けたり、行為を自慢したい気持ちだけで攻撃したりする場合もあります。
詐欺行為と情報の窃盗
情報技術は、詐欺と窃盗の道具でもあり標的でもあるという性格をますます強めつつあります。金融システムが適切に設計され、制御されていれば、詐欺の防止に必要な法律または報告の要件をサポートできます。標的となるのは、金融システムの環境だけではありません。会社のその他の標的には、信用機関または身分証明機関、出勤時刻管理システム、在庫システム、学校の評点システム、または長距離電話の料金請求システムなど、個人情報へのアクセスを制御する環境を持つものが含まれます。
多くのコンピュータは比較的小さく、高価であるため、物理的な窃盗は容易です。ハードウェア資産そのものは代替が利きますが、そこに保存されているデータにクレジット カードの番号や患者の病歴が含まれていれば、こちらの方が遥かに貴重です。窃盗を不可能にすることはできませんが、設備投資の保護を向上させるために、社内のコンピュータの保護を目的にデスク ロックなどの対策を用いることができます。コンピュータが盗まれると、この中の情報は盗人の自由になり、消去されたり読まれたりする可能性があります。しかし、暗号化して盗人がこれを解読するためのキーにアクセスできないように確実な対策を講じれば、事実上、盗まれた情報が使用される心配はありません。
正常な業務の妨害
攻撃者は、正常な業務を妨害したいと考える場合があります。たとえば、昇進が却下されたことに不満を持つ従業員が働きたくないと思っている場合に、嫌がらせ行為として妨害を実行する可能性があります。
または、外部の攻撃者は、競争から発展する世界で競争力を得るために、サービスを妨害したいと考える場合があります。加害者が、単に面白半分に攻撃を行うことも考えられます。これらのどの状況においても、攻撃者は、具体的な達成目標を持っており、これを実現すれば、何らかの満足感や報酬を得ることになります。攻撃者は、DoS 攻撃を行うために、いくつかの方法を使うことが考えられます。第 3 章「セキュリティ リスク管理の統制について理解する」の中の「脅威の分析」に関するセクションでは、DoS 攻撃を実施する方法、ツール、およびテクニックについて説明しています。
攻撃の方法
脅威の誘因 + 攻略方法 + 資産の脆弱性 = 攻撃
この式における攻撃方法は、上記の図 2.2 で説明した攻撃から、組織が守る必要のある脆弱性を利用します。悪意ある攻撃者は、以下を含め、数々の方法でアクセス権を得たり、サービスを妨害したりすることがあります。
ウイルス、トロイの木馬、ワーム
パスワード クラッキング
DoS 攻撃
電子メールのハッキング
悪意のあるコード
パケット リプレイ
パケットの改ざん
盗聴
ソーシャル エンジニアリング
侵入攻撃
IP なりすましとセッションのハイジャック
脆弱性
脆弱性とは、資産が脅威を受けやすいポイントのことです。弱点と考えられることもあります。脆弱性は、テクノロジ、人間、またはプロセスから発生する可能性があります。多くの場合、脆弱性は、ソフトウェアまたはハードウェアの実装、あるいはシステムの設計または構築方法における技術的な欠陥と考えられます。定義や伝達が不十分な組織のポリシーや手続きにも脆弱性があると言えます。
加えて、脆弱性は、悪意を持つ攻撃者がネットワークやネットワーク上のリソースへのアクセスを得るために悪用する、セキュリティの弱点または抜け穴でもあります。理解すべき重要な点は、脆弱性とは攻撃そのものではなく、悪用される弱点であることです。
以下は、考えられる脆弱性のリストです。これらは、存在する多くの脆弱性の中のごく一部の例にすぎませんが、物理的なセキュリティ、データやネットワークのセキュリティの分野における例が含まれています。
表 2.4 脆弱性のタイプ
| 脆弱性 | 例 |
|---|---|
| 物理的 | 施錠されていないドア |
| 自然 | 断層線上に建てられた社屋 |
| ハードウェアとソフトウェア | ウイルス対策ソフトウェアやオペレーティング システムの修正プログラムが古い |
| メディア | 混信 |
| 通信 | 暗号化されていないプロトコル |
| 人間 | 定義が不十分な手続きや品質の低いアプリケーション |
第 2 章 ‐ セキュリティの概要を定義する
付録 E ‐ セキュリティで保護された LDAP および SMTP 複製を行うためのドメイン コントローラでのデジタル証明書の構成