セキュリティ コラム - 情報の森の歩き方

  • [アーティクル]

公開日: 2005年1月26日 | 最終更新日: 2005年1月26日

マイクロソフト株式会社 セキュリティ レスポンス チーム 小野寺 匠
皆様こんにちは。マイクロソフト セキュリティ レスポンス チームの小野寺です。 マイクロソフトのサイト (https://www.microsoft.com) には、膨大な情報が蓄積されており、膨大であるが故に情報を探すには少々コツが必要です。しかし、この情報を余すところなく有効に活用できた時、きっと皆様のセキュリティに関する知識を広げ、より安全なシステムやアプリケーションを生み出す糧となるではないでしょうか。今月の記事では、「セキュリティ」に的を絞って必要な情報を探してみます。

サイトの構成を確認する

  • マイクロソフト
    (https://www.microsoft.com/japan/)
    マイクロソフトのすべてのページにつながる日本語のポータルページです。もちろん、セキュリティのカテゴリもあります。

  • セキュリティ ホーム
    (https://www.microsoft.com/japan/security/)
    セキュリティのトップページです。ここでは、直近に公開したセキュリティ情報や、ドキュメントを紹介しています。また、対象者を分けたリンクもあります。

    • 開発者および IT プロフェッショナル向けのトレーニング ツールやガイダンスが満載の「セキュリティ ガイダンス センター」
      (https://www.microsoft.com/japan/security/it/)
      主に企業などの組織内のセキュリティを維持するための手法やチェックリストといった資料と、その補助となるツール類を提供しています。

    • IT プロフェッショナル向けの「TechNet セキュリティ センター」
      (https://www.microsoft.com/japan/technet/security/)
      セキュリティ情報 (Security Bulletin) とシステム管理に不可欠な技術情報を提供しています。

    • 開発者向けの「MSDN セキュリティ」
      (https://msdn.microsoft.com/ja-jp/security/default.aspx)
      安全な製品を生み出すためのコーディング手法を紹介

    • 一般ユーザー向けの「ホーム ユーザー向けセキュリティ」
      (https://www.microsoft.com/japan/protect/default.mspx)
      インターネットやコンピュータを楽しむ上で注意しなければならないことをまとめています。個人だけではなく企業内ユーザーにもお勧めできる情報を提供しています。

ページのトップへ

最新のセキュリティ情報を把握する

セキュリティ対策としてまず頭に浮かぶのは、最新のセキュリティ更新プログラムの入手と適用ではないでしょうか。セキュリティ情報は、現在 2 種類提供しており、1 つは技術的な詳細と組織への展開について記載している詳細な情報、もう 1 つは、直感的にわかるよう絵で描かれた「絵でみるセキュリティ情報」です。新しいセキュリティ更新プログラムがリリースされる際には、セキュリティ情報も対になって提供されます。セキュリティ情報は、 セキュリティ情報検索 から探すことができます。検索サイトを、2005 年 1 月 17 日にリニューアルし、単純な一覧から適用すべき更新の一覧まで様々な一覧をお好みで表示できようになりました。このサイトは、新規に導入したシステムやシステム再構築時の適用リストの作成や、運用中のシステムの適用チェックリストとしても使うことができます。

しかし、新しいセキュリティ情報が公開されているかを Web サイトで確認していては、忙しいシステム管理者の時間を無駄にしてしまいます。上記の検索サイトのように任意のタイミングで一覧できる情報のほかに、新規の公開または重要な更新があったときに、メールでお知らせする「マイクロソフト プロダクト セキュリティ 警告サービス」があります。これを利用すれば、毎日サイトを確認する必要はなくなります。 また、Windows Messenger または MSN Messenger を利用している場合は、MSN Alert のコンピュータ・アラートに登録すれば、セキュリティ情報の公開を Messenger が知らせてくれます。

ページのトップへ

セキュリティ更新の適用と展開の具体策を知る

セキュリティ情報が探せても、問題はいかにして組織内の大量のコンピュータに対して効率良くセキュリティ更新プログラムを適用、展開していくかです。このような、セキュリティに関する管理手法や事例を知りたいときは、「セキュリティ ガイダンス センター」で見つけることができるはずです。ガイダンス センターを開くと、トピックの中に、「パッチ管理」があります。この「パッチ管理」は、Microsoft Operation Frameworkと呼ばれる ITIL をベースにした考え方を基にしていて、セキュリティ更新プログラム (パッチ) の適用など、システムへの変更を管理する変更管理 (Change Management) について知ることができます。本来は、こういった MOF のようなプロセスと共にシステムの適用を進めていくことをお勧めしますが、完全にこのプロセスを社内に展開するまでには時間がかかります。まず、目の前にあるコンピュータを何とかしなければならない時は、ガイダンス センターの「How-To 記事」を見ます。この中にも「パッチ管理」がありますが、先程とは違い実際に展開する方法や手順について解説しています。その中でも「[HOWTO] SUS を使用したパッチ管理の実行」は、Software Update Services (SUS) を使ったパッチの半自動展開の方法を説明しています。SUS は、無償で提供しているセキュリティ ツールの 1 つで、Windows Update で公開されている更新を、組織内に展開する機能を持っていて、管理者が許可した更新のみを配布します。このようなセキュリティ ツールも、ガイダンス センターの「セキュリティ ツール」から入手可能です。

ページのトップへ

システムのセキュリティを強化する

「常に最新のセキュリティ更新プログラムが適用されているあなたのシステムは、セキュリティ上、非常に安全です」という意見をたまに耳にしますが、本当にそうでしょうか?セキュリティ更新プログラムを適用することで、システムにある脆弱性を悪用した攻撃や侵入を防ぐ事はできますが、そのシステムにパスワードが設定されていなかったら・・・ファイル共有で Everyone に対してフルコントロールが設定されていたら・・・Web Server 上のコンテンツが、書き込み可能な状態で公開されていても、セキュリティ更新プログラムさえ適用していれば安全ですか?

侵入されたり悪用されたりしないためには、システムの設定や利用方法を再確認し安全な状態で運用する必要がありますが、多くの場合、セキュリティに関する専門的な知識が必要とされています。しかし、コンピュータの使用方法はいくつかの特定の用途に限定される場合が多いのではないでしょうか。このような特定用途のコンピュータに対して、基本的なセキュリティ設定 (Base line security) を行うためのガイドとチェックリストはセキュリティ ガイダンス センターの「チェックリスト」から見つけることが可能です。チェックリストよりも、詳細に設定を行いたい、または設定の意味を知りたい場合は、「製品とテクノロジ」から使用している製品を選択すると、セキュリティの設定を強化するためのガイドを多数見つけることができるはずです。例えば Windows Server 2003 で、ファイルサーバーを運用している場合は、「Windows Server 2003 ファイル サーバーのセキュリティを強化する」を見ると、ファイルサーバーのためのセキュリティ設定がわかります。

ページのトップへ

安全なアプリケーションを開発する

システムの安全性が十分に確保されていても、システムで動作するアプリケーションが安全でなければ、今までの努力が水の泡です。脆弱性のある Web アプリケーションや、業務アプリケーションを想像してみてください。アプリケーションの安全性は設定や使い方ではなく、生み出される開発の現場で対策しなければなりません。そのための、プロセス、コーディング手法、テスト手法など色々な段階で多くの方法論が存在します。そのすべてを学ぶことは決して容易ではありませんが、少しずつ何がセキュリティ上の脆弱性になるかを知るために、「Protect It」や「Review It」からはじめてみるのはどうでしょう。そして、より確かな知識を身につけたプロフェッショナルを目指す方には、「開発者向けセキュリティ ガイダンス」の情報がアプリケーションをより安全なものにします。

ページのトップへ

自宅のコンピュータのセキュリティ

組織内のコンピュータのセキュリティに目を向けてきましたが、自宅で使っているコンピュータのセキュリティ対策も考えないといけません。個人向けのセキュリティ対策については、「ホーム ユーザー向けセキュリティ」を見ます。まずは、Windows Update を行って、最新のセキュリティ対策とインターネットで大規模な蔓延が確認されているワームを駆除します。ただし、その後の予防策をとらなければ、またワームに感染して大切な写真が削除されたり、カード情報や個人のプライバシーが無断でインターネット上の見知らぬ人に送信される恐れがあります。そうならないために、Protect Your PC (パソコンを守るための 3 つの手順) を実施します。

  1. ファイアウォールを利用

  2. Windows Update を使用

  3. 最新のウイルス対策ソフトを使用

この 3 つの対策は色々な場所で目にしたり聞いたりしていると思いますが、何のためにと疑問に感じたことはありませんか? その様なときにも、このサイトが役に立ちます。「ファイアウォールが必要か?」など機能や対策の意味を簡単に説明するもの、「フィッシング詐欺の釣り餌にひっかかるな」等の最近話題になっているインターネットの危険の説明と対処法、「強力なパスワードでハッカーをイライラさせてやろう」などの読み物から、インターネットを楽しく使えるようなセキュリティの基礎知識を得ることができます。

ページのトップへ

より細かな対応へ

セキュリティの知識と技術がある程度備わり、より詳細なセキュリティやシステム運用管理の情報が必要になったら、「TechNet セキュリティ センター」から、各製品の機能や、スクリプトによる管理手法、ガイダンス センターのガイドをより細かく解説した資料などを見つけることができます。

セキュリティには終わりが無いと言われています。セキュリティへの脅威が無くならない以上、対応と対策を繰り返していかなければなりません。残念ながら、コンピュータとネットワークの世界では、取り巻く状況が変化してしまいました。私たちもそれにあわせて考え方を変えてゆかなければならないときに来たようです。セキュリティ対策が不足し、万が一事故に見舞われてしまうと、社会的な信用や金銭的実害につながってしまいます・・・そう、セキュリティはリスク管理そのものなのです。セキュリティ被害が発生するリスクと対策のバランスが取れていること、つまり、セキュリティ対策における費用対効果 (ROSI) を考慮した継続性のある対策が最も重要なのです。このことを踏まえつつ、最後に、リスク管理のためのガイド「セキュリティ リスク管理ガイド」を紹介します。

マイクロソフトのサイトには、まだまだ多くの有益な情報が眠っています。折を見てこの深い森を散策してみてはいかがでしょうか?きっと探していた “知識” という木の実を見つける事ができる事と思います。


この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。

ページのトップへ