セキュリティ管理に関する 10 の鉄則

  • [アーティクル]

Scott Culp

2000 年 11 月

我々は、近頃、コンピュータ セキュリティに関する 10 項目の事実をリストにした セキュリティに関する 10 の鉄則 を発表しました。しかし、管理者は独自に一連の鉄則を持っており、それはユーザーのための鉄則リストとはまったく異なるものであることに、我々は気付きました。そこで、我々はマイクロソフトで働くネットワーク管理者やセキュリティ専門家などの多数の関係者に意見を聞き、以下のリストを作成しました。このリストには、まさしく数百年の歳月にわたり人々が苦労して得た知識が生かされています。

ユーザーのための鉄則の場合と同様に、このリストの鉄則は、製品固有の問題ではなく、セキュリティの基本的な特質を示すものです。それぞれの鉄則は技術的な欠陥を基にしてできたものではありませんので、ベンダからの修正プログラムを期待するのでなく、経験によって身につけた判断力と徹底的な計画立案によって、鉄則をあなたの利益に変えてください。

トピック

鉄則 1: 自分の身に何か悪い出来事が起こるまで、だれもそれが起こるとは考えもしない 鉄則 1: 自分の身に何か悪い出来事が起こるまで、だれもそれが起こるとは考えもしない

鉄則 2: セキュリティ保護の方法が簡単である場合にのみ、セキュリティはうまく働く 鉄則 2: セキュリティ保護の方法が簡単である場合にのみ、セキュリティはうまく働く

鉄則 3: 常に新しい修正プログラムを適用していなければ、あなたのネットワークは長くはもたないだろう 鉄則 3: 常に新しい修正プログラムを適用していなければ、あなたのネットワークは長くはもたないだろう

鉄則 4: 最初からセキュリティで保護されていないコンピュータにセキュリティ修正プログラムをインストールしても役に立たない 鉄則 4: 最初からセキュリティで保護されていないコンピュータにセキュリティ修正プログラムをインストールしても役に立たない

鉄則 5: 永続的な警戒を行ってこそセキュリティが保護される 鉄則 5: 永続的な警戒を行ってこそセキュリティが保護される

鉄則 6: 外部からあなたのパスワードの推測を試みている第三者が実際に存在する 鉄則 6: 外部からあなたのパスワードの推測を試みている第三者が実際に存在する

鉄則 7: 最も安全なネットワークは管理が行き届いたネットワークである 鉄則 7: 最も安全なネットワークは管理が行き届いたネットワークである

鉄則 8: ネットワークを攻撃から守ることの難しさは、その複雑さに直接比例する 鉄則 8: ネットワークを攻撃から守ることの難しさは、その複雑さに直接比例する

鉄則 9: セキュリティとは危険を回避することではない。リスクを管理することである。 鉄則 9: セキュリティとは危険を回避することではない。リスクを管理することである。

鉄則 10: テクノロジは万能ではない 鉄則 10: テクノロジは万能ではない

鉄則 1: 自分の身に何か悪い出来事が起こるまで、だれもそれが起こるとは考えもしない

多くの人はしぶしぶコンピュータ セキュリティに取り組んでいます。これは彼らが故意にネットワークを危険にさらそうとしているのではありません。彼らの優先する課題が、あなたのそれと異なっているだけなのです。会社がネットワークを利用するのは、会社のビジネスを遂行するためですし、また社内のユーザーは予測の立たないコンピュータ セキュリティを中心に考えるのではなく、あくまでも会社のビジネスを中心に活動しています。多くのユーザーには、なぜ第三者がわざわざ悪意のあるメールを送ってくるのか、またはパスワードを解読しようとするのかを理解できませんが、攻撃者は、ただ、あなたのネットワークを突破するために弱い箇所を突き止める必要があるだけなのです。

結果として、任意の対策に依存してネットワークの安全を守ろうとしてもうまくいくとは考えられません。あなたにはネットワークのセキュリティに関して指示を出すための権限が必要です。会社の経営陣と協力して、ネットワーク上の情報にはどのような価値があるのか、その情報を保護するために会社が取るべき手段とは何かを具体的に明記したセキュリティ ポリシーを作成します。さらに、このポリシーを反映するセキュリティ対策を開発し、それをネットワークに実装します。

 

鉄則 2: セキュリティ保護の方法が簡単である場合にのみ、セキュリティはうまく働く

鉄則 1 で述べたように、あなたにはネットワーク上のセキュリティに関して指示を出す権限が必要です。しかしその反面、ネットワークを警察国家のような警戒が厳重なものに変えてしまうと、反乱が起こるでしょう。セキュリティ対策が会社のビジネスを邪魔するようであれば、ユーザーはセキュリティ対策を侮辱するかもしれません。繰り返しますが、彼らに悪意があってそうするのではありません。彼らにはこなさなければならない業務があるのです。より厳密なポリシーを実装したために、ネットワークのセキュリティ全体が事実上低下してしまうという結果になる可能性があります。

ユーザーが知らないうちにハッカーの共犯者になるのを防ぐために、あなたにできることとして次の 3 つが挙げられます。

  • あなたの会社のセキュリティ ポリシーが、理にかなったものであること、セキュリティと生産性のバランスがよく考慮されていることを確認します。セキュリティは重要ですが、だれも仕事にならないくらいネットワークのセキュリティ保護が厳重であると、会社にとって実際に有益であるとは言えません。
  • セキュリティ プロセスがユーザーにとって価値あるものとなるような方法を考えてください。たとえば、週に 1 度ウイルス定義ファイルの更新を求めるセキュリティ ポリシーを策定している場合、ユーザーがその更新を手動で行うことを考えてはいけません。むしろ、「プッシュ」メカニズムを使用して、それを自動的に行うことを検討してください。ユーザーは最新のウイルス対策ソフトを使用するというアイデアには好感を持つでしょう。ユーザー自身が何もする必要がなかったことを実感すれば、その方法は倍の好評を得るでしょう。
  • 制限的なセキュリティ対策を課さなければならない場合は、なぜそれが必要なのかをユーザーに説明します。正当な理由がわかれば、ユーザーは驚くほどそれを受け入れてくれるはずです。

 

鉄則 3: 常に新しい修正プログラムを適用していなければ、あなたのネットワークは長くはもたないだろう

残念ながらソフトウェアからバグを皆無にすることは難しい課題です。バグの一部にはセキュリティ対策が必要なものがあり、あなたに対する攻撃に使用するために、たちの悪い多くの者がそのようなバグを必死に探しているのです。あなたのネットワークが今日の段階ではどんなに安全でも、特に深刻な脆弱性が発見されると、一夜にして状況は一変します。また、たいして深刻ではない一連の脆弱性が発見された場合、それが攻撃で同時に使用されたとすれば、全体の威力は個々の力以上となってしまいます。セキュリティの戦術に精通し、脆弱性を発見するたびに、セキュリティ ホールをふさぐことが重要です。

うれしいことに、セキュリティ ホールをふさぐのに役立つツールが多数あります。NTBugTraqBugTraqWin2kSecAdvice などのセキュリティ メーリング リストは、最新の攻撃について情報を得るのに非常に便利です。さらに、脆弱性の調査および修正のために、多くのソフトウェア ベンダ (マイクロソフトを含む) がセキュリティ対応プロセスを開発しています。また、あなたは新しい情報が公開されてないかどうか頻繁にチェックする必要があります (マイクロソフトが提供する プロダクト セキュリティ 警告サービス に加入すると、すべてのセキュリティ情報を、それらの発行時点から数分以内に、日本語版情報についても数時間以内には電子メールで受け取ることができます。また、マイクロソフトが開発した ツール を使用すると、IIS 5.0 サーバーに最新の修正プログラムがインストールされているかどうかを定期的に確認することができます)。それから サービス パック も重要です。これは可能な限りのセキュリティ保護が実施されているかどうかを確認する上で最も優れた方法の 1 つです。

 

鉄則 4: 最初からセキュリティで保護されていないコンピュータにセキュリティ修正プログラムをインストールしても役に立たない

あなたが西ゴート人で、あなたとその一味が攻撃と略奪の対象としている城の偵察に出かけていると想像してください。森の中の隠れ家から城の方をうかがうと、武装した農奴たちが城の防備を整備しているのが見えます。彼らはモルタルで裂け目を補修し、防御柵の先端を尖らせ、沸騰した油をタンクに補充しています。ところが城の裏手へ回ってみると、なんと城の裏側には何もないことがわかりました。裏側には何の防備も行われていなかったのです。さて、あなたの勢力が裏手から攻撃をかけた場合、城の表側の整備が一体どれだけ役立つのでしょうか。

これと同様に、ドメイン コントローラでのあなたの管理者パスワードが弱い場合、セキュリティ修正プログラムはどの程度効果があるでしょうか。Web サーバーのハード ディスク ドライブが外の世界と共有されている場合はどうでしょうか。または、会社の従業員の情報が入ったサーバー上で Guest アカウントを有効にしている場合はどうでしょうか。コンピュータを制限する作業は、それをネットワークに接続する前に行います。これが非常にたいへんな仕事だと感じられる場合は、悪意のある第三者にコンピュータを侵害されたのでコンピュータを再度構築し直さなければならない場合を考えてください。マイクロソフトは、コンピュータの制限が容易に行えるようにするための セキュリティ チェックリスト と、IIS 5.0 Web サーバーのセキュリティ保護を自動的に行うことができるセキュリティ Lockdown ツールを提供しています。これらの対策を講じる方が、コンピュータを再構築するよりずっと簡単です。

 

鉄則 5: 永続的な警戒を行ってこそセキュリティが保護される

さて、あなたが鉄則 3 と 4 を読んで、自分のセキュリティ対策を自画自賛したとしましょう。つまり、あなたがすべてを適切に処理しているとします (コンピュータを実際に運用する前にコンピュータのセキュリティ保護を行い、最新のサービス パックをインストールし、念入りにセキュリティ修正プログラムを適用しています)。あなたは安全に違いありませんね。実際にはどうでしょうか、安全かもしれないし、安全でないかもしれません。このような条件を満たしていても、悪意のあるユーザーはあなたのネットワークに攻撃できるかもしれません。たとえば、フラッディング攻撃を仕掛けたり、サーバーのリソースを使い尽くしてしまうために、単に膨大な数の合法的な要求をサーバーに送信してくるかもしれません。または、総当たり的なパスワード推測攻撃を仕掛けてくる可能性もあります。悪意のある第三者の活動は、たとえそれが悪質であっても、無効ではないため、セキュリティ修正プログラムもコンピュータ構成もこのような攻撃を完全に防ぐことはできません。

ですがあなたにはイベント ログという武器があります。イベント ログは、だれがシステム リソースを使用しているのか、彼らが何をしているのか、そのオペレーションは成功したのか失敗したのかについて情報を提供します。だれが何を行ったのかを把握したら、適切なアクションをとることができます。何者かがあなたのシステムにフラッディング攻撃をした場合、その者の IP アドレスから来る要求をブロックすることができます。何者かがあなたのアカウントに総当たり攻撃を加えた場合、危険にさらされているアカウントを無効にし、「甘い罠」を仕掛けて犯人を捕まえたり、アカウントのロックアウト間隔を伸ばすことができます。つまり、あなたはイベント ログによってシステムの健康をチェックし、システムの安全を守るために取るべき正しい道を特定することができます。

イベント ログの記録は慎重に設定してください。あまりに多くのイベントを簡単に監査できるため、データの解析が追いつかなくなることが予想されます。どのイベントをログに記録する必要があるか、成功または失敗のどちらを監査するか、またはその両方を監査するかを、注意深く検討する必要があります。セキュリティ チェックリスト には、これに関する推奨設定が含まれています。最後に、ログ データは、使用して初めて役に立つものなので、ログを定期的にチェックする手順を確立してください。コンピュータの台数が多すぎて、自分だけではチェックしきれない場合は、サード パーティのデータ マイニング ツールの購入を検討するとよいでしょう。このツールは、自動的にログを分析して、あなたのシステムが攻撃にさらされていることを示す既知の指標がないかをチェックするものです。

 

鉄則 6: 外部からあなたのパスワードの推測を試みている第三者が実際に存在する

システムのセキュリティは、防御の最も弱い部分で決まるという自明の理の典型的な例がパスワードです。攻撃者が最初にテストする事柄の 1 つはパスワードの強さです。それには、次の 2 つの理由があります。

  • パスワードは非常に重要です。あなたが他のセキュリティ プラクティスに従っていたとしても、悪意のある第三者は 1 人のユーザーのパスワードを突き止めるだけで、あなたのネットワークにアクセスできます。そこから、悪意のある第三者は、追加の攻撃をかけるのに理想的な場所を得るのです。
  • パスワードは「低いところにぶら下がっているフルーツ」です。ユーザーの多くがあまりに安易なパスワードを設定しているからです。彼らは容易に推測できる単語を選び、それを決して変更しません。もっと複雑なパスワードを設定するよう強いられると、多くのユーザーがそれを何かに書き留めておきます (これは「付箋紙」による脆弱性として知られています)。あなたがだれかのパスワードを知っている場合は、アカウントを暴く達人になる必要はありません。

強力なパスワード ポリシーを実行できなければ、ネットワークのセキュリティを守ることはできません。ネットワークにおいては、最低限、パスワード長、パスワードの複雑さ、およびパスワードの有効期限に関するポリシーを確立します (たとえば、Windows 2000 の場合、これらを グループ ポリシー の一部として設定します)。また、アカウント ロックアウトを使用して、失敗したログオンの試行があるかどうかを確認します。最後に、パスワードを何かに書き留めておくことがなぜ悪い習慣なのかを、ユーザーが理解しているかどうか確認します。実地指導が必要な場合は、定期的にユーザーのオフィスを周回することを経営側から認めてもらい、パスワードをメモした付箋が無造作に貼られていないか確認します。あまりにも立ち入った探索は行わずに、机の一番上の引き出し、キーボードの下、引き出し型のライティング テーブルを確認するだけにします。あなたの会社も他の多くの会社と同様に、問題のメモの多さに驚かされることでしょう。

システムのパスワードを強化することに加えて、あなたはパスワードより強力な認証方法を使用したいと考えているかもしれません。たとえば スマート カード を使用すると、ログオンするためには PINコード と物理的なカードが必要となるため、ネットワークのセキュリティを大幅に改善することができます。バイオメトリックによる本人認証は、ネットワークのセキュリティをさらに向上させます。これはログオンに使用されるアイテムがあなたの体の一部 (指紋、目の網膜、音声など) であり、決して失うことがないからです。あなたがどれを選択しようとも、認証プロセスのセキュリティのレベルが、ネットワークにおける他のセキュリティ対策と対応しているかどうかを確認します。

 

鉄則 7: 最も安全なネットワークは管理が行き届いたネットワークである

成功した攻撃のほとんどは、ソフトウェアの欠陥によるものではなく、不適切な設定を利用したものです。たとえば、トラブルシューティングのためにゆるめられたアクセス許可がそのままリセットされていない、臨時従業員のために作成されたアカウントがその臨時従業員の離職後も有効な状態で放置されている、だれかが承認を得ないでインターネットへの直接接続を設定した、などの例が挙げられます。あなたの管理がずさんである場合は、こうした不適切な設定を追跡するのが非常に困難です。結果として、悪意のある第三者が入り込む余地を広げていることになります。

ここで最も重要なツールはソフトウェア ツールではなく手順です。手順を明確に文書化しておくことが絶対に必要です。通常、まず企業内セキュリティ ポリシーの作成から始めます。この段階では、ネットワークの各部分の責任者を特定し、ネットワークの開発、管理、および運用に適用される全般的な概念を、広い見地から説明します。ただし、上位レベルの企業内ポリシーだけで終わらないでください。各グループでは、ポリシーの充実を図り、担当範囲の運用手順を作成する必要があります。手順は具体化すればするほど効果があります。そして、考案した手順は必ず文書にしてください。手順が口頭によってのみ伝えられている場合、システム管理者が変わると、その手順は失われてしまいます。

次に、ネットワークを調査して潜在的なセキュリティ上の問題を探すことを専門に行う「Red Team」の編成を検討してください。Red Team は、問題を新鮮な目で見ることにより、セキュリティを直ちに改善することができます。これには、副次的な利点もあります。Red Team が周回していると、ネットワーク オペレータは通常よりもセキュリティを第 1 に考えるようです。たとえそれが、Red Team がオフィスに現れ、彼らが見つけた最新のセキュリティ上の問題について議論することをだれも望んでいないというだけの理由だとしても、効果があることに変わりありません。

 

鉄則 8: ネットワークを攻撃から守ることの難しさは、その複雑さに直接比例する

この鉄則は鉄則 7 に関連しています。ネットワークが複雑になればなるほど、確かにその管理も難しくなりますが、管理以外の要素もあります。ここで重要なのは、アーキテクチャそのものです。次の質問に答えてみてください。

  • ネットワーク内にあるドメイン間の信頼関係はどのようになっていますか。信頼関係は、単純でわかりやすくなっていますか。またはスパゲッティのように複雑に絡み合っていますか。後者である場合、何者かがそのような信頼関係を悪用して、あなたの意思とは反対に特権を取得する可能性があります。
  • あなたは管理しているネットワークへのすべてのアクセス ポイントを把握していますか。たとえば、社内のあるグループがパブリック FTP または Web サーバーをセットアップしている場合、それがネットワークへの不正な入り口を提供してしまう可能性があります。
  • あなたは、他社とパートナーシップ契約を結び、その会社のユーザーがあなたの管理するネットワークにアクセスするのを許可していますか。そうである場合、あなたのネットワークのセキュリティは、パートナーのネットワークのセキュリティと事実上、同じになります。

ネットワーク管理のモットーは、「少数で、よく管理されている」ということです。信頼関係は「少数で、よく管理されている」のが望ましく、ネットワーク アクセス ポイントも「少数で、よく管理されている」のが良いでしょう。そして、ユーザーも「少数で、よく管理されている」のが良い、いや、これは冗談です。つまり、ネットワークを理解していなければ、そのネットワークを攻撃から守ることもできないということです。

 

鉄則 9: セキュリティとは危険を回避することではない。リスクを管理することである。

コンピュータ セキュリティにおいて非常によく引用される自明の理の 1 つに、本当に安全なコンピュータは、電源をオフにし、ネットワーク ケーブルを切断した状態で、コンクリートの中に埋められたコンピュータだけである、というものがあります。そのとおりで、この場合は、侵入されることは決してありません。ですがそのようなコンピュータは、安全であっても、会社のビジネスには何の役にも立ちません。有用なネットワークのセキュリティは、決して完全ではありません。したがって、あなたはそのことを計画作成において考慮する必要があります。

あなたの目標は、ネットワークに対するすべての危険を回避することではないはずです。それは非現実的だからです。次に示す 2 つの否定できない事実を受け入れ、それに従ってください。

  • ビジネス上の要求がセキュリティと対立することがあります。セキュリティは、それ自体が最終目標ではなく、あくまでもビジネスを支援する活動です。考えられる危険を挙げ、それをできる限りの範囲で軽減します。
  • あなたのネットワークセキュリティは侵害されます。侵害はちょっとした問題で済むかもしれないし、深刻な被害となるかもしれません。その原因は人間の攻撃によるものかもしれないし、不可抗力かもしれません。しかし、遅かれ早かれあなたのネットワークは何らかの形で侵害されます。侵害を検出し、調査し、回復させるために、不測の事態に対応できる計画を作成しているかどうかを確認してください。

この 2 つの問題の処理には、セキュリティ ポリシーが最適です。会社の経営陣と協力し、考えられる危険と、それらの危険を管理する方法について、全体的なガイドラインを作成します。ポリシーを開発するということは、あなたと会社の経営陣が、ほとんどの人々が考えないようなシナリオについて検討しなければならないということです。しかし、それを行っていれば、シナリオの 1 つが発生したとき、あなたは既にその答えを持っていることになるのです。

 

鉄則 10: テクノロジは万能ではない

セキュリティに関する 10 の鉄則 を既に読み終えている方なら、この鉄則がそのリストの最後にあったことを思い出すでしょう。この鉄則を両方のリストに載せたのは、この鉄則がネットワーク ユーザーと管理者の両方に同様に当てはまるものであり、両者にとって同じくらい重要であることを心に留めておいてほしいからです。

テクノロジだけでは、セキュリティを十分に保証することはできません。つまり、開梱してネットワークにインストールしただけで、すぐに完全なセキュリティを保証できる製品などないということです。むしろ、セキュリティはテクノロジとポリシーの両方がもたらす結果です。テクノロジをどのように使用するかによって、ネットワークが安全かどうかを最終的に決定するのです。マイクロソフトはテクノロジを提供しますが、あなたの会社に適したポリシーを定めることができるのは、あなたと会社の経営陣だけなのです。セキュリティの計画は早めに作成してください。何を保護したいのか、それを保護するために何をすればよいかを、しっかりと理解してください。最後に、緊急事態が発生する前に、そうした事態に対応できる計画を作成します。綿密な計画と信頼性の高いテクノロジを結び付けることで、優れたセキュリティが実現するのです。

Scott Culp は、Microsoft Security Response Center セキュリティ プログラム マネージャです。