| エンタープライズ:ニュース | 2002/11/08 22:47:00 更新 |
やられたらどうする?――シマンテック製品に見るインシデント・レスポンスのススメ
現在言われるセキュリティ対策は、ウイルス対策ソフトウェアの導入やファイアウォールの設置のように、システムを守ることのみに力点がおかれている。だがそろそろ、「やられた」ときの適切な対処にも、注意を払うべきではないだろうか。
この1、2年でセキュリティに対する関心は確実に高まった。だがその具体的な手段といえば、ウイルス対策ソフトウェアの導入やファイアウォールの設置、一部のデータでは暗号化といったところが大半ではないだろうか?
上記に挙げたものは確かに基本的な対策であり、決して怠るべき事柄ではない。だがこれらが、コトの半面しか見据えた対策でしかないのも事実だ。というのも、どれだけセキュリティ対策をしっかり行っておこうと、100パーセント安全ということはありえないからだ。
万が一の事態というのは常にあり得る。新種のウイルスがやってきたら? 新たに発見されたセキュリティホールがすぐに悪用され、攻撃を受けたら? こうしたセキュリティ上の問題以外にも、さまざまな可能性が考えられる。例えばルータやファイアウォールなどに障害が起きたらどうすべきだろう? 管理者が突然倒れたり、あるいは退社してしまったら、まず何から手を付けたらいいのだろうか?
このように思いを巡らせていけば、システムの防御を固めるだけでは不十分ということが分かっていただけるのではないだろうか。
まず重要なのは、データやシステムを守るべく、リソースの許す範囲でベストな対策を施していくこと(100パーセントの安全はありえないからといって対処を放棄するのは論外である)。同時に、不測の事態は起こるものだという前提に立ってさまざまなケースを想定し、それぞれ速やかな対応を取れるよう対処策を用意しておくことだ。
それも担当者レベルでプランを作成するだけでなく、関係者に周知徹底し、必要なシステムや仕組み(例えば緊急連絡網のようなもの)も準備しておく。防災訓練のように、あるシナリオに沿ってシミュレーションしてみることも有効だ。
残念ながら、現在言われるセキュリティ対策は、この2つめの部分――いわゆるインシデント・レスポンス(セキュリティ侵害への緊急対策)――が欠如しているものが大半である。だがそろそろ頭を切り替え、デバイスやソフトウェアの購入だけでは実現できない部分にも注意を払う必要があるだろう。
「インシデント」という視点を取り入れたSSMS
シマンテックが11月6日、7日に渡って開催したSymantec SecureXchange 2002では、複数のセキュリティを統合管理するためのシステム「Symantec Security Management System(SSMS)」と、その基盤となるフレームワーク「Symantec Enterprise Security Architecture(SESA)」が披露された。
SSMSは、ファイアウォールやウイルス対策システム、不正侵入検知システム(IDS)といったポイントソリューションから得られた情報を集約し、一元的に管理し、必要に応じて警告や対処法を提供してくれる。
これは3つのコンポーネントから構成されている。1つは脆弱性を管理する「Policy Manager」――すなわち同時に発表されたセキュリティポリシー監査ツール「Symantec Enterprise Security Manager(ESM)5.5」だ。他にログやアラートを収集する「Event Manager」、そしてその情報をベースに重要なものを抽出し、ビジネスへの影響まで考慮しながら優先順位を付けて分析する「Incident Manager」が提供される。
つまりSSMS、特にIncident Managerは、ウイルスやポートスキャンといった個別の事象に対処するのでもなく、プロダクトごとに管理を行うのでもない。インシデントを切り出し、ポリシーに照らし合わせて深刻度を判断し、その解決を手助けするという意味でユニークな製品だといえる。残念ながら、Incident Managerの出荷が開始されるのは2003年の予定だが、その頃にはインシデント単位での対処というものがもっと身近になっているのではないだろうか。
バックアップもセキュリティ対策の一環
Symantec SecureXchange 2002ではもう1つ、地味ながら、インシデント・レスポンスにおいて重要な製品が紹介された。ディスクイメージングツールの「Symantec Ghost」だ。
セキュリティとGhostの組み合わせに違和感を覚える人もいるかもしれない。しかし、「ディスクイメージツールは、セキュリティソリューションの一部とみなすことができる」と、同社システムエンジニアリング本部の藤盛秀憲氏は語っている。
理由を説明してみよう。万一セキュリティ侵害を受けた際には、迅速な復旧/リストアが必要になる。かといって、ただ単にデータを戻すだけでは、再度同じような侵害を受ける可能性が高い。こうしたとき、速やかに復旧作業を行いつつ、必要に応じてパッチや追加アプリケーションなどを差分として追加できるGhostの機能が役に立つという。
さらに、定期的にディスクイメージを取得しておくことによって、問題が発生した後、「いったい何が起き、どんな被害を受けたのか」「原因は何か」を特定するフォレンシック(Forensic)作業も支援できる。まだ余り注目されていないが、このフォレンシックも、今後セキュリティ対策の一環として組み込まれるべきフェーズだ。
「インシデント・レスポンスの観点からは、バックアップもセキュリティ対策、セキュリティソリューションの1つとして考えていくべきだ」(藤盛氏)。そしてGhostやリモートコントロールツールの「Symantec pcAnywhere」も、セキュリティと利便性を両立させるためのツールとして、SSMSの中に組み込まれていくとした。
とはいえこれがきちんと実現されるには、セキュリティポリシーを定め、それに沿った運用が大前提となることは言うまでもない。まずは、どうやって企業を脅威から守るかだけでなく、適切な対策、つまりインシデント・レスポンスについても、明示的にセキュリティポリシーに組み込んでいくことが必要となっていくだろう。
関連記事
シマンテック、企業向けの包括的セキュリティ戦略を発表関連リンク
シマンテック[高橋睦美,ITmedia]
