エンタープライズ:ニュース 2003/06/09 20:13:00 更新


「パスワードこそセキュリティの根本」とセキュリティフライデー

セキュリティフライデーは6月2日より、Windowsネットワーク上の挙動を監視するソフトウェア「VISUACT」の販売を開始した。続いてパスワード強化支援ツールもリリースする計画だ。

 今年4月に設立されたばかりのセキュリティ企業、セキュリティフライデーは、6月より本格的な活動を開始した。まず6月2日より、Windowsネットワーク上の挙動を監視し、不正アクセスを抑止するためのソフトウェア「VISUACT」の販売を開始している。

 同社代表取締役の佐内大司氏は、「セキュリティといっても、われわれは脆弱性情報よりも“人”にフォーカスする。人こそ最も弱い部分だからだ」と述べる。

 同時に、ファイアウォールやIDS(不正侵入検知システム)といった外向けの対策に比べると比較的注意が払われてこなかった、イントラネット内のセキュリティ対策も支援していくという。システム内のユーザーには、相応の権限が与えられていることが多い。つまり、よりリスクは高くなるにもかかわらず、この部分を把握する有効な手段はあまりないのが現状だ。Windowsが搭載するイベントログでも、詳細な情報までは記録されない。

 こうした考えに立って開発された製品の第1弾が、Windowsネットワーク内のさまざまな挙動を一目で把握できるようにするVISUACTだ。いわゆるフォレンジックツールの一種としてもとらえられるが、同製品はすべてのパケットを取り込むことはしない。Windowsネットワークに特化し、どのIPアドレスからどのサーバに対し、ファイルのリード/ライトやログオン、さらに削除などが行われたかを視覚的に把握できる。また、ユーザーが何らかのアクションを取ろうとして失敗した場合も記録される。

「これまで見えなかったマイクロソフトネットワークを、きちんと見えるようにすることで、ユーザーに見られているのだということを告知し、抑止効果を出していきたい。また、どうやっても不正アクセスはゼロにはならないのだから、そのときに備えて足跡を残しておく手段も必要だ」(佐内氏)。

 とりあえず気になっている部分に手軽に導入できることも特徴だ。「IDSは価格が高すぎて導入しにくい面がある。これに対しVISUACTは、まず重要なサーバについて導入し、そこからボトムアップしていくというアプローチが取れる」と、同社営業部長の中岡義雄氏は言う。

 ただ逆に、VISUACTではインターネット系のトラフィックまでは監視できない。したがって現実には、IDSと組み合わせて外部と内部の両方を監視するという実装が望ましいという。

パスワード強化を支援

 同社は続いて、パスワードの強度を診断し、より強いパスワードの作成を支援するツールをリリースする計画だ。

「パスワードこそセキュリティの根本だ。たとえどんなセキュリティツールを導入したとしても、パスワードが脆弱ならば意味がない」と佐内氏。さらに、いざパスワードを推測困難で堅牢なものにしようとしても、どういうパスワードが強固なのかをユーザーが理解していないことが、問題をややこしくしているという。

 そこで同社は、パスワード診断/強化ツール「認術修行」を開発、6月中にも発表する計画だ。同ソフトでは、パスワードを構成する文字それぞれに強度を把握し、どの文字を変更すると、どの程度堅牢さが向上するかを教えてくれる。例えばパスワードが「ZDNET」だったとする。このうち「E」の文字を、「Q」や「Y」といった別の文字に変更することで、解読に要する日時がどの程度伸びるか(逆に短くなるか)、つまり強度がどう変化するかを一目で分かるように示す仕組みだ。

 こうして出来上がった堅牢なパスワードは、たいてい覚えておくのが困難なものだが、このソフトには記憶を支援するための機能も搭載されている。乱数表の自分の好みの場所にパスワードを隠し込むことで、他人に知られない形でパスワードを保管できる。

 パスワードの代わりにバイオメトリックやICカードといったデバイスを用いる手段もあるが、「一番大事なのは人の意識だ。たとえ代わりに何を使おうとも、人の意識が変わらなければ意味がない。この新製品を、人の意識を変える助けにしていきたい」と佐内氏は述べている。

 同氏はさらに、「セキュリティ対策において難しいのは、過度に反応しすぎてもいけないし、逆にあまりに楽観しすぎてもいけないことだ。その中でバランスを取ることが重要だが、それにはやはり人のセキュリティ意識を高めることが重要だ」と指摘している。

関連記事
▼セキュリティフライデー、企業内ネットワーク不正アクセス抑止ソフトを販売開始
▼セキュリティフライデー、Windowsネット上の挙動を監視する「VISUACT」を発表
▼エンタープライズトップページへ

関連リンク
▼セキュリティフライデー

[高橋睦美,ITmedia]