| エンタープライズ:ニュース | 2003/11/12 04:36:00 更新 |
「企業ならば“踏み台にされました”は通用しない時代に」、ラックの岩井氏が指摘
シマンテックのイベント「Symantec SecureXchange 2003」にラック・JSOC事業本部の岩井博樹氏が登場。MSBlastにはじまる一連の騒動を踏まえての教訓を紹介した。
「“システムの運用を考えるとパッチは当てられない”というやり方は、もはや持たなくなりつつある。まずは“セキュリティ第一”に考えてほしい」――セキュリティ企業ラックでJSOC事業本部アナリシスグループリーダーを務める岩井博樹氏は、シマンテックのプライベートカンファレンス「Symantec SecureXchange 2003」のセミナーにおいてこのように語った。
ラックのセキュリティ運用監視センター、JSOCでは、ネットワーク機器やセキュリティ機器が収集する情報を元に、ネットワーク・脅威の動向について監視・解析を行っている。今年8月にMSBlastおよびNachiがまん延した際にも、JSOCでは元となる攻撃コードの公開や不審なパケットの増加といった予兆を把握し、警告を発するとともに活動の推移を記録してきた。
岩井氏は、「MSBlastに学ぶセキュリティ対策」と題したこのセミナーにおいて、一連の騒動からいくつかの教訓を披露した。まずは、外部から侵入を試みる「ワーム」「不正アクセス」から企業システムを保護するといった、インターネットセキュリティ対策だけでなく、イントラネットのセキュリティについても検討すべき時期に来ているという。
現にMSBlastは、ファイアウォールで守られている企業システムに、感染したPCが持ち込まれることによってまん延した。ファイアウォールで守られているからパッチを適用しなくてもいい、という考え方は通用しないという。「もはや無菌室は存在しない」(岩井氏)。
これはまた、PCの持ち込みという事態をあらかじめ想定しなかったことにも起因する。さまざまな経路から「菌」が入り込むということを想定した上で、完全に押さえ込むことは無理でも、致命的なダメージを受けないような対策を用意し、対処することが重要になる。
残念ながら、あまり猶予はない。「海外の判例を見ていると、最近では、個人レベルではともかく、企業レベルでは“踏み台にされた”ことを理由に不正アクセスの責任を逃れるのは難しくなってきた」(岩井氏)といい、パッチの適用をはじめとするセキュリティ対策がますます必須になりつつあるとした。
同氏はまた、MSBlastから得られた別の教訓として、IDSの配置場所にも工夫が必要である点を挙げた。従来の教科書どおりの配置では、MSBlastのように爆発的にワームが増殖した場合にIDSの能力が追いつかず、対処しきれなくなる。このように管理者の手には負えなくなる事態を避けるために、「ネットワークセグメントごとに配置する」(岩井氏)ことも一案という。同氏はさらに別のあり方として、インライン型のIDS/IDPソリューションにも注目が集まっており、特にサービスプロバイダーなどではニーズが高まるのではないかとも述べている。
一連の対処の枠組みとなるのが、インシデントレスポンス体制だ。いざというときに迅速に事態を分析し、それに基づいて対処・連絡を行うとともに、後々に備えた証拠保全を行う。これはまた、同様の事態を再発させないための予防策・抑止策も含んだ枠組みでもある。脅威の内容にもいろいろあるが、インシデントレスポンス体制を作り上げる上では、リアルタイムで脅威を分析できるよう、情報を収集・検証できる仕組みを整えておくこともポイントになるという。
「セキュリティというと何かと“これが必要”“あれが必要”」と大げさになりがち。しかし大事なことは、自社にとっての最低限のライフラインを明確にし、それを確保することだ」(岩井氏)。
関連リンク
シマンテックラック[高橋睦美,ITmedia]
