ITmedia エンタープライズ

ニュース
2004/03/15 22:28 更新

朝から夕までセキュリティ三昧、MSの無償セキュリティトレーニング

全国各地でツアー展開されるマイクロソフトの無償セキュリティトレーニング「SECURE SYSTEM Training Tour 2004」。ITプロ向けの1コースはすでに先週から開講した。朝から夕方まで、みっちりセキュリティ対策を学習できる。

　3月9日から6月末にかけて全国各地でツアー展開されるマイクロソフトの無償セキュリティトレーニング「SECURE SYSTEM Training Tour 2004」。ITプロフェッショナル向け2コースと、デベロッパー向けの計3コースが予定されている。ITプロフェッショナルの1コースはすでに先週から開講した。朝から夕方まで、みっちりセキュリティ対策を学習できる。参加者には疲労の色も見えたが、積極的に質問する人も見られ、有用な場となっているようだ。

　「セキュリティの基礎概念の習得」という基礎講座からセミナーはスタート。同講座では、セキュリティリスク管理の統制（SRMD）プロセスや「多層防御」の考え方といった、基礎を学べる。

　セキュリティやインシデントといった用語の確認を行った後、セキュリティ対策はリスク管理である、という観点からリスク算出の手法を紹介した。リスクに基づいた対策を行うための第一ステップとして紹介されてたのが、「評価」「開発と導入」「運用」で構成されるセキュリティリスク管理の統制（SRMD）プロセス。リスク管理を行っていくには「このプロセスの繰り返しになります」と、トレーナーの山口希美氏（グローバル ナレッジ ネットワークス マイクロソフト認定eTECトレーナー）。評価プロセスで、資産を査定しセキュリティリスクを分析して、採るべき対策の優先順位が明確化できれば、少ないコストとリソースの中でも、何を守るべきか見えてくる。

　資産評価に関して、ハード、ソフト、文書などのカテゴリごとで資産を洗い出し、損害だけでなく、維持のコストも含めた形で10段階のランク付けを行うことをマイクロソフトでは推奨している。そして脅威に関しては、STRIDEモデルと呼ばれるフレームワークを利用してセキュリティ上の脅威を特定する。同社が定義するSTRIDEモデルとは、「Spoofing（なりすまし）」「Tampering（改ざん）」「Repudiation（否認）」「Information disclosure（情報の漏えい）」「Denial of service（サービス拒否）」「Elevation of privilege（特権の昇格）」の6種に脅威分類したもの。このようなモデルを利用して、インシデントとして何が想定されるのか、リスクを識別していく。

　STRIDEモデルにより脅威の予測ができれば、脅威にランク付けを行う。紹介されたDREADと名付けられた手法では、「Damage（損害）」「Reproducibility（再現可能性）」「Exploitability（悪用される可能性）」「Affected Users（影響を受けるユーザー）」「Discoverability（発見可能性）」の5つの領域を10段階で評価する。この5領域で行った格付けを平均化すれば、総合的な脅威ランクが算出できる。この脅威ランクに資産の優先順位を掛け算すれば、リスクの度合いを判断できるようになる。

　「リスク分析を行えば、限られたコストのなかでどの対策を優先すべきが分かります。重要なのは、リスクを認め、事前対策にするもの、事後対策にまわすものを明確にしておくことです」と、山口氏。

　リスクが分かれば、その情報で緩和や緊急時対応といった計画を策定し、セキュリティポリシーにまとめていく。ポリシーに含めておくべきものとして、「構成管理」「更新プログラムの管理」「システムの監視」「システムの監査」「運用ポリシー」「運用手順」が挙げられている。

多層防御の考え方

　マイクロソフトでは「多層防御」というセキュリティフレームワークを体系化。規定やユーザーの意識といった部分から、物理セキュリティ、そして境界部、内部ネットワークなどといった技術的セキュリティがこのフレームワークでは定められている。「1カ所のセキュリティ侵害が全体に及ばないようにするために、各レイヤで異なる対策を行う」ためだ。

　もっとも難しいのが、意識レイヤに位置づけられる人的リソースのセキュリティだろう。山口氏も「一般に、セキュリティを意識しながら日常業務をこなしている社員はごくごく少ない」「意識が低い人は、ソーシャルエンジニアリングに簡単にだまされてしまう」という。文書として規定し周知していく必要があるが、実施には何らかのユーザー教育を実施する必要があるという。しかも、生産性と制御のバランスをとりながら。

　物理セキュリティも重要な要素だ。「どのようなシステムも物理的にアクセスされてしまえば、セキュリティはないようなもの」という。米国ではミラーリングされたHDDをそのまま盗んでいってしまうといったケースも紹介された。サーバルームは施錠し、重要なものであれば警備員も配置する。不必要なドライブは外し、接続されているルータやスイッチにも物理的安全を配慮する必要がある。

　境界部レイヤの保護では、リモートユーザーを含めてファイアウォールや、VPNといった技術が使える。内部ネットワークでは、ハブをやめてスイッチによるセグメント化を行う、通信はIPSecで暗号化するといったことを紹介。ホストレイヤのセキュリティについては、その後の講座でActive Directoryのグループポリシーを活用した手法が詳しく紹介されている。

[堀 哲也，ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.