インシデント対応のポイントは「マインド」と「事前の準備」（1/2 ページ）

インシデントへの対応をスムーズに進めるには事前の心構えと準備が大事――JPCERT/CCとJPNICが共同で開催した「Security Seminar 2004」からはそういった教訓が読み取れる。

[高橋睦美，ITmedia]

　「つまらないようだが結論としては、『マインド』を高く保つことが大事。インシデントが発生したときに最後に頼れるのは、個々の人間のマインドだ」――9月3日、JPCERT/CCとJPNICが共同で開催した「Security Seminar 2004」において、JPCERT/CCの代表理事を務める歌代和正氏はこのように語った。このセミナーは、オペレータ初心者を対象に「知っておくべきインシデントハンドリングとは」をテーマに行われたもの。10月4日〜5日には、実際に現場に立っているオペレータ向けに「知っておくべき脆弱性の基礎知識」と題したセミナーも開催される。

　改めて申し述べるまでもなく、ITのインフラ化と複雑化、一般への普及といった変化を背景に、ワーム感染やシステムダウン、顧客情報の漏洩といったセキュリティインシデントの数も増加している。今回開催されたセミナーは、そうしたインシデントに対処するために必要な知識や技術、経験を伝えていくことが目的だ。

　「ただし」と歌代氏。「ただ知識と技術があればいいかというと、そうでもない。まず常識や道徳心、責任感といった社会人として当たり前の心得を持ってほしい」（同氏）。

　さらに歌代氏は、不測の事態に組織がどう対処すべきかについて論じた書籍『不確実性のマネジメント』を引き合いに出し、マインド（しいて日本語にするならば「やる気」）を高めることがセキュリティインシデント対策においても重要だと述べた。

　「現在のインターネットにはどんどん新たな技術が登場し、新たな脅威が生じている。その中で、今まで予測もしなかった不測の事態も生じるだろう。それにどのように対処するかは、個々のエンジニアのマインドにかかってくる」（歌代氏）。

　例えば、「どうやら普段とは異なることが起きている」という勘を働かせるには、背景に相応の知識が必要だし、マインドを保ち続けておくことが必要だ。「何のためにセキュリティが必要か」「どんな危険が存在し、それに対し何をなすべきか」「セキュリティの知識をどう製品やサービスに適用していくか」といった意識を常に持ち続けていくことが大事だと、歌代氏は強調する。

設計時からセキュリティを

　続くセミナーでは、「インシデントを未然に防ぐためのネットワーク設定」「いざインシデントが発生した際の対処」、さらに「インシデント後の復旧」の各ステップがそれぞれ解説された。

　日本レジストリサービスの松浦孝康氏は、「インシデントを未然に防ぐ」と題した講演の中で、ルータやスイッチ、ファイアウォールや不正侵入検知システム（IDS）の持つ機能と、それらにふさわしい設定／運用法を紹介した。

　いずれにしても前提となるのは、「最近ではさまざまなセキュリティ製品が提供されているが、これらを使えば安心かというと、答えは『No』。適切な場所に配置し、正しく運用することが大事だし、最初の設計の段階でセキュリティを考慮しておくことも大事」（同氏）。はじめから攻撃者に付け入る隙を見せず、万一被害が起きたときにそれを局所化できるよう留意する。そして、通信の記録や監視を行っておくことも意外と重要だという。

　松浦氏が触れたネットワーク設計の中で興味深かったのは、「まずインターネット接続が安定して維持されることを考慮すべき」という点だ。エッジルータ（インターネットと企業の境のルータ）は、外部からの攻撃を最初に受け、DoS攻撃の矢面に立たされる部分でもある。よって、パケットの転送という基本的な役割を果たしつつ、必要に応じてフィルタをかませ、攻撃パケットを廃棄するなどの対応が必要だ。

　この際ポイントとなるのは、冗長化構成をとっておくこと。それにISPとの間で協力体制を確立しておくことだ。特に、「従量課金制の場合、DoS攻撃を受けることで（トラフィックが増加し）お金の問題が発生することもある。どういった協力が得られるのか、事前にISP側に確認しておくべき」（松浦氏）。

　冗長構成をとる上では、ネットワークを構成する機器やソフトの多様性も効いてくるという。「複数のベンダーの製品を用い、多様性を確保しておけば、何か問題が発生しても被害を局所的なものにとどめ、他のところには影響が及ばないようにできる」（松浦氏）。もちろんこの場合、事前に機器どうしで相互接続性の検証が必要になるし、管理負荷も増える。それでも「有効な方法だと思う」と同氏は述べた。

　また、最近流行の「多層的な防御」という考え方に通じる部分があるが、システムの各要素、特にファイアウォールを多段的に配置することで、「仮にフロントエンドのところ（＝Webサーバ）がやられても、最深部（＝データベースサーバなど）に達する前に食い止めることができる」（松浦氏）。それでもなお残るDoS攻撃の問題については、「ディザスタリカバリの意味も含め、広域分散が有効」ということだ。

　さらに松浦氏は、会場からの質問に答えてこんなコメントも残している。「自分ではうまく設計できていると思っていても、所詮は『人』のやることなのでミスはある」。そのミスを防ぐためにも、ペネトレーションテストや手作業によるチェックは重要だという。

復旧作業のポイントは「事前の準備」

　「実は、今日もインシデント対応に追われて寝不足」だというNTTデータセキュリティビジネスユニットの西尾秀一氏は、インシデントに対する緊急対応を終えた後の、復旧／回復作業を進める際のポイントを紹介した。

　同氏は復旧手順を大きく6つのステップに分けて解説したが、いずれにも共通するのは「事前に対応策や手順を定めておくこと」。たとえインシデントが起こらずとも、いざというときに備え、普段からルールや仕組みを整備しておくことがポイントになりそうだ。