PART3 「漏えい検知/犯行のトレース」の実施方法「性悪説」による機密・個人情報漏えい対策 第2部(1/4 ページ)

ここでは、内部情報に対する不正なアクセスを防御する方法の次のステップとして、いかに早く情報の漏えいを検知するか、そして漏えいのプロセスをどのように追跡すればよいかを解説する。

» 2005年02月22日 09時00分 公開
[園田法子、橘田明雄、卯城大士(チェック・ポイント・ソフトウェア・テクノロジーズ),N+I NETWORK Guide]

N+I NETWORK Guide 7月号(2004年)より転載しています

セキュリティ管理者は何をしなければならないか

 セキュリティ管理者の仕事は、これまで紹介してきたような不正アクセスに対する防御策を検討・導入して終わりとはならない。防御策を実施していたとしても不正アクセスや、その試み自体がなくなるわけではないからだ。内部ユーザーのPCがウイルスやワームへ感染し、システムに影響を及ぼしてしまったり、何らかの操作ミスなどにより無意識のうちに不正アクセスが行われてしまうといった、性悪説に立った不正アクセスの可能性を考える必要がある。また、未知の攻撃によってシステムが影響を受けてしまう可能性もあるだろう。管理者は、システムのセキュリティが正常に保たれるよう、管理・運用していかなければならないのである。

 それでは、管理者は何をすればよいのであろうか?

 管理者は、システムやネットワークの状態を把握し、不正アクセスが発生していないか、不正アクセスの兆候はないかなどを監視する必要がある。何らかの不正アクセスの兆候があるのであれば、詳細な調査を行い、実際の問題に発展しないようにしなければならない。また、実際に何らかの不正アクセスが発生してしまった場合には、その不正アクセスを正確に認識して原因を特定し、そして二度と同じことが起こらないような根本的な対策などを行えるように準備をしておかなければならない。さらに、最新のセキュリティ情報に注意を払い、システムが新たな脅威による影響を受けないか確認しておく。必要であれば防御策の見直しを行い、新たな脅威への対策を行わなければならない。

 このように管理者は、「防御策の検討」→「防御策の実施」→「不正アクセスへの対応」→「防御策の見直し」→「新たな防御策の検討・実施」といったシステムを常にセキュアに保つサイクルで管理・運用することが求められるのである(図1)。

図1 図1■セキュリティ管理サイクル

さまざまなログを使って不正アクセスを分析する

 セキュリティシステムの管理・運用において、重要な役割を果たすのが「ログ」である。システムが正常に動作していることや、システムに対して実施しているさまざまな防御策が正常に動作していることを確認できる。また、各システムやネットワークなどのログを確認することで、通常どのようなアクティビティがあるのか(誰がどこからどのくらいアクセスしているのかなど)を把握する手助けをしてくれる。

 不正アクセスやその試みが行われた場合、通常とは異なるアクティビティが発生することが多い。したがって、通常のアクティビティとの「違い」を見つけられれば、不正アクセスを検知することもできる。さらに、何か問題が発生した場合であっても、ログを解析することで問題点を明確にし、また、ログを追跡することによって問題点の根本原因を究明していくことが可能になる。もちろん、これらを行うには、必要なログが正確に取得されていなければならない。

 それでは、どのようなログを取得すればよいのかを見ていこう。ログは1カ所で取得すればよいというものではなく、多段的にさまざまな場所で包括的に取得する必要がある。ログ取得のポイントは次の4カ所である(図2)。

図2 図2■ログの取得場所
  1. 物理的なアクセス・ログ
  2. アプリケーション・ログ
  3. ホスト・ログ
  4. ネットワーク・ログ
       1|2|3|4 次のページへ

© Copyright 2001-2005 Fawcette Technical Publications

注目のテーマ