ニュース
» 2005年03月14日 21時40分 公開

セキュリティベースラインの確立と日々の確認を呼びかけるシマンテック

シマンテックが3月11日に行ったセミナーでは、拠点ごとにばらばらになりがちなセキュリティベースラインを平準化し、適宜チェックしていくことの重要性が指摘された。

[ITmedia]

 「『ISMS(情報セキュリティマネジメントシステム)認証を取得し、情報セキュリティ体制を確立した』という会社でも、実際にはばらつきがあることが多い。水準を満たしているのは本社だけで、他の拠点や部署では守られていなかったり、システムレベルにまで落とし込まれていないことがある」――。

 シマンテックのコンサルティングサービス部でシニアマネージャを務める松田義巳氏は、3月11日に行われたセミナー「Symantec Information Security Management Day」の中でこのように指摘し、全社的に均一なセキュリティベースラインを構築し、それを維持していくことが重要だと述べた(関連記事)

ばらばらなセキュリティレベル

 ISMSの確立においては、守るべき資産を決め、それを保護するための多面的なセキュリティ対策を取り、それらがうまく運用されているかどうかを確認し、さらなる改善につなげていくサイクルを回し続けていくことが重要だ。

 しかし現実はどうか。同じ企業でも拠点ごと、部署ごとにセキュリティレベルがばらばらで全体としてのセキュリティレベルが低下しているケースもあるという。

 しばしば言われるとおり、セキュリティは「鎖の輪」のようなもの。どこか1つでも弱いところがあれば、それが企業全体のセキュリティレベルを決定してしまう。社内でのワームまん延をはじめ、さまざまなセキュリティインシデントの原因をたどっていくと、そうした「弱い部分」に起因することが多い。

 ではなぜ、同じ企業や組織の中でもセキュリティレベルにばらつきができてしまうのだろうか。松田氏によると、それは、「全体方針」であるセキュリティポリシーを「手順」レベルにまで落とし込んだ「セキュリティベースライン」の欠如、そしてそのベースラインが適切に実行されているかどうかを確認する「監査」作業の欠如にあるという。

松田氏 ISMSを確立するにはベースラインのばらつきをなくしていくことが重要だと述べた松田氏

 たとえば「システムを統括する側が『ISMSをやりますから、アクセス制御をちゃんとやってください』と言ったとしても、現場としては『では、アクセス制御をどこまでやればちゃんとやったことになるのか?』となる」(松田氏)。そのずれをなくすには、実際にシステムに落とし込める具体的な項目を定めた「ベースライン」が必要だという。

ベースラインの確立と確認がポイントに

 ただし、ベースラインといっても「内容はそんなに難しいことではない。いずれもWindowsの標準機能で実施できること」(松田氏)という。

 たとえばパスワードならば「最小文字数は8文字」「有効期間は90日」といった、ごくありふれたルールが、ベースラインに該当する。大事なことは「それを全社的に取りまとめ、守っていくこと」(同氏)。

 しかし、管理者はここで再び課題に直面することになる。企業システムには数十台、数百台もの端末が存在しており、それら1台1台についてベースラインが守られているかどうかを確認するのは、相当な作業量になるし、時間もかかる。1つひとつは単純とはいえ、Windowsシステムならば「ベースラインの項目数は50個ぐらいはある」(松田氏)からだ。

 そのうえ、システムというのは静的なものではなく、常に変化する。新たなソフトウェアが導入されたり、それに伴って設定が変更されたりと、日々変化することのほうが多い。その中で、ベースラインが守られているかどうかをチェックしようにも「人手でやろうと思ってもできない。そもそも人がやる仕事ではないだろう」と松田氏は指摘する。

 そこで同氏が提案する解決策の1つが、ツールによる監査作業の自動化だ。

 たとえば、シマンテックのポリシー監査システム「Symantec Enterprise Security Manager(ESM)」では、アカウントやパスワード、暗号化やパッチなどの監査項目に沿って、当該端末の設定がポリシー/ベースラインに適合しているかどうかをチェックすることができる。

 はじめにエージェントソフトを端末にインストールする必要があるが、「あとは自動的に監査作業が行われるため、人手はいらないし、時間も短縮できる。結果として監査業務に要するコストを大幅に削減できる」と松田氏は述べた。HTML形式でのレポートも出力できるため、「Before」と「After」を比べて効果を測定することも容易という。

 「監査結果が思わしくないとき、導き出される判断は2つある。システムがベースラインに合致していないか、あるいはベースラインが現実のシステムに合っていないかだ。日々のシステム環境の変化と監査の結果を照らしあわせながら判断を下し、必要に応じてポリシーに変更を加えていくことを繰り返すことによって、組織全体のセキュリティレベル向上が実現できる」(同氏)。

 松田氏はさらに、シマンテックのコンサルティング部門が提供する「ポリシー監査サービス」や「サーバコンプライアンス監査サービス」を通じて、顧客のベースラインチェック作業を支援していくと述べ、セミナーを締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ