セキュリティベースラインの確立と日々の確認を呼びかけるシマンテック
シマンテックが3月11日に行ったセミナーでは、拠点ごとにばらばらになりがちなセキュリティベースラインを平準化し、適宜チェックしていくことの重要性が指摘された。
「『ISMS(情報セキュリティマネジメントシステム)認証を取得し、情報セキュリティ体制を確立した』という会社でも、実際にはばらつきがあることが多い。水準を満たしているのは本社だけで、他の拠点や部署では守られていなかったり、システムレベルにまで落とし込まれていないことがある」――。
シマンテックのコンサルティングサービス部でシニアマネージャを務める松田義巳氏は、3月11日に行われたセミナー「Symantec Information Security Management Day」の中でこのように指摘し、全社的に均一なセキュリティベースラインを構築し、それを維持していくことが重要だと述べた(関連記事)。
ばらばらなセキュリティレベル
ISMSの確立においては、守るべき資産を決め、それを保護するための多面的なセキュリティ対策を取り、それらがうまく運用されているかどうかを確認し、さらなる改善につなげていくサイクルを回し続けていくことが重要だ。
しかし現実はどうか。同じ企業でも拠点ごと、部署ごとにセキュリティレベルがばらばらで全体としてのセキュリティレベルが低下しているケースもあるという。
しばしば言われるとおり、セキュリティは「鎖の輪」のようなもの。どこか1つでも弱いところがあれば、それが企業全体のセキュリティレベルを決定してしまう。社内でのワームまん延をはじめ、さまざまなセキュリティインシデントの原因をたどっていくと、そうした「弱い部分」に起因することが多い。
ではなぜ、同じ企業や組織の中でもセキュリティレベルにばらつきができてしまうのだろうか。松田氏によると、それは、「全体方針」であるセキュリティポリシーを「手順」レベルにまで落とし込んだ「セキュリティベースライン」の欠如、そしてそのベースラインが適切に実行されているかどうかを確認する「監査」作業の欠如にあるという。
ISMSを確立するにはベースラインのばらつきをなくしていくことが重要だと述べた松田氏たとえば「システムを統括する側が『ISMSをやりますから、アクセス制御をちゃんとやってください』と言ったとしても、現場としては『では、アクセス制御をどこまでやればちゃんとやったことになるのか?』となる」(松田氏)。そのずれをなくすには、実際にシステムに落とし込める具体的な項目を定めた「ベースライン」が必要だという。
ベースラインの確立と確認がポイントに
ただし、ベースラインといっても「内容はそんなに難しいことではない。いずれもWindowsの標準機能で実施できること」(松田氏)という。
たとえばパスワードならば「最小文字数は8文字」「有効期間は90日」といった、ごくありふれたルールが、ベースラインに該当する。大事なことは「それを全社的に取りまとめ、守っていくこと」(同氏)。
しかし、管理者はここで再び課題に直面することになる。企業システムには数十台、数百台もの端末が存在しており、それら1台1台についてベースラインが守られているかどうかを確認するのは、相当な作業量になるし、時間もかかる。1つひとつは単純とはいえ、Windowsシステムならば「ベースラインの項目数は50個ぐらいはある」(松田氏)からだ。
そのうえ、システムというのは静的なものではなく、常に変化する。新たなソフトウェアが導入されたり、それに伴って設定が変更されたりと、日々変化することのほうが多い。その中で、ベースラインが守られているかどうかをチェックしようにも「人手でやろうと思ってもできない。そもそも人がやる仕事ではないだろう」と松田氏は指摘する。
そこで同氏が提案する解決策の1つが、ツールによる監査作業の自動化だ。
たとえば、シマンテックのポリシー監査システム「Symantec Enterprise Security Manager(ESM)」では、アカウントやパスワード、暗号化やパッチなどの監査項目に沿って、当該端末の設定がポリシー/ベースラインに適合しているかどうかをチェックすることができる。
はじめにエージェントソフトを端末にインストールする必要があるが、「あとは自動的に監査作業が行われるため、人手はいらないし、時間も短縮できる。結果として監査業務に要するコストを大幅に削減できる」と松田氏は述べた。HTML形式でのレポートも出力できるため、「Before」と「After」を比べて効果を測定することも容易という。
「監査結果が思わしくないとき、導き出される判断は2つある。システムがベースラインに合致していないか、あるいはベースラインが現実のシステムに合っていないかだ。日々のシステム環境の変化と監査の結果を照らしあわせながら判断を下し、必要に応じてポリシーに変更を加えていくことを繰り返すことによって、組織全体のセキュリティレベル向上が実現できる」(同氏)。
松田氏はさらに、シマンテックのコンサルティング部門が提供する「ポリシー監査サービス」や「サーバコンプライアンス監査サービス」を通じて、顧客のベースラインチェック作業を支援していくと述べ、セミナーを締めくくった。
関連記事
- 「ISMS確立の鍵は『サイクル』にあり」とシマンテック
- シマンテック、個人情報保護法に対応したWindowsサーバ向け監査コンサルを提供
- セキュリティ業界には「パラダイムシフトが必要だ」
- Symantec Information Security Management Dayレポート
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。