以下は, 実際にセミナーで講演された第一章〜第六章の要点を まとめたものである.
第一章では不正アクセスやセキュリティ対策, 検知方法といったものを 以下の表のように系統的に分類, 整理した.
手法(脆弱性) | 説明 | 抑 止 |
予 防 |
防 御 |
検 知 |
回 復 |
---|---|---|---|---|---|---|
実装上の弱点を利用 |
OS, サービスアプリ ユーザアプリのセキュリティホールや設定ミス等 |
△ | ◎ | ○ | ◎ | ※ |
運用上の弱点の利用 |
安易なパスワード パスワード等が漏れている ウィルス等 |
△ | ◎ | ○ | ◎ | ※ |
技術仕様上の弱点を利用 |
Flood系攻撃 ICMP, UDP 等成りすまし SMTP 成りすまし |
× | × | × | ◎ | ※ |
権限を乱用 |
業務上の目的以外に権限を行使 顧客情報の横流しなど |
◎ | × | × | ◎ | ※ |
概要 | ||
---|---|---|
抑止 | 脅威の発生そのものを押え込む. | 寄せつけない!! |
予防 |
脅威が発生しても ダメージとならないように脆弱性を無くし |
頑丈な扉 強固な鍵 |
防御 |
脅威が発生しても ダメージを受けないように防御する |
電気ショック 応酬・撃退 |
検知 | 脅威の発生もしくはダメージの発生を検知 |
被害を見付ける 侵入者を見付ける |
回復 | ダメージから回復する |
復旧 対処 |
検知方法 | 説明 |
---|---|
ネットワーク型 IDS | ネットワーク上に IDS を配置し, ネットワーク上を流れるパケットを監視する. これを一つネットワークセグメント内に配置することで, そのネットワークセグメントを流れるパケット全てを監視可能である. |
ホスト型 IDS | IDS をあるホストにインストールし, そのホストがやりとりするパケットを監視する. 当然, そのホスト以外がやりとりしているパケットの監視は出来ない. |
ホストログ | ホスト内で行われた作業を記録しているログ. アノマリ検知などに利用される. |
ファイアウォール | ファイアウォールを通過するパケットを監視する. |
※ IDS … | 『Intrusion Detection System』 の略で, 日本語に訳せば 『侵入 検知 システム』である. 役割はその名の示す通り, 外部からの侵入に対する通知 を行うシステムである. 詳しい説明は 5分で絶対に分かる IDS (@IT) などの資料を参考にしてもらいたい. |
※ アノマリ … | アルファベットで書くと『anomaly』 の略で, 日本語に訳せば 『変則』や『不規則』といった意味である. 例えば, 毎日朝09:00に出勤して夜17:00に退社するような A さんがいたとして, この A さんが夜中の 01:00 に会社のサーバで なんらかの作業を行うのは明らかに不自然である. こういった不自然な事態を『アノマリ』と言い, これを検出することも セキュリティ検知方法の一つとして有効である. |
※ ファイアウォール … | 組織内部のローカルなネットワーク (Intranet) と, その外部に広がるInternetとの間に、外部からの不正なアクセスを 防ぐ目的で設置されるルータやホスト, またはその機能的役割のこと. より一般的に言えば「信頼できる出来るネットワーク」と 「信頼できないネットワーク」間のアクセス制御をおこなうことである. 詳しい説明は 5分で絶対に分かる ファイアウォール (@IT) などの資料を参考にしてもらいたい. |
例 | |
---|---|
攻撃検知 | ポートスキャン, 不正ログイン, DoS 攻撃 |
侵入検知 | アカウント乗っ取り, ウィルス感染, バックドア |
第二章では, 実際に如何にしてセキュリティ監視を行うのが 最も効果的であるのかについて述べる.
セキュリティ監視と言えば ネットワーク型IDS が想像される ことが多い. 実際に, ただネットワーク型IDSを導入して 「セキュリティ監視してます!!」という場合は多い.
しかし, ただネットワーク型IDSでは誤報も多く, 一つ一つの警告の重要度がわからないこともあり, 効果的な対処が出来ない場合が多い.
よって, IDS等の導入を考える前に以下の 2 点を行うことが 効果的なセキュリティ監視につながる.
主にファイアウォールを用いてネットワークを小部屋(セグメント)に 分断する. これは以下のような要素によって分断できる.
例 | |
---|---|
人 | お客さま, 社員, 経営者, 管理者, 攻撃者... |
情報カテゴリ | 関係者以外機密情報, 社外秘情報, 顧客情報, 公開情報 |
機能 (サービス) | 一般向け, 特定のお客さま向け, 社員向け |
適用できる規則 | 就業規則, 社内ポリシー, 評価基準 |
物理的条件 | 物理的セキュリティ状態 |
このような分断を行うことにより, セキュリティ監視を効率的に 行うことが出来るようになる. (詳しいことは以下参照).
上記で分断したセグメントごとにログに対するポリシーを決める. これにより, 効果的なセキュリティ監査ができるようになる.
例なお, これらが効果的に機能するためには, セグメントごとの ネットワークポリシーがちゃんと決まっている必要があるので注意.
ここまでは「いかに効率的にセキュリティ監視を行うか」といったことに ついて述べた. 以下では「セキュリティ監視」からもう少し広げて「セキュリティ対策」 に関して考えてみる.
「セキュリティ対策」≠守ることセキュリティ対策というとすぐに思い付くのは「守ること」であろう. アプリケーションの脆弱性の除去やファイアウォール, ウィルス対策やアクセス制限といったものが具体的な策として 挙げられるだろう.
しかし, 実際には完全に防御することは不可能であり, 必ずなんらかの事件は起こり得る. そのため, ただ「守る」ことに終始しても労力が莫大にかかるだけで 良い結果は得られない.
→ 事件が起こった後のことも考えることが重要!!
セキュリティ対策 = 「リスク」の管理上記の理由から, なんらかの危険な事態に陥った時のことも考える必要がある. 具体的には以下の 2 点をおこなう必要がある.
まず, どういった事態が深刻であり, どういった事態が軽微かを 分析しておく必要がある. これによって対策のバランスをとることが可能になる. 逆にこれを行わないと事態の深刻度に応じた対応がとれず, 非常に深刻な事態を見過ごしたり, 軽微で些細な事態に振り回されることになる.
例例えば企業の場合,
なぜなら, 自社に関することは自己責任でリカバリーが可能だが, 他人に迷惑をかけたことに関してはリカバリーが不可能であり, 社会的信用を失うことにもつながるからである.
B. 事件発生後の回復方法(レスポンス)の準備どんなに安全性を高めても事件は起こり得る. そのことを考慮すると, 事件に対してどういった対応をとるのかということも重要である. また, 回復にどれだけのコストがかかるのかということを考慮すると 自ずと深刻度の軽重がわかってくるはずである. 実際に回復方法までを考慮して始めて「セキュリティ対策」と言える.
セミナーでは, 第四章で実際にログの内容を紹介された. 具体的にはポートスキャンや CodeRed によるアクセスによって どのようなログが残るかといったことが示されたが, ここでは割愛する.
「インシデントレスポンスチーム」とはコンピュータセキュリティインシデント (以下, インシデント) が発生した際にその対応を行うグループである. 具体的な活動は以下の 4 点である.
なお, インシデントレスポンスチームが取り扱う コンピュータセキュリティインシデントには以下のような特徴がある.
コンピュータセキュリティインシデントに対する A) レスポンスの原則と B) 具体的な例を挙げる.
A. インシデントレスポンスの大原則説明 | |
---|---|
被害や犯罪が顕在化している |
改竄, 情報漏洩
他(内, 外)を攻撃 停止, 誤作動など |
侵入されているが被害はまだ |
侵入されているが被害発生はまだ
(まだ, 間に合う) |
侵入されてもおかしくない
(被害が出てもおかしくない) |
脆弱性がある状態で運用
強烈なウィルス発生情報・攻撃情報 ※ 風評・外部からの指摘に関して要注意 |
実害の無い
調査行動や攻撃 |
通常 IDS 等で検知する攻撃や調査 |
規則やポリシーの違反行為 |
業務上の目的以外に権限を行使
顧客情報の横流し等 |
アノマリ行動 | 権限の行使状態のアノマリ |
説明 | |
---|---|
自己の監視で検知 | 自組織の監視で検知 |
内部通報 | 自組織の人間が(たまたま)検知 |
外部通報(一般非公開) | 他組織の人間が通知し, 個別に通知・連絡 |
外部通報(一般公開) | 他組織の人間が検知し, 公開しながら通知・連絡 |
報道 | TV, 新聞, ネットニュースなどの報道 |
インシデント・カテゴリ | 検知方法 | |||
---|---|---|---|---|
自己監視 | 内部通報 | 外部通知 | 報道 | |
被害や犯罪が顕在化している | ○ | ○ | ○ | ○ |
侵入されているが被害はまだ | ○ | △ | × | × |
侵入されてもおかしくない | ○ | ○ | ○ | ○ |
実害の無い調査行動や攻撃 | ○ | × | × | × |
規則やポリシーの違反行為 | ○ | ○ | × | × |
アノマリ行動 | ○ | ○ | × | × |
基本レスポンス | |
---|---|
被害や犯罪が顕在化している | 応急処置 → 緊急対応 → 本格対応 |
侵入されているが被害はまだ | 応急処置 → 緊急対応 → 本格対応 |
侵入されてもおかしくない | 緊急対応 → 緊急予防対策もしくは警戒体制 |
実害の無い調査行動や攻撃 | 傾向分析 → 予防対策 |
規則やポリシーの違反行為 | 抑止対策 |
アノマリ行動 | 抑止, あるいは防御対策 |
![]() |
||||
▲ 2002 年度座学編へ | 作成日:2002/12/13(森川靖大) | Copyright © 2002 EPnetFan | ||
![]() |