近年、情報漏えいなどのインシデントについて報じられることが多くなりました。
そこで多くのセキュリティ・ソリューションが出てきており、ユーザーとしては何から手を付けてるべきなのかよくわからないのではないかと思います。
そこで、どのようなことを対策として考えればいいか考察してみます。
漏れてはいけない情報の流出
インターネットの普及と情報の電子化により、多くの情報が漏えいする可能性は一昔前と比較して高くなっています。ここでは広く一般的な対策方法について考えてみます。
故意(悪意)ではない場合
電子メールの普及に伴い、間違って違う相手にメールを送信したことがある人は多いと思います。
またスマートフォンやクラウドサービスなどの普及などにより、思わぬところに情報をアップデートすることもあると思います。
故意ではなく間違って受け取った人に対しては重要度が低い情報も多い可能性があるため故意ではない情報漏えいはそれほど問題にならなくエンタープライズではさほど問題はないのかもしれません。
どちらかといえばこちらのほうの問題は何気なくブログやtwitterで書いたものが、ある日突然注目を浴びて、炎上するといったことが問題なのかもしれません。
エンタープライズの場合故意でない場合ではユーザーの権限管理、メールゲートウェイ、情報の管理がある程度行われていればある程度の事故は防げるのではないかと思います。
悪意がある場合
悪意がある情報流出は二つの側面があります。一つは内部犯行、そしてもう一つは外部犯行です。
最近だと標的型攻撃と呼ばれている手法がありますが、これは悪意のない内部の人を利用して情報流出をさせるといった手法になります。
悪意による情報流出は防ぐのは非常に難しいです。なぜなら犯人はどこにどのような情報があるかすでに知っているためです。また、管理者に近い人ほどさまざまな対策を潜り抜ける手法も知っているため、一つだけの対策では対応しきれないのでいくつかの対策を考えるのが現実的だと思います。
いくつかある対策方法
ファイアウォール
外部からの攻撃を防ぐためにファイアーウォールを利用して必要な通信以外を遮断します。ファイアーウォールはIPアドレスやネットワークポートなどの条件に合ったものの通信を許可するものですが動的に問題のある通信を検知するIDSとその問題のある通信を遮断するものにIPSがあります。
システム監視
一般的によく知られているものとしてはアンチウィルス製品があります。最近、Windowsだと標準的にそのような製品が入っています。アンチウィルス製品ではシステムを常時監視し問題のある行動があればウィルスやマルウェアを排除しようとします。
過去に発見されたウィルスをもとにしたパターンから疑わしいものを発見します。まだ発見されていないウィルスについても開発者が想定したものであれば事前に発見されるかもしれません。
これらの方法の問題点は過去に全く存在せず、開発者が想定していないウィルスを発見することが難しいこと、開発者が想定していたものが実は全然問題がないものだった場合、誤動作を起こす可能性があることです。
またシステム監視の方法としてはサーバーや端末の状態と動作を検査し問題のある動作を検知するSIEMなどだけでなく、ネットワーク監視、端末の脆弱性監視によりシステムの問題点を見つけ出すことにより対策を助ける製品があります。
ログ確認
なにか問題が発生した時に、誰がいつ何をしたか確認する必要があります。
イベントのログだけでなく、設定変更など誰が行ったか確認できることが望ましいです。
Linux/ Unix でテキストコンソールで運用している場合は、各ユーザーが動かしたコマンドの確認が行えるようになっています。
Windowsの場合は基本的にGUIなので、キーボードロガーを使うよりはそのセッションを丸ごと録画する製品があります。
権限管理 -IDアクセス管理
エンタープライズではすべてのユーザーに管理者権限を与えることはありません。必要な人が必要なアプリや設定が行えるように設定することが必要です。
Windowsの場合ADの設定で大まかな設定が行えるようになっています。それによりあるアプリを利用できるユーザーの制限が行えるようになっています。
システムの特権IDの利用をコントロールする製品があります。たとえばあるユーザーが特権IDを利用する必要がある場合、申請し許可されて初めて特権IDでアクセスができるようなシステムがあります。
ユーザーごとにアクセスできるシステムをコントロールすることも重要です。
セッション暗号化
セッションの中の情報を盗まれた場合、その情報を元に悪用されることがあります。
たとえばインターネットバンキングでセッションハイジャック、マン・イン・ザ・ミドルといった手法を使われた場合、ワンタイムパスワードを利用していても犯人は入力されたワンタイムパスワードの値をみて乗っ取ることができるようになります。
それを防ぐためには、本当に重要なデーターはクライアントからサーバーまで暗号化することが望ましいです。
VPNの場合終端機器までの暗号化ですが、内部からの攻撃には無力です。また、内部者の犯行でなくても外部から内部システムに侵入されている場合は
メールフィルタリング 、Webフィルタリング
- フィッシング対策
パスワードを盗むために本当に見せかけたWebページにアクセスさせ、そこでパスワードを盗む手法があります。多くの場合それらの行動はメールからくることが多いです。
技術的にはメール・フィルタリングで怪しげなメールをすべて届かせないようにするか、万が一そのメールからアクセスする場合でもプロキシーなどを利用して、問題があるサイトとの通信を遮断することで一定の防御はできると思います。ただしこれらの対策をしてもどうしてもすり抜ける場合があります。
各ユーザーに対して、怪しいメールはよく読んで、いたずらにメールの中のリンク先をクリックしないことも重要です。
まとめ
システムのセキュリティを強化したい場合、様々な攻撃手法から守る場合、一つの方法だけで守れることは難しいです。
そのため、複数の手法を用いてシステムを防御することが必要になります。次回以降各項目ごとに説明をします。