– Tales From the Trenches 安全なインフラ管理 – Tales From the Trenches 平成15年11月6日
Steve Manzuik – S-S事業部 ディレクター スピーカー紹介 Steve Manzuik – S-S事業部 ディレクター Vulnwatch.Orgの設立者兼モデレーター Win2KSecAdvice メーリングリストの設立者 nmrc.Org(コンピュータ セキュリティ メーリングリスト)のメンバー 「Hack Proofing Your Network」の共著者 Open Web Application Security Project (OWASP.org)主要関係者 Open Source Vulnerability Database (OSVDB.org)主要関係者 www.nmrc.org
概要 セキュリティの現状 セキュリティにおける失敗 セキュリティを成功に導く秘訣
セキュリティの現状 脆弱性は常に存在する。 代表的な組織は、ネットワークおよびセキュリティ インフラに多額の投資をしている。 セキュリティ侵犯は、以前より高い割合で発生している。 過去に講じた対策では、現在のビジネスニーズに対応できない場合がある。 経営陣にセキュリティに関する警告をしても、2000年問題の延長としてとられがちである。 組織は、最新のセキュリティ装置にばかり頼ることをやめ、 実際にネットワークを安全にすることを優先すべきである。
世間一般の情報に だまされている! 世界中のファイアウォールや侵入検知システム(IDS)をもってしても、システムを完全に保護することは出来ない。 自社のインフラの全容を、完全に把握していない組織がほとんどである。 ファイアウォールの設定を強力に構成すると、日常の運用および生産性に支障を与える。 大抵の場合、組織におけるネットワークレベルでの侵入検知は、その効果が限られている。 セキュリティ問題を全て解決してくれる、魔法のようなブラックボックスやアプリケーションは存在しない。 セキュリティは、魔法ではない。
セキュリティにおける失敗 ファイアウォール 侵入検知システム(IDS) その他 ‐ 不名誉ともいえる発言
高価なロギングデバイス ファイアウォール 「ファイアウォールを設置しているから、侵入されない…」 「世界でもトップクラスのファイアウォール技術に投資しているから…安全だ。」 「外部への通信は、制御しなくてもいいのではないか?」 「ハッカーが内部にアクセスするには、ファイアウォールを通って侵入しなければならない…」 「ファイアウォールも、パッチをあてなければならないのか?」
高価かつ複雑な ロギングデバイス IDS 「IDSは、何も異常を検知しなかった…」 「あまりにもアラートが頻繁に通知されるので、機能を停止した…」 「“SHELLCODE x86 NOOP”の意味が解らなかったから、そのまま無視してしまった…」 「ISS(インターネットセキュリティシステムズ)が無理だと言っていたので…」 「このスイッチを監視できないってどういう意味…?」 「週末や祝日には、誰もコンソールを監視していない…」
その他の例 不名誉ともいえる発言 「テクノロジーを導入するうえで、パスワードはユーザーにとって、そのプロセスを困難にするものである…」 その他の例 不名誉ともいえる発言 「テクノロジーを導入するうえで、パスワードはユーザーにとって、そのプロセスを困難にするものである…」 「監査プロセスって、正確には一体何のこと…?」 「ファイアウォールや他のセキュリティ対策には、2万ドルも投資しているし、それらをテストするために2千ドルも費やした…」 「弊社にセキュリティ部署は存在しないが、サーバグループのJoeは、ハッカーだと聞いている。よって、彼が弊社のネットワークを保護してくれるだろう…」 「しかし、ベンダーからは何も聞いていないが…」 「しかし、それはローカルホストの問題で…」
これら全ては 何を意味するのか? 適切なセキュリティの体制は、人、プロセス、技術の三要素を全てバランス良く組み合わせて構成したものである。 多くの組織は、技術に依存しすぎたために、そのセキュリティ体制が脆弱になり、攻撃を受け易くなっている。
セキュリティを成功に導く 秘訣 「最も優れたセキュリティ インフラとは、 社員、ビジネスパートナー、ベンダー、 および顧客間で自由にネットワーク通信を行えるだけでなく、組織のビジネスニーズを最大限に満たすことができるものである。」
セキュリティを成功に導く秘訣 自分が抱いている懸念、不安、または疑問などを、ベンダーに巧みに利用されないようにすること。 情報セキュリティを向上するためには、大変な作業ではあるが、落ち着いて論理的に取り組むこと。 決して、“完全に”セキュア(安全)であると思わないこと。
セキュリティを成功に導く秘訣: 意識レベルの向上 どんなにセキュリティ対策を講じても、電子メールに添付されている悪質なファイルを開いてしまうだけで、全て水の泡になってしまう。 セキュリティに対する認識の低いユーザーは、組織にとって一番の脅威である。 管理者が知識不足な場合、適切な防御策を持たず、事前に対策を講じることが出来ない。
セキュリティを成功に導く秘訣: 資産の把握 セキュリティを成功に導く秘訣: 資産の把握 組織が保持する資産およびそれらの機能、目的を把握していない場合、どのようにしてそれら資産を保護するのか? 組織のビジネスを十分に理解せずに、どうして運用することが出来るか? データおよびシステムの識別は不可欠である。 大規模な組織は、リスクに基づいてセキュリティ対策に取り組まなければならない。
セキュリティを成功に導く秘訣: ホストセキュリティ セキュリティを成功に導く秘訣: ホストセキュリティ セキュア・ベースライン・コンフィグレーション – 安全なインフラを構築するための技術的原点。 既存の技術を利用して、アタック(攻撃)を阻止する。 デスクトップやサーバのサポートプロセスを改善し、長期のサポートコストを削減する。
セキュリティを成功に導く秘訣: 監視 監視をする際は、ネットワークレベルおよびホストレベルでの監視を論理的に組み合わせると、組織にとって有用な情報を得ることが可能である。 ログ管理は、組織にとって有益である。 技術そのものよりも、技術的な教育のほうが、何倍もの価値がある。 新しいデバイスがネットワークに追加された場合、それを知るべき人に確実に報告されているか? また、デバイスが取り外された場合はどうか?
セキュリティを成功に導く秘訣: 検証 脆弱性アセスメントにおける侵入テスト 侵入検知システム(IDS)機能の検証および微調整は不可欠。 ファイアウォールのルールおよびコンフィグレーションの検証は不可欠。 電話やワイヤレスデバイスの検証も忘れずに実行する
セキュリティを成功に導く秘訣: その他 明示的な信頼は危険である。 セキュリティを成功に導く秘訣: その他 明示的な信頼は危険である。 ほとんどの場合、ユーザが悪質な行為を行うことはないが、もしもの場合に備えた保護対策を講じなければならない。 電子メールの脅威を見落とさないこと。 ソーシャル・エンジニアリングの脅威を見落とさないこと。
特定のベンダーと取引のないセキュリティコンサルティング企業との、信頼関係を築く。 セキュリティを成功に導く秘訣: その他 特定のベンダーと取引のないセキュリティコンサルティング企業との、信頼関係を築く。 同規模または同業の他の組織の取り組み方法を観察する。
まとめ 質問の受付先 Steve Manzuik smanzuik@sidc.net steve@security-sensei.com