Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
≫  お問い合わせ
日本HPホーム
製品とサービス  >  ソフトウェアとOS  >  HP OpenView  >  HP OpenView News

HP OpenView News 【36-02】
いまさら聞けないセキュリティ -3-


Vol.36 (2006.03.16発行)

HP OpenView News TOP

Vol.36 TOP

【36-01】
HP OpenViewのビジネスパートナー様ご紹介 第11弾

【36-02】
いまさら聞けないセキュリティ -3-

【36-03】
第一線の営業がご紹介するHP OpenViewネットワーク管理の提案ポイント

【36-04】
Webアプリケーション管理製品 HP OpenView Transaction Analyzerのご紹介

【36-05】
Configuration Manager :セキュリティパッチ管理製品追加と導入事例のご紹介

【36-06】
HP OpenViewで実現するヘルプデスク業務からパスワードリセット処理の負担を軽減する方法

【36-07】
今、注目の情報満載!ニュース、イベント、セミナー情報

HP OpenView Newsのご紹介

HP OpenView

ITSMとITIL
HP Software News:ITIL、ITガバナンス、品質保証等、読み物満載
メール配信登録はこちら
コンテンツに進む

はじめに
この「いまさら聞けないセキュリティ」シリーズの第一回目の冒頭で情報セキュリティの言葉の定義をOECD(経済協力開発機構)の「情報システムのセキュリティのガイドライン」から引用し、「組織における情報および情報システムを、機密性、完全性、可用性の欠如の脅威から保護すること」とご紹介しました。「情報および情報システム」については、ユーザの利便性の面では使いたいときに使えるという意味で可用性を考えますが、受容できるレベルでの完全性や情報の機密性を守る必要があります。
 


ただし、ユーザの利便性と管理性は一般的に反比例する関係にあり、利便性だけを考えてセキュリティ面で不十分であるシステムを作らないためにも運用セキュリティの知識は管理者にとって大変重要です。これは提案をする側にとっても同じで提案の範囲の幅を広げるというよりはセキュリティ面で問題のある提案をしないためにも知識として必要です。

さて、運用管理の製品はネットワークの運用管理から始まりました。以前のメインフレームを中心としたシステムはネットワークを介してデータをやり取りすることはあっても、異機種間接続での運用は考えられておりませんでした。ところがTCPやIP通信が普及して様々な機器が繋がってくると例えばIPアドレスの重複や機器の障害などによって通信ができなくなり、問題の切り分けのためにネットワークの管理が求められたのです。今日、システムを運用する上ではネットワーク管理だけでは不十分で、外部からの攻撃対策や問題があった時の調査、問題の特定、復旧措置を含めた運用のライフサイクル全体で考える必要が出てきており、それに呼応する形で様々な製品群の拡張がされています。もちろんツールを使って問題を解決することはできるものもありますが、基本的にはライフサイクル全体での管理とそれをサポートするためのツールという位置づけであるべきであり、あくまでもツールは手段です。

ということで、今回は運用セキュリティ(セキュリティ運用とも言います)を、そのライフサイクルから始めて、網羅的に考えてみたいと思います。

Cf.第一回目: 情報セキュリティマネージメント
Cf.第二回目: アクセス管理

運用セキュリティのライフサイクル

運用管理もリスク管理の一部であり、そういう面では第一回目でご紹介したリスク管理のプロセスで学んだように通常のPDCAサイクル(Plan,Do,Check,Act 図1参照)をまわすのとなんら変わりありません。基本的には現状の把握を行い、ポリシーを決定します。その際、事故を起こさないためのポリシーだけでなく、事故が起こった際のポリシーも策定する必要があります。インシデントが起こってこれに対応するインシデントレスポンスはセキュリティ管理も運用管理も一緒です。次にポリシーが守られるようにユーザへの周知徹底を行います。現在は外部からの攻撃に対して防御する必要がありますが、ルール違反や人為的なミスをカバーするためにもシステムによる制御が必要です。またインシデント対応している中からインパクトのあったものを分析し、対策を行ったり、常にポリシーのレビューを行うなど、状況に即した形で運用が行われるように、フィードバックが必要となります。

図1:運用セキュリティのライフサイクル
図1:運用セキュリティのライフサイクル
拡大画像(新規Window)

セキュリティポリシー

検索エンジン等で「セキュリティポリシー」と検索すると様々な範囲を指し示していることに気がつくと思います。「セキュリティポリシー」と言えば、一般的にはセキュリティに関する全社規定とシステム設計にかかわる技術的な規定が存在します。方針及び、基準といっていいでしょう。
全社でのセキュリティポリシーの策定方法についてはISMS関連書籍をはじめとした他の書籍に譲りますが一般的には下記のことを注意する必要があります。

  • 短く簡潔な文章でセキュリティ方針を提示し、グレーゾーンでの問題に対処する際などの指針とする
  • プロセスには役割とオーナーを常に明確にする必要がある
  • ポリシー策定後に全社員が理解して守ることができるような内容にする必要がある
  • システムにより細かいセキュリティポリシーを守る管理の仕組みが必要である
  • ITILと同様に他社のポリシーは参考になりにくい。自社の環境や文化に合わせた構築が必要である
この内容だけでセキュリティポリシー方針を策定することはできませんが、最も重要な点は見直しを行うプロセスを忘れないことと、ポリシーは自社の環境に合わせて考える必要があるということです。
つまり、他社で使っているポリシーのガイドラインを参考にしてもいいですが、そのポリシー自身をコピーしてきても参考になりにくいということです。重要なことは繰り返しになりますが、「守られなくては意味がない」ので「自社の環境に合わせて」策定すべきものであるということです。

ユーザや経営層への啓蒙について
企業のセキュリティは、その企業のセキュリティに対する認識を文書化することであり、そのために場合によっては新たな予算・人材を確保することに加えて、関連部門すべての従業員にセキュリティ対策を徹底させるということが重要となります。
経営層が企業リスクとしてセキュリティの重要性を理解していないケースは少ないと思われますがコストとリスクのバランスをどう取るかは企業によっても異なり難しい問題です。また経営層が意識していても末端の従業員が業務のしやすさを優先し、ポリシーが守られないということも多くみられます。
いくら予算・人材を確保できたとしても、関連部門のだれか1人でもセキュリティに対する認識が低く、協力も得られない場合、その企業のセキュリティレベルは低くなってしまいます。
この点についてはIETF RFC 2196(サイトセキュリティハンドブック) http://www.ipa.go.jp/security/rfc/RFC2196-00JA.html  に参考例がありますのでご参照ください。
ポリシーを遵守させる上で最も重要なことは「簡易であること」です。簡易であれば守られる可能性も高く、また管理者もメンテナンスしやすくなります。ただあまり簡易でありすぎると適正なセキュリティレベルを保てない可能性もありますので注意が必要です。

運用セキュリティの管理項目

運用セキュリティでの管理項目はITILでの管理項目とほぼ重なります。とはいえ若干スコープが違うので個々のプロセスで考慮すべき内容が違います。例えばITILの継続性管理は通常のITサービスの提供が災害などによりできなくなった際のリカバリプランですが、セキュリティとしては単なるIT障害の発生時でもセキュリティを維持しながらセキュアな状態に戻すためのプロセスが必要となります。加えて構成要素のデータ保護やアクセス権管理、ソフトウェア管理や物理セキュリティの管理などITILのプロセスに加えて、考慮すべき項目があります。違いとして考えられるものを以下に例として挙げます。

  • リソース保護:ITを構成するすべての構成要素に対するシステムの防護が必要です。ファイヤーウォールや第二回目でご紹介したIDSによるシステムの外部侵入に対する保護などが含まれます。
  • アイデンティティ管理とアクセスコントロール:ユーザやIDの管理とアクセスできるデータやリソースの対応を常に正確に取っておく必要があります。
  • 物理的セキュリティ管理:システム的にどんなに対策をしても例えばハードウェアを盗まれては全く意味をもちません。また盗まれたときでもデータが他に渡ったときの損失(社会的な信頼の喪失等を含む)やデータが利用できなくなることによる業務への影響等考慮して対応することが望まれます。

セキュリティを守る手段

セキュリティを守る技術的な手段は世の中に多く存在しますし、現在でも増え続けています。通常は、リスク管理を元にプライオリティをつけて問題に対して技術的に対策を行っていきますが、コスト面や適切に対応できる手段が下記の表にない場合はリスクを受容水準以下に引き下げるなどのことが必要になってくる関係にあります。
一般的に管理手段は以下表1にある5つのパターンに分けられます。
皆様の回りにあるセキュリティに関するツールやプロセスは必ずこの5つに分類されるはずですがいかがでしょうか? 第二回目でご紹介したアクセス管理やログ管理などは目的が複数あるために分類も複数にまたがりますね。

表 1 セキュリティの管理手段
手段の分類 Directive
管理的コントロール 		Preventive
予防的コントロール 		Detective
検知的コントロール 		Corrective
是正的コントロール 		Recovery
リカバリコントロール
説明 ポリシーに基づいた行動をユーザに求めるもの 望ましくない行動を予防するもの セキュリティ違反の検知 インシデントの再発防止 システムを通常の状態に戻す作業
ポリシー
ポリシーテンプレート
ベースライン
社内標準
行動指針 		警備員
職務の分離
暗号化ソフト
ウィルスソフト
持ち出し制御
プリント管理 		侵入検知
ログ管理・監査
レビュー 		問題管理のプロセス
再発防止会議
トレーニング
高度なツールの導入 		バックアップ・リカバリ
ディザスタリカバリ
バックアップ手順書

またツール等により制御する範囲は下記のようなものになります。

表 2 セキュリティ管理で求められる対策とツールの対応
対策 説明 ツールの例
アカウント管理 アカウントとユーザは1対1で割り当てられてなくてはならずその権限やロールによって使えるアプリケーションを制限する必要がある。 ディレクトリ管理
シングルサインオン
アクセス管理 ユーザやネットワークのセキュリティレベルによって通信の制御など行う必要がある。 アクセス管理ソフト
ファイアーウォールによる分割
ログ管理 ログの保管ポリシーなどに基づいてログを保管する必要がある。また不正の検知やフォレンジック、証拠提出などに使用する。 統合コンソール
syslogサーバー
ログ分析ツール
バックアップ管理 災害時だけでなく単にインシデント等によりシステムをベースラインまで戻す必要がある場合、そのための手段を検討する必要がある。 バックアップツール
RAIDディスク
リリース管理 パッチの適用や新しいプロアクションのリリースは十分テストされた後に対象に展開される必要がある。 ソフトウェア配信ツール
リリース管理ツール
性能管理 可用性向上のため、またインシデントの予防のため性能やキャパシティは管理されている必要がある。 性能管理ツール
各種OSコマンド
レスポンス測定ツール
インシデント管理 可用性向上のため、インシデントにすばやく対応する必要がある。 コールセンター
サービスデスク
構成管理 セキュリティインシデント発生時に問題の影響範囲把握に役立つまたセキュリティのプランにも役立つ。 資産管理ツール
サービスデスク
ネットワーク管理ツール
脆弱性管理 脆弱性の対応を行うことによりインシデント発生を未然に防ぐ。 ウィルス対策ソフト
IPS・IDS

さて前回に引き続きCISSPの試験問題を見てみましょう。
例題(CISSP問題集 http://www.cccure.org/quiz/quiz.php  を参考)

Q1. 情報システム管理でまず最初に行うべきステップはどれか?
a. 全社セキュリティポリシーの導入
b. セキュリティスタンダードのマニュアルの作成
c. 従業員教育のための普及策の検討
d. アクセス制御のためのソフトウェア検討

Q2. 情報システムのレベルに必要なアクセスレベルの決定にこの中で一番近い人は誰か?
a. セキュリティスペシャリスト
b. シニアマネージメント
c. セキュリティ担当者
d. システム監査人

Q3. 制御(Control)の目的は?
a. リスクの排除と潜在的な損失の改善
b. リスクの緩和と潜在的な損失の排除
c. リスクの緩和と潜在的な損失の改善
d. リスクの排除と潜在的な損失の排除


Q4. 是正的コントロールに含まれないものは次のうちどれか ?
a. 再発防止
b. トレーニング
c. 高度なファイアーウォールの実装
d. ログの収集


いかがでしたでしょうか。
次回は、コンプライアンスとITの関係について、日本版SOX法整備の状況を踏まえてご紹介します。

回答

Q1:a 本文にもありますように状況把握をもとに自社の環境に合わせたガイドラインやポリシーを作ることが最も最初のステップになります。

Q2:d 難しい問題ですが、スペシャリストは助言を与える立場で、担当者は権限は持ちません。シニアマネージメントはもっと範囲が広いということで、回答としては “この中では” システム監査人になります。

Q3:b 言葉のお遊びですが、回答はbです。

Q4:d 是正的コントロールは、検出されたインシデントに対して再発防止を目的としたものになります。従いましてログの収集自体は是正的といえません。

出展: 情報セキュリティプロフェッショナル総合教科書 秀和システム 佐々木良一監修
情報セキュリティ技術大全 日経BP RossAnderson著
OFFICIAL (ISC)² GUIDE TO THE CISSP EXAM Hanscche,Berti,Hare著
セキュリティマネージメント戦略 日本経済新聞社 監査法人トーマツ編
このページのトップへ
[1分アンケート]
  iPAQ  
 お聞かせください!あなたの感想。
 抽選で3名様に「HP iPAQ rx1950 Pocket PC」差し上げます!
※アンケートは終了いたしました
 

PDFファイルをご覧いただくには、Adobe® Reader®が必要です。アドビシステムズ社のウェブサイトより、ダウンロード(無料)の上ご覧ください。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2009 Hewlett-Packard Development Company, L.P.