IDS/IPS

リモートアクセス対策 ( 暗号化 )

• 無線 LAN の利用

– セキュリティ設定の実装 – 利用者制限

• VPN の利用

– IPSec/SSL による暗号通信

• SSH （ Secure Shell) の利用

– 暗号化通信

サーバの要塞化

• パケットフィルタリング

• アクセス元の IP 制限（アクセス 制限）

• 不要なサービスの停止（セキュ アなサービス構成）

• バッファオーバーフロー対策

• OS のセキュリティ機能の利用

• 利用者制限

• アクセス履歴（ログ）の保存

• セキュア OS の利用

• 定期的なバックアップ パケットフィルタリング TCP/IP のアクセス制御 セキュアなサービス構成

不要なサービスの停止

運用管理上の対策

定期的な監査

• 完全性保護対策

– 壊されていないか

• セキュリティ監査の実施

– 備えは十分か

• 脆弱性監査の実施

– セキュリティホールはないか

(2)情報漏洩対策

• メールの運用ルール

• 情報へのアクセス制限

• スパイウェア・ウイルス対策

• Webサーバの補強

• 情報の暗号化

メールの運用ルール

• 暗号化ツールの利用

• メール運用ルールの徹底

– 添付の制限 – 宛先の制限 – 履歴の管理

• ウイルス対策

• メーラの脆弱性解消

情報へのアクセス制限

• 情報ベースのアクセス制限

– 最小権限の適用 (Admin/Root 権限）

– 情報資産のコピー･転用の抑止 – アクセス履歴（ログ）の保存

– 定期的なログ分析

スパイウェア・ウイルス対策

• スパイウェアが原因の情報漏洩

• 管理ツールの誤検知を防止

• ウイルスによる情報漏洩

Web サーバの補強

• 脆弱性の排除

– OS の最新パッチの適用

– アプリケーションのバージョンアップ

• 安全性保護対策（改ざん監視）

– 改ざんされていないことを監視

– 改ざん防止ツールの利用

情報の暗号化

• 電子化された情報資産の暗号化

• 利用者制限

暗号化による問題点もある

キーの紛失

エラー対策

(3)資源･利用者管理

• クライアントの資源管理

• 利用者認証

• 利用者ごとのアクセス制限

• 外部サイトへのアクセス制限

• 外部記憶媒体の接続制限

• 利用できるアプリケーションの制限

• 入退出管理

クライアントの資源管理

• 検疫ネットワークの利用

• 資源管理ツールの利用

– バージョン管理およびライセンス管理

• パッチの一元管理ツールの利用

• 脆弱性監査ツールの利用

• クライアントに情報資産を置かない方法

– シンクライアントの利用

■検疫ネットワーク

検疫ネットワークと呼ばれるシステム環境には・・・

• 単純に企業内ネットワークに接続可能なコン ピュータ機器を制御（制限）するもの

• 接続しようとするコンピュータ機器のセキュリティ 状態（脆弱性など）を確認してから、状態により 接続するもの

• さらに、セキュリティ対策（パッチの適用など）を 自ら行ってから、接続するもの

など、いろいろな形態があるようですが、現状では、

非常に高価なものと言えます。

■パッチ配布 / 適用を自動化するツール

• システム管理者は、組織内の個々コンピュータに、パッチを 適用し、かつウイルス対策ソフトを更新するという際限のな い作業を続けています。

• これらの問題を解決するために『パッチ配布 / 適用を自動化 するツール』があります。

• また、組織内の個々コンピュータに、『パッチの適用が行わ れているか検査するツール』もあります。

• このようなツールを利用することで、システム管理者の負担 を軽減でき、かつセキュリティが高いレベルで維持できる可 能性があります。

『パッチ自動』『パッチ適用』

■脆弱性検査ツール・サービス

• 組織内の個々コンピュータ（クライアントおよびサーバー）の 脆弱性（セキュリティホール ) を診断するツールやサービスが あります。

• Web アプリケーションの脆弱性を診断するツールやサービ スがあります。

• このようなツールを利用することで、システム管理者の負担 を軽減できる、かつセキュリティが高いレベルで維持できる 可能性があります。

『脆弱性検査』『セキュリティホール自動検出』

■改ざんを監視するツール・サービス

• Web サーバーへの攻撃や Web コンテンツの改ざんを監視す るツールやサービスがあります。

• Web コンテンツの復旧まで実施してくれるツールもあります。

• Web サーバーへの攻撃から、 Web アプリケーションを守るた めのツールもあります。

• このようなツールを利用することで、システム管理者の負担 を軽減できる、かつセキュリティが高いレベルで維持できる 可能性があります。

『 Web 改ざん 監視』 『 Web 改ざん 対策』

■ツールの利用

パッチ管理

Microsoft Baseline Security Analyzer (HfNetChk)

http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp

Microsoft Software Update Services(SUS)

http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp

Solaris パッチの管理用ツール

http://docs.sun.com/db/doc/817-2462/6mi4fl28n?l=ja&a=view

脆弱性監査ツール

Nessus

http://www.nessus.org/

SARA (Security Auditor's Research Assistant)

利用者認証

• ID ・パスワードの補強

– ワンタイムパスワード

• バイオ認証の利用

– 指紋・虹彩･静脈・筆跡・キーストローク 盲点もあるので注意

• メモリデバイスによる認証

– USB トークン

• PKI( 公開鍵基盤 )

– ＩＣカードに電子証明書を格納

利用者ごとのアクセス制限

• 人ベースのアクセス制限

– 最小権限（権限の最小化）

– 利用できる情報資産を利用者ごとに制限 – アクセス履歴（ログ）の保存

– 定期的なログ分析

外部サイトへのアクセス制限

• 利用できる外部サイト (URL) を制限

– コンテンツフィルタリング

• 外部サイトへのアクセスができる環境を別に 作る

– 社内に物理的なセキュリティゾーンを作る

外部記憶媒体の接続制限

• クライアントでのコピー抑止

• 社外持ち出し抑止

• 印刷出力制限

利用できるアプリケーションの制限

• 業務アプリケーションのみ利用可能

– ライセンス管理

• PtoP （ファイル交換等）の利用制限

• フリーWebメールの利用制限

予想していない（通常でない）ネットワークの

出入口（通信）を塞ぐと言うこと

入退出管理

• 情報資産の運用区画の制限

• 運用区画への入退室制限と履歴収集

• その他に･･･

コンピュータ機器の盗難防止

情報資源を収納するロッカー等の旋錠 机上の整理・整頓の徹底

離籍時のコンピュータロックの義務化

等々

(4)ログ管理

• 定期的なログ分析

• ログ解析ツールの利用

• 適切なフィードバック

ログ管理の留意点

• 必要な情報を収集するようにログを設定する

• ログサーバで集中管理

• ログを安全に保管する

• ツールを利用して分析する

• 詳細な監査ログ

• 時計の同期（照合のため）

• 普段からチェックし正常値を把握しておく

ログ解析の考え方

• ログに頼らなければならないのは、いつも

「事後」である

• ログ解析は複数参照が基本

– 時刻あわせが必須

• 証拠としての力も考慮する

単純な DMZ ありの企業内ネットワーク

インターネット

ファイアウォール

DMZ サーバ群

通信ログ収集 ( 監視 ) の配備

インターネット

ここの通信の ログ

ここの通信の ログ

ここの通信の

ログ

ログの種類と性質

通信について限定的に ネットワーク機器

怪しいアクセスを詳しく IDS

誰にどう使われたか サーバのソフトウエア

誰が使ったか、どんな使い方 をしたか

各コンピュータの OS

取ろうと思えば何でも ファイアウォール

取れる内容

構成要素

ログ配備のポイント

• 重要な情報資産がある場所は詳しく

• 重要な情報資産へのアクセスは詳しく

• 詳しく取りたい場所は二重化も検討

• イベントを追いかけたい場所は IDS などの機

械的な手段を検討

まとめ

• 計画的に対策を確実に実施

• ポリシーに基づいたセキュリティ機能の実装

• 継続的な改善によるセキュリティの維持

• 最小限のアクセスのみ許可する（最小権限）

• 多段階での防御をする（多重防御）

• 防御、検知、リアクション

情報セキュリティセミナー 2005

インシデント対応

インシデント対応とは

• インシデント

情報セキュリティ分野においては (Security incident) 、 情報セキュリティリスクが発現，現実化した事象

• サービス妨害（ DoS) 攻撃

• システムへの侵入

• サーバの不正中継 等

• インシデント対応

インシデントの発生に際して、それを検知し、関係組織と連

絡をとり、被害の拡大を防ぐと共に、再発を防止するための

原因究明と改善を行う、一連の組織的活動

インシデント対応の流れ

平時における準備

インシデント発生時の対応

インシデント発生後の対応

• セキュリティポリシー等の中で手順を明記

インシデント発生時の体制、責任者、連絡先等

• 平時に行われていなければならないこと

– 定期的バックアップ

– システムの通常状態の把握

– 外部情報収集と修正プログラムの適用 – 予行演習

– 代替サービスの準備（レンタルサーバなど）

• 技術的手段の準備

– 情報セキュリティ侵害の検知を支援するツール – バックアップ資源

平時におけるインシデント対応の準備

情報セキュリティ侵害を検出する (1)

• 検出・認識の方法

– 既知の侵害（パターン）を検出する：シグネチャ認識 – 異常な状態を認識する：アノマリ検出

– 他者からの連絡

• ツールの利用

• 次に何をすべきか？

ドキュメント内 技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2 (ページ 53-102)