リモートアクセス対策 ( 暗号化 )
• 無線 LAN の利用
– セキュリティ設定の実装 – 利用者制限
• VPN の利用
– IPSec/SSL による暗号通信
• SSH ( Secure Shell) の利用
– 暗号化通信
サーバの要塞化
• パケットフィルタリング
• アクセス元の IP 制限(アクセス 制限)
• 不要なサービスの停止(セキュ アなサービス構成)
• バッファオーバーフロー対策
• OS のセキュリティ機能の利用
• 利用者制限
• アクセス履歴(ログ)の保存
• セキュア OS の利用
• 定期的なバックアップ パケットフィルタリング TCP/IP のアクセス制御 セキュアなサービス構成
不要なサービスの停止
運用管理上の対策
定期的な監査
• 完全性保護対策
– 壊されていないか
• セキュリティ監査の実施
– 備えは十分か
• 脆弱性監査の実施
– セキュリティホールはないか
(2)情報漏洩対策
• メールの運用ルール
• 情報へのアクセス制限
• スパイウェア・ウイルス対策
• Webサーバの補強
• 情報の暗号化
メールの運用ルール
• 暗号化ツールの利用
• メール運用ルールの徹底
– 添付の制限 – 宛先の制限 – 履歴の管理
• ウイルス対策
• メーラの脆弱性解消
情報へのアクセス制限
• 情報ベースのアクセス制限
– 最小権限の適用 (Admin/Root 権限)
– 情報資産のコピー・転用の抑止 – アクセス履歴(ログ)の保存
– 定期的なログ分析
スパイウェア・ウイルス対策
• スパイウェアが原因の情報漏洩
• 管理ツールの誤検知を防止
• ウイルスによる情報漏洩
Web サーバの補強
• 脆弱性の排除
– OS の最新パッチの適用
– アプリケーションのバージョンアップ
• 安全性保護対策(改ざん監視)
– 改ざんされていないことを監視
– 改ざん防止ツールの利用
情報の暗号化
• 電子化された情報資産の暗号化
• 利用者制限
暗号化による問題点もある
キーの紛失
エラー対策
(3)資源・利用者管理
• クライアントの資源管理
• 利用者認証
• 利用者ごとのアクセス制限
• 外部サイトへのアクセス制限
• 外部記憶媒体の接続制限
• 利用できるアプリケーションの制限
• 入退出管理
クライアントの資源管理
• 検疫ネットワークの利用
• 資源管理ツールの利用
– バージョン管理およびライセンス管理
• パッチの一元管理ツールの利用
• 脆弱性監査ツールの利用
• クライアントに情報資産を置かない方法
– シンクライアントの利用
■検疫ネットワーク
検疫ネットワークと呼ばれるシステム環境には・・・
• 単純に企業内ネットワークに接続可能なコン ピュータ機器を制御(制限)するもの
• 接続しようとするコンピュータ機器のセキュリティ 状態(脆弱性など)を確認してから、状態により 接続するもの
• さらに、セキュリティ対策(パッチの適用など)を 自ら行ってから、接続するもの
など、いろいろな形態があるようですが、現状では、
非常に高価なものと言えます。
■パッチ配布 / 適用を自動化するツール
• システム管理者は、組織内の個々コンピュータに、パッチを 適用し、かつウイルス対策ソフトを更新するという際限のな い作業を続けています。
• これらの問題を解決するために『パッチ配布 / 適用を自動化 するツール』があります。
• また、組織内の個々コンピュータに、『パッチの適用が行わ れているか検査するツール』もあります。
• このようなツールを利用することで、システム管理者の負担 を軽減でき、かつセキュリティが高いレベルで維持できる可 能性があります。
『パッチ自動』『パッチ適用』
■脆弱性検査ツール・サービス
• 組織内の個々コンピュータ(クライアントおよびサーバー)の 脆弱性(セキュリティホール ) を診断するツールやサービスが あります。
• Web アプリケーションの脆弱性を診断するツールやサービ スがあります。
• このようなツールを利用することで、システム管理者の負担 を軽減できる、かつセキュリティが高いレベルで維持できる 可能性があります。
『脆弱性検査』『セキュリティホール自動検出』
■改ざんを監視するツール・サービス
• Web サーバーへの攻撃や Web コンテンツの改ざんを監視す るツールやサービスがあります。
• Web コンテンツの復旧まで実施してくれるツールもあります。
• Web サーバーへの攻撃から、 Web アプリケーションを守るた めのツールもあります。
• このようなツールを利用することで、システム管理者の負担 を軽減できる、かつセキュリティが高いレベルで維持できる 可能性があります。
『 Web 改ざん 監視』 『 Web 改ざん 対策』
■ツールの利用
パッチ管理
Microsoft Baseline Security Analyzer (HfNetChk)
http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp
Microsoft Software Update Services(SUS)
http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp
Solaris パッチの管理用ツール
http://docs.sun.com/db/doc/817-2462/6mi4fl28n?l=ja&a=view
脆弱性監査ツール
Nessus
http://www.nessus.org/
SARA (Security Auditor's Research Assistant)
利用者認証
• ID ・パスワードの補強
– ワンタイムパスワード
• バイオ認証の利用
– 指紋・虹彩・静脈・筆跡・キーストローク 盲点もあるので注意
• メモリデバイスによる認証
– USB トークン
• PKI( 公開鍵基盤 )
– ICカードに電子証明書を格納
利用者ごとのアクセス制限
• 人ベースのアクセス制限
– 最小権限(権限の最小化)
– 利用できる情報資産を利用者ごとに制限 – アクセス履歴(ログ)の保存
– 定期的なログ分析
外部サイトへのアクセス制限
• 利用できる外部サイト (URL) を制限
– コンテンツフィルタリング
• 外部サイトへのアクセスができる環境を別に 作る
– 社内に物理的なセキュリティゾーンを作る
外部記憶媒体の接続制限
• クライアントでのコピー抑止
• 社外持ち出し抑止
• 印刷出力制限
利用できるアプリケーションの制限
• 業務アプリケーションのみ利用可能
– ライセンス管理
• PtoP (ファイル交換等)の利用制限
• フリーWebメールの利用制限
予想していない(通常でない)ネットワークの
出入口(通信)を塞ぐと言うこと
入退出管理
• 情報資産の運用区画の制限
• 運用区画への入退室制限と履歴収集
• その他に・・・
コンピュータ機器の盗難防止
情報資源を収納するロッカー等の旋錠 机上の整理・整頓の徹底
離籍時のコンピュータロックの義務化
等々
(4)ログ管理
• 定期的なログ分析
• ログ解析ツールの利用
• 適切なフィードバック
ログ管理の留意点
• 必要な情報を収集するようにログを設定する
• ログサーバで集中管理
• ログを安全に保管する
• ツールを利用して分析する
• 詳細な監査ログ
• 時計の同期(照合のため)
• 普段からチェックし正常値を把握しておく
ログ解析の考え方
• ログに頼らなければならないのは、いつも
「事後」である
• ログ解析は複数参照が基本
– 時刻あわせが必須
• 証拠としての力も考慮する
単純な DMZ ありの企業内ネットワーク
インターネット
ファイアウォール
DMZ サーバ群
通信ログ収集 ( 監視 ) の配備
インターネット
ここの通信の ログ
ここの通信の ログ
ここの通信の
ログ
ログの種類と性質
通信について限定的に ネットワーク機器
怪しいアクセスを詳しく IDS
誰にどう使われたか サーバのソフトウエア
誰が使ったか、どんな使い方 をしたか
各コンピュータの OS
取ろうと思えば何でも ファイアウォール
取れる内容
構成要素
ログ配備のポイント
• 重要な情報資産がある場所は詳しく
• 重要な情報資産へのアクセスは詳しく
• 詳しく取りたい場所は二重化も検討
• イベントを追いかけたい場所は IDS などの機
械的な手段を検討
まとめ
• 計画的に対策を確実に実施
• ポリシーに基づいたセキュリティ機能の実装
• 継続的な改善によるセキュリティの維持
• 最小限のアクセスのみ許可する(最小権限)
• 多段階での防御をする(多重防御)
• 防御、検知、リアクション
情報セキュリティセミナー 2005
インシデント対応
インシデント対応とは
• インシデント
情報セキュリティ分野においては (Security incident) 、 情報セキュリティリスクが発現,現実化した事象
• サービス妨害( DoS) 攻撃
• システムへの侵入
• サーバの不正中継 等
• インシデント対応
インシデントの発生に際して、それを検知し、関係組織と連
絡をとり、被害の拡大を防ぐと共に、再発を防止するための
原因究明と改善を行う、一連の組織的活動
インシデント対応の流れ
平時における準備
インシデント発生時の対応
インシデント発生後の対応
• セキュリティポリシー等の中で手順を明記
インシデント発生時の体制、責任者、連絡先等
• 平時に行われていなければならないこと
– 定期的バックアップ
– システムの通常状態の把握
– 外部情報収集と修正プログラムの適用 – 予行演習
– 代替サービスの準備(レンタルサーバなど)
• 技術的手段の準備
– 情報セキュリティ侵害の検知を支援するツール – バックアップ資源
平時におけるインシデント対応の準備
情報セキュリティ侵害を検出する (1)
• 検出・認識の方法
– 既知の侵害(パターン)を検出する:シグネチャ認識 – 異常な状態を認識する:アノマリ検出
– 他者からの連絡
• ツールの利用
• 次に何をすべきか?
ドキュメント内
技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2
(ページ 53-102)