PR
区画ごとに「防水隔壁」を

 検知の仕組みをさらに進めて,例えば部署ファイアウォールのような仕組みの導入も検討すべきだろう。

 IDSと同じく,ファイアウォールも導入するのは難しいと思われるだろう。確かに,導入もそれなりに手間がかかるし,導入したらしたでルールのメンテナンスやらログ・チェックやら,まっとうに運用管理しようとすると,これまた手間がかかってしまう。

 しかし,ワームなどのインシデントを検知するには,そんな大層なファイアウォールではなく,最低限のパケット・フィルタリングを行うファイアウォール・ブリッジのようなものでかまわないのだ。ルールも既製服で十分だし,既製服には最低限のフィルタ要件さえあればよいはずだ。そして,ファイアウォールを導入したら,「防水隔壁」として動作させることができる。

 「防水隔壁」とは,潜水艦や船などで浸水してしまった区画を閉じ込める隔壁のことだ。ワームを持ち込まれてしまった区画をルールで封じ込めるために,ファイアウォールにその区画から外に向けた一切の通信を遮断する隔壁ルールを書いておき,緊急時にそれを有効にする。理想的には,検知されたら自動的に遮断するような仕組がよいが,さすがに現時点でそこまでやると,逆に通信できないトラブルが増加してしまう恐れある。今は「検知」→「目視確認」→「遮断」だろう。

 もちろん,このファイアウォールブリッジの役割を,ルーターが担っても構わない。懸念されるのは,ルーターは専用機であればそれなりのキャパを持っているが,高い専用機ではなくリーズナブルな設備の場合は,フィルタリングを導入することで負荷が上がってしまうということだ。最低限のルールを持たせて,それがどこまでルーティング性能に実際の影響を及ぼすのか,その点は気をつける必要があるだろう。

システム部は保健所?

 ファイアウォールの導入には,実はもう一つ良い点がある。それは,不要な通信を遮断しやすい,ということである。

 現在,実は組織内ではさまざまな通信が飛び交っている。皮相的に考えるとWebブラウジング,メール,それにファイル共有の通信程度があればよいのだが,実際にはメッセンジャ,ストリーミング,果てはどう考えても現時点では必要なさそうなP2Pなどの通信も行われているのではないだろうか。

 こうした通信サービスやインフラが出現する前は,別に誰も使っていなかったはずだ。厳しいかもしれないが,業務で必要な通信というのに要件を絞ってしまってもかまわないだろう。

 不要な通信という面では,万一トロイの木馬を仕掛けられていたとしても,区画を越えて通信はできないため,リスクは低減されるはずだ。さらに,トロイの木馬自体の検出も容易になる。

 ただ,ファイアウォールを細かく区切った区画ごとに導入すれば,ネットワーク全体の性能は低下することが避けられない。となるとIPに乗せた電話などには,通信品質などの問題が生じる可能性も出てくる。

 しかし,NICもギガビットが安くなってきているし,構成されるハードウェアの性能が向上しているため,今のところは対応できるのではないだろうか。性能が多少落ちたとしても,業務がワームで妨害されるよりはマシなはずだ。

 運用面から重要なのは,IDSにしろファイアウォールにしろ,一般的な外部からの不正アクセスの試みとは異なり,この監視体制は24時間である必要はないということだ。9~17時で十分だろう。

 なぜなら,内部の人間が活動している時間帯をカバーしていればいいからだ。残業時間帯や休日出勤時にインシデントが起こる可能性はもちろん皆無ではないが,その時間帯はそもそも活動している他のPCが少ないだろうし,延焼したとしても被害が小さいはずだ。9時~17時運用で,ルールやポリシーは最低限,アラームが上がったら携帯を鳴らし,対処は目視後,「防水隔壁」ルールで汚染区画を隔離,その後その区画内の消毒を実施して警戒解除とする。こんな流れになるわけだ。

 こうして見ると,情報システム管理部門はまさに保健所とでもいうべきかもしれない。というよりも,保健所として動かなければならなくなってしまっていると言えるだろう。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。