PR

病気の早期発見や予防のために人間ドックで検診を受けるように,自社システムのセキュリティが十分なレベルに維持されているかどうかを把握することは重要です。そのために実施するセキュリティ診断は,今やシステム管理者にとって必須の作業と言えます。

 セキュリティ対策の重要性が叫ばれるようになって久しくたちますが,ウイルスやワームによる被害,Webサイトからの情報漏えい事故は後を絶ちません。しかしこれらの事故は,「サーバー・ソフトにパッチ*を適用していなかった」,「Webアプリケーションにバグがあった」など,比較的単純なミスが原因となっているケースが多いものです。システムのセキュリティ状態を定期的に把握していれば,回避できたといえるでしょう。

 セキュリティの状態を把握するといっても,必要となる知識やスキルは多岐にわたります。企業が自ら実施する場合は,思い込みによる見過ごしも大いにあり得ます。こうした理由から「セキュリティ診断サービス」の利用が,セキュリティ関連の事故を予防し,対策を立てる有効な手段となっています。外部の専門家によって,システムのセキュリティ・レベルを客観的に評価してもらうのです。

対象や目的によって診断項目を選択


図1 主なセキュリティ診断
ネットワークの構成やWebアプリケーション,無線LANの設定など,さまざまなポイントにぜい弱性があり得る。下に挙げた5種類は,数あるセキュリティ診断の中でも特に重要なものである。

[画像のクリックで拡大表示]

図2 社内セキュリティ対策は「PDCA」に沿って常に実施
セキュリティ診断はこのうち「Check」のために必要となる。診断するだけでは不十分。次の「Act」ステップで是正,予防措置を実施することが不可欠だ。

[画像のクリックで拡大表示]

 ひとくちにセキュリティ診断サービスといっても,OSやミドルウエア*,Webアプリケーション,システム構成などいくつものチェック項目があります(図1[拡大表示])。

 新規にWebサイトを構築したのであれば,開発の上流工程で「アーキテクチャ・レビュー」を受けて,要件や仕様自体に問題がないかどうかを確認します。さらにWebサイトの公開前に,「プラットフォーム診断」と「Webアプリケーション診断」を受けて,Webサイトの実装に問題がないかをチェックします。このように診断の対象や目的により,適切な診断サービスを選択することが重要です。

「1回診断すれば安全」は誤解

 セキュリティ診断を利用する際に一番多く見られる誤解は,システムを本稼働させる前に1回実施すれば自社システムは安全な状態に保たれているという思い込みです。しかし,攻撃の手法は日々増加していることを忘れてはなりません。また多くのシステムは,要求に応じて本稼働させた後に構成が変わっていくのが常です。つまりセキュリティ診断の結果は「その時点ではこういう結果であった」と一過性のものとしてとらえるべきでしょう。追加で開発した機能や増設したサーバーに,ぜい弱性を作り込んでしまうケースもあります。

 情報セキュリティの維持活動は,一般的にPDCA (Plan-Do-Check-Act)のサイクルでとらえられます(図2[拡大表示])。「Plan」はセキュリティ改善に関するセキュリティ・ポリシーや実施すべきプロセスを策定することです。「Do」はそれらを実行し,維持する活動を指します。これらのプロセスの実施状況を評価するのが「Check」。そして「Act」は,Checkプロセスの結果を踏まえた是正・予防措置を実施することです。このサイクルを順に,かつ常に実施し続けることが肝要です。

 セキュリティ診断は,PDCAのうちの「Check」フェーズの活動です。発見された問題点への対策やシステムの問題個所を修正するのは「Act」フェーズの活動となります。問題が発生した根本原因を解決する「Act」が,セキュリティ診断で得られる効果を最大限にするために欠かせません。

 実施した対策を,サーバー構築の手順書や開発ガイドライン,プログラム・コードの記述作法をまとめた規約にフィードバックすることにも効果があるでしょう。開発者の理解が不足しているのであれば,セキュリティ研修も実施すべきです。

困ったらまず診断を受けてみる

 現在でも,セキュリティの状態が把握されないまま運用されているシステムは多数存在します。また,セキュリティ対策が必要だと考えていても,実際には何から手をつけてよいか分からない担当者も多いようです。そのような場合には,まずセキュリティ診断を受けることをお勧めします。こうすることで,必要な対策と優先順位が見えてきます。


菅谷 光啓 NRIセキュアテクノロジーズ情報セキュリティ調査室長
木村 尚亮 NRIセキュアテクノロジーズ情報セキュリティ調査室 セキュリティエンジニア