PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・吉田裕美(ジェイエムシー コンサルティング&セキュリティカンパニー セキュリティコンサルティンググループ 主席アナリスト)

 今回は、情報セキュリティ管理基準 コントロール10.2.2「情報システムは、セキュリティ実行標準と適合していることを定期的に検査すること」について、解説します。

10.2.2.1

技術適合の検査としては、ハードウェアおよびソフトウェアの管理策が正しく実行されていることを確実にするため、運用システムの検査を行うここと

10.2.2.2

技術適合の検査では、専門家の技術援助を得ること

10.2.2.3

技術適合の検査は、経験をもつシステムエンジニアが手動で(必要ならば、適切なソフトウェアツールによる支援を得て)行うか、又は、技術専門家による解釈の結果として技術報告書を作成する自動パッケージソフトウェアによって実施されること。

10.2.2.4

侵入試験の成功によりシステムのセキュリティが損なわれたり、他の脆弱性を不用意に悪用される可能性に注意すること。

10.2.2.5

いかなる技術適合チェックも、資格をもち許可されている者によって、又は園獲得のもとでのみ、実施されること。

 と、コントロール10.2.2のサブコントロールにありますが、「技術適合の検査」とは、どんなことをするのか、「侵入試験」とは何か、この検査によって何が分かるかについて、2003年12月25日 総務省が発行した「地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書・別添3 技術的検証」を参考にしながら、述べたいと思います。

■ログ管理のビジネス要求

 技術適合の検査方法としては、(1)脆弱性の検査 (2)システムや機器類の設定情報の検査 (3)Webアプリケーション等のプログラムの検査などがあります。

(1)脆弱性検査

 脆弱性検査は一般的に、市販されているソフトウェア(Scanner)を使用してサーバーやクライアントのセキュリティホールの有無を確認する検査と、不正アクセス者と同じ視点から、サーバー単体のセキュリティ状態だけでなく、ファイアウオール、ルーターなどの状態、また、それら全体の状況を調査し、侵入経路が存在するか調査する、侵入検査(ペネトレーションテスト)に分けられます。

 Scannerのみの診断では、現在のシステムに存在するセキュリティホールの有無と、そのセキュリティホールが存在することにより予想される危険の度合しか分かりません。これに対して、ペネトレーション・テスト(侵入テスト)では、セキュリティホールを利用し、実際の犯罪と同じ手口・同じ方法でシステムへの侵入を試みますので、「不正侵入」「情報搾取」「盗聴」「改ざん」などのセキュリティ事故に対する対策が施されているか否か、具体的に知ることができます。

 作業形態としては、リモート(インターネット経由)とオンサイト(ネットワーク内)があり、検査の目的や調査したいリスクに合わせて行います。

 リモートの代表的な検査対象の例としてはインターネットの公開サーバー(ウェブサーバー、認証サーバー、メールサーバー)およびネットワーク機器(ルーター、ファイアウオールなど)があります。第三者が不正アクセスできるかどうかを確認するのに有効です。

■図1 リモートからの検証
リモートからの検証の図
総務省『地方公共団体における情報セキュリティ監査の在り方に関する
調査研究報告書 別添3 技術的検証』より

 オンサイトとは、ネットワークに監査人がログインし、内部ネットワークに接続された情報機器類に対し、検査を行うものです。主にポリシー通りにアクセス制御ができているかを確認します。最近は、無線LANを使用している組織が多いので、の場合は、「盗聴」や設定状況のチェックを行うことをお薦めします。

■図2 オンサイトからの検証
オンサイトからの検証の図
総務省『地方公共団体における情報セキュリティ監査の在り方に関する
調査研究報告書 別添3 技術的検証』より

(2)システムや機器類の設定情報の検査

 各種設定情報を取得し、ポリシー通りのセキュアな状態になっているかを検証します。例としては、ファイアウオールのアクセス制御、サーバーの設定状況、ネットワーク構成図、情報システムのセキュリティ機能仕様書などが挙げられます。

(3)ウェブアプリケーション等プログラムの検査

 ホームページ上で、個人情報を情報主体から入力してもらう画面を持っている組織には、是非やって頂きたい検査です。何故ならアプリケーションプログラムやシステムの設計、開発時のミスによる情報漏洩事故が非常に多いからです。

 CGIプログラムを利用して、情報搾取・閲覧・コマンド実行・踏み台行為・パラメータ改変などができるかどうかを、監査人が手作業で検査を行うのが一般的です。外部に開発を依頼している場合は、納入前に、プログラムの検査をしているか確認するという方法もあります。

 脅威と具体的な技術的確認点については、『地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書 別添3 技術的検証』の「表 1.3.2 脅威と具体的な技術的確認点」がポイントを一覧にまとめてあるので参考にするとよいでしょう。自社の検証状態を確認する上での、チェックシートとして利用するのも有効です。

■ログ管理の検討──目的により施策は異なる

 検査をするにあたっては、まず、検査の目的を明確にする(「セキュリティ実行標準」を明確にする)必要があります。脅威に対し、どのような状態になっているのが、その組織においてベストなのかということです。適合は、それを基に行われます。目的を明確にし、複合的な技術手法を用いるのが望ましいので、社内に専門家がいない場合は、検査前専門家と相談し、対象となる機器や技術手法を選択することをお薦めします。

 また、新たな脅威(新しいセキュリティホールの発見や、新たな攻撃方法)に耐えうるよう、定期的な診断をお薦めします。システムの変更時はもちろん、最低でも年1~2回は行い、状況を把握する必要があるでしょう。

 この検査方法は、GMITS(ISO/IEC TR 13335)で紹介されているリスク分析で言うところの「非公式アプローチ」(第2回コラム参照)に当たります。非公式アプローチは、構成化された方法ではなく、コンサルタントや技術者など知識のある個人が、個人の知識および経験を活用するものです。定式化されていないため、検査の結果が主観的な見方およびレビューアーの偏った見方によって影響を受けるという問題があります。冒頭で引用したサブコントロール10.2.2.5では、「資格を持ち、許可されているもの」との書かれていますが、現状としては、「技術適合の検査人認定制度」なるものは存在していません。そこで、検査人を選ぶに当たっては、過去の実績や、技術スキルの確認は重要です。また、複数の専門業者と契約を行い、同時または、交互に検査を行うという方法も効果的です。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。