 |
小規模ネットワークが陥りやすい
情報セキュリティ対策の落とし穴(
第1回)
|
|
 |
|
|
| 愛知工業大学 経営情報科学部 非常勤講師 |
|
|
|
システム開発・楽曲制作・教育研修・DVD制作
Orange-Piece(オレンジピース)
|
|
|
|
|
 |
|
皆様いかがお過ごしでしょうか。新年度がスタートして、早一ヶ月が経ちました。私は業務柄、様々な新人社員や新入生と触れあう機会があります。皆それぞれの環境に少しずつ慣れてきたようで、隣の席の人だけではなく、私ともコミュニケーションができるようになってきて、たいへんうれしく思います。
さてこの度、2回に分けて、小規模ネットワークを対象にしたセキュリティのお話をさせていただくことになりました。ここで想定している小規模ネットワークとは、10数台程度の規模を示しています。規模によっては、対策にかける予算も方法も異なるので、一番基本となる「小規模」に限定しました。
第1回目は、セキュリティの考え方や脆弱性に対するセキュリティのポイントについて解説します。限られたスペースですので、全てのことを列挙することはできませんが、少しでもセキュリティ対策に関心をもっていただければ、幸いです。
|
まず一般的なセキュリティの解釈をご紹介しましょう。セキュリティとは「外部の脅威から資産を保護すること」です。中でも情報技術(Information Technology)に関することを“情報セキュリティ”と呼びます。
セキュリティはセーフティ(安全)という言葉とは区別されます。セーフティは能動的に行うことで発生する脅威(例えば、機械を操作することで想定される危険)への対策を示しますが、セキュリティは受動的な意味が強く、外部で発生する脅威に対しての対策を講ずることを示します。 |
|
| ● 守るべきもの |
|
企業における資産には様々なものがあります。代表的な資産は、三大資産といわれるヒト・モノ・カネです。さらには情報があります。企業におけるこのような資産を保護して、それを脅かす“脅威”から守ることがセキュリティです。
特に情報セキュリティでは、情報という資産を守ります。情報というと、コンピュータで扱うデータを守ることと考えがちですが、それだけではありません。紙に記録された数字や文字、ヒトの会話や電話の音声なども情報と考えます。したがって、セキュリティを考える上で、コンピュータ上の対策しか考えないことは抜け道だらけのセキュリティであるといえます。
もう一つ大切なことがあります。この守るべき資産を失ったとき、それがどのような価値があって、被害額が発生するのか、また回復するために、どのぐらいの費用が発生するのか、予想しておくことです。
セキュリティ対策をしていないと、莫大な被害が発生する可能性があります。しかしセキュリティという言葉のイメージだけが一人歩きしているようにも思います。それは見えるものだけが全てではないからです。しかし、莫大な費用をかければ、セキュリティレベルが向上するわけではないのです。セキュリティにはバランスが大切で、価値以上のセキュリティを施す必要もないのです。 |
|
| ● 脅威 |
| 次に脅威について考えます。脅威の代表的なものを次の表に示してみました。自然災害や人為的な原因による物理的な破壊から、不正行為や過失などによるデータの破壊・削除など様々です。
|
|
| 分野 |
主な脅威 |
| 自然災害 |
地震、台風など |
| 破壊 |
建物倒壊、人為的に破壊される、経年劣化など |
| 不正行為 |
盗難、盗聴、なりすまし、改ざん、データの削除など |
| 過失 |
操作ミス、忘れ物など |
| いたずら |
コンピュータウィルス、ハッカー※による侵入など |
|
|
|
| ※ハッカー:もともとはコンピュータ知識に精通した人を示すが、最近では高度な技術を駆使して、コンピュータシステムへの侵入や破壊行為を行う者を示すことが多い。 |
|
<物理的な脅威>
最近私が注目しているのは、経年劣化への対策です。製品には寿命があります。製品の使用頻度によって、劣化が進むのはもちろんですが、経年劣化はそうした通常使用による劣化とは異なります。経年劣化は時間の経過により、製品の品質が低下することを示します。
たとえば、CD-RやDVD-Rなどのような記録可能なメディアは再生専用のメディアのCD-ROMやDVD-ROMと比べると経年劣化が早く進むといわれています。同じCDやDVDには変わりませんが、構造が違うからです。
メディアの価格や品質、保存状態によって全く異なりますが、5年ぐらいを一つの目安に点検をするといいでしょう。具体的には2000年ぐらいに記録したメディアがいま読み込むことができるか試してみるということになります。
<人為的な脅威>
故意による不正行為と過失では、過失の方が多いといわれます。「うっかりデータを消してしまった」「ノートパソコンを忘れてしまい情報が流失してしまった」など過失から生ずる情報資産の消失は誰にでも起こりうる脅威といえます。
また不正行為では、昔は自己顕示欲の強さから趣味でコンピュータウィルスを広めるような愉快犯的な行為が多かったのに対して、個人や企業における金銭や機密情報を不正に取得することを目的としたものへ変化しています。またその手口は年々巧妙なものになっており、コンピュータの通常操作の裏で密かに侵入し、その方法が見つからないようになっています。 |
|
| ● 脆弱性と損失 |
| 脆弱性とは、潜在的な欠陥を指します。簡単にご説明しますと、攻撃に対する弱点です。下の表だけとは限りませんが、考えられる脆弱性を挙げてみました。
|
| 脆弱性の分野 |
具体的内容 |
| システムの脆弱性 |
・ハードウェア、OSやアプリケーションに存在するセキュリティホール(ソフトウェアの欠陥)
・システム開発者が予想していない利用形態や設定
など |
| ネットワークの脆弱性 |
・ルータの設定やファームウェアの脆弱性
・無線LANセキュリティの脆弱性
など |
| マネジメントの脆弱性 |
・組織における個人情報の取扱に対する問題
・個々における情報セキュリティに対する意識の低さ
など |
|
|
|
※OS:Operating Systemのことで、ハードウェアとアプリケーションの中継ぎ的な役割をもつソフトウェア。代表的なOSにはWindows XP、Windows VistaやMacOS X、Linuxなどがある。
※アプリケーション:WordやExcel、IntenetExplorerなどOS上で動作するソフトウェア
※ルータ:インターネットや社外のネットワークに接続するためのネットワーク装置。
※ファームウェア:ハードウェアを制御するためのソフトウェア。ルータの設定画面を作っているソフトウェアと考えればよい |
|
脅威が存在するだけでは損失は発生しません。脆弱性(=潜在的な欠陥)が存在して、脅威と結びついたときに損失が発生します。
地震や台風などの脅威を止めることができないように、脅威に対して直接的に働きかけて、除去することは難しい場合があります。したがって、脆弱性をいかに減少させるのがセキュリティのポイントです。
以上がセキュリティの基礎的な考え方です。これをふまえつつ、後半ではセキュリティ対策の具体的なポイントとマネジメントの脆弱性について、解説していきましょう。
|
|
| ● 物理的セキュリティと技術的セキュリティ |
| システムのセキュリティは、物理的セキュリティと論理的セキュリティがあります。これは小規模ネットワークの場合には限らず、大規模なネットワークになっても基本的に同じです。
|
| セキュリティ分野 |
対策 |
物理的
セキュリティ
|
情報資源の記録媒体や設置保管場所へのセキュリティ
・ 立ち入り制限、入退室の管理、鍵かけ
・ 消火設備
・ 災害復旧計画
・ カメラによる監視
・ 機器への鎖の設置(盗難防止)
など |
技術的(論理的)
セキュリティ
|
情報やデータそのものに対するセキュリティ
・ 情報へアクセスした記録(誰が、何をいつ参照したか)
・ システムのバックアップ
・ 予備システムの動作検証(年に3〜4回程度)
・ 業務目的以外の使用の原則禁止
(使用する場合には上長への許可が必要)
・ データの持ち出し禁止
・ 無許可のソフトウェアの導入を禁止
・ 機器構成の変更禁止
・ アクセス制御(ユーザ管理)
・ マルウェア対策
・ セキュリティ情報の収集
など |
|
|
|
※マルウェア:コンピュータウィルス、ワーム、スパイウェアなど悪意をもつソフトウェアの総称
※コンピュータウィルス:潜伏や破壊活動などを行う悪質なプログラム
※ワーム:自己増殖を繰り返しながら破壊活動を行うプログラム
※スパイウェア:利用者の操作の意図しないところで勝手にコンピュータに侵入し、利用者の個人情報やWebページにアクセスした履歴などの情報を収集するプログラム |
|
| ● アクセス制御 |
利用者レベルで考えられるのはIDとパスワードの管理です。Windowsでは「ユーザアカウント」と呼んでいます。
パスワードを設定して、他人に勝手に使われないようにすることはもちろん、パスワードを定期的に変更することも必要です。また、ユーザのアカウントの種類を選ぶことも必要です。Windows XPでは「コンピュータの管理者」と「制限付きアカウント」があり、「制限付きアカウント」ではソフトウェアのインストールやシステムの設定変更などを実行することができません。
|
| ▼コンピュータの管理者と制限付きアカウントが設定されたユーザアカウント ( Windows XP ) |
|
| ● マルウェア対策 |
| 一番簡単な対策は、ウイルス対策ソフト(ワクチンソフト)を導入することです。また、ウイルス対策ソフトを常に最新状態にして、新しいウイルスに対応できるようにしておくことが重要です。
|
|
| ▼ウイルス対策ソフトのアップデートの様子 ( KINGSOFT ANTIVIRUS ) |
|
| 予算的に可能であれば、1台のコンピュータから社内の全てのコンピュータを一元管理できるようなシステム(ウイルスバスター コーポレートエディションやSymantec Endpoint Protectionなど)が導入するのが望ましいですが、難しい場合もあるので、少なくとも管理台帳を作成し、それぞれのコンピュータでアップデートしたかどうか管理しておくべきです。また、標準的なウイルス対策ソフトでは、スパイウェアの対策ができないことがあるので、別途スパイウェア対策ソフトを導入する場合もあります。
|
|
| ● セキュリティ情報の収集 |
| 独立行政法人情報処理推進機構(http://www.ipa.go.jp)のWebサイトでは様々なセキュリティに関する情報を提供しています。またウイルス対策ソフトのベンダーのWebサイトにもウイルスの最新情報を提供されているので、日頃から確認するとよいでしょう。
|
|
| ▼IPAには、緊急対策情報が掲載されており、脆弱性に関する情報が確認できる。またセキュリティに関する情報も満載だ。 |
 |
情報収集に加えて、OSやアプリケーションを常に最新版にアップデートして、セキュリティホールを防ぐことが必要です。そのために、「Microsoft Update」などベンダーが提供するアップデートツールを利用すると簡単に最新のものになります。
具体的な操作は、AIBSC(あいち産業振興機構)のWebサイト内に「お助けマニュアル」を無料で閲覧することができますので、ぜひ参考にしてください。
|
|
|
| 4.人的セキュリティ |
|
物理的・技術的なセキュリティには投資が必要なものの、1度正しく設定して、統一的に運用すれば、問題はほとんど起きないと思います。
しかし、「セキュリティ対策をする必要性がある」と認識しながらも、セキュリティ機器を導入しただけで、組織として、その取扱を周知しなかったり、たった1人の社員がファイル共有ソフトをインストールして、それが原因となる情報漏えいに発展してしまったりするケースなど、組織や人に対するセキュリティ対策が人的セキュリティです。
せっかく高価で高度な技術的セキュリティを導入しても、組織全体のセキュリティレベルはセキュリティに関する知識が一番足りないユーザが基準となります。
情報セキュリティ対策推進会議(http://www.nisc.go.jp/)が発表している「情報セキュリティポリシーに関するガイドライン」には、「人的セキュリティ」として、役割・責任を明確にするような記述があります。もちろん、役割や責任も大切なことです。
しかし私は、その次の教育や訓練の方が重要だと思います。技術的なところは自動的に処置することもできますが、それを利用するのは組織の責任者や利用者に依存しているからです。実務に即した勉強会を定期的に実施して、セキュリティを周知徹底させることが重要です。
小規模なネットワークでは1人の管理者が設定から運用まで全て任されるケースが多くなります。1人で抱え込まず、セキュリティの考え方を理解しているメンバーを一人でも増やすことです。また、もし過失による事故が起きてもその人を責めることをないような配慮が必要です。過失を責め立てるような環境下では、ちょっとしたコンピュータの不穏な動作も報告されなくなってしまいます。
少人数の組織であっても、一人一人のセキュリティ意識の向上がもっとも必要なことです。 |
|
| 5.最後に |
|
| 第1回目では、セキュリティ対策にはコンピュータの技術面だけではなく、人的セキュリティも考える必要があることをご紹介しました。第2回目では、セキュリティの研修でリクエストが多い、データの暗号化について、考えてみたいと思います。 |
|
|
|
|
