セキュリティ・アセスメントはPDCA*サイクルのC(Check)に当たり,システムの監査を指します。従来は年に1~2回実施することが一般的でしたが,新しいセキュリティ・ホールや攻撃手法が続々と見つかる現状では,常に実施する必要性が高まっています。
セキュリティ・アセスメントの診断結果は,実施時点での一時的な評価に過ぎません。時間がたつにつれて新たにセキュリティ・ホールや攻撃手法が発見されるため,セキュリティの強度が低下していくからです。システムの構成変更など,内部的な要因によってもセキュリティの強度が低下していきます。
こうした状況下では,できるだけ頻繁にアセスメントを実施し,その結果に応じて随時対策をしていくことが必要です。
アセスメントは大きく,システムを全面的に診断する「定期アセスメント」,システムを変更したり新しいセキュリティ・ホール,攻撃手法が見つかった際に実施する「イベント発生時のアセスメント」,日々実施する「常時アセスメント」──の3種類に分かれます(図1)。それぞれを人間に例えると,年に数回実施する定期健康診断,病気になってしまった際に受ける医師の診断,健康に配慮して日々行う血圧測定と考えられるでしょう。
まずは定期アセスメントから
定期的かつ頻繁にアセスメントを実施して,システムのセキュリティ強度が低下していないかをチェックする必要があります。しかしネットワークに接続しているすべてのシステムをアセスメントの対象にするのは,実施時間と費用の面を考慮すると困難です。システムが持つ資産価値に応じて優先順位を決め,重要なシステムが優先的に診断されるよう配慮しておくべきでしょう。
システムの資産価値を測定する方法はさまざまですが,リスク・マネジメントや資産管理で使われている手法を参考にするとよいでしょう。システムで扱っている情報の重要度や情報が漏えいしたときに被る損害額など,客観的な情報を用いてあらかじめ優先付けしておきます。
また少し違った観点になりますが,新しいシステムやアセスメントをほとんど実施してこなかったシステムは,早期に専門家による全面的なアセスメントを実施すべきです。
それ以外に,システムにまつわる種々のイベントが発生したときにも,アセスメントを実施することが肝要です。具体的には,(1)システムの構成変更や新機能のリリース時,(2)新たなぜい弱性や脅威が発見された時,(3)新たな攻撃手法が見つかった時──などシステムのセキュリティに大きく関係するイベントが起こるタイミングで実施します。一通りシステム全体のアセスメントを実施し,その対策が終了したら定期アセスメントに移行します。
アセスメントは日々実施することが理想的
定期的なアセスメントといっても,新しい攻撃やぜい弱性が発見されたときのように,いつ起こるか分からないイベントを基にアセスメントをスケジュールするのは困難です。そこで最近は,「常時アセスメント」を実施して,ぜい弱性を常に把握しながら迅速に対策を打つ方法が普及し始めています。
常時アセスメントでは,ツールを使ってぜい弱性や攻撃手法に関する情報と,アセスメント対象のシステムやデバイス(機器)に関する情報を自動的に収集してマッチングさせます。その結果に従って自社のデバイスが抱えるリスクを把握し,アセスメント実施を含めたセキュリティ対策を随時検討します。(表1)。
ツールで作業を自動化,ただし人手も必要
常時アセスメントは,アセスメントにかかる人的工数を削減できます。収集した情報をツールで分析することが特徴だからです。常時アセスメント用のツールは,システムの資産管理ツールの一部としても活用できます。
ただし現状のツールには,誤検知が少なくないという課題があります。特にアプリケーションのアセスメントでは,ツールで検知できないぜい弱性が数多く存在するので,人手を介したアセスメントを組み合わせる必要があります。
また,常時アセスメントを行うサービス・プロバイダを利用してもよいでしょう。アセスメントでは,専門的な能力を持った技術者による定期的なアセスメントが欠かせないからです。定期的な実施を含めて,まとめて依頼するのも一つの方法です。
| 菅谷 光啓 NRIセキュアテクノロジーズ 情報セキュリティ調査室長 鈴木 伸 NRIセキュアテクノロジーズ 情報セキュリティ調査室 上級セキュリティコンサルタント |
