ITpro Special ITpro

IT pro Special:システム管理者のための情報セキュリティ管理 実践の手引き

ITシステムの安全性と信頼性の確保は、システム管理者に与えられた重要なミッションの1つだ。さまざまな攻撃からシステムを守るとともに、日々の業務の中で機密情報の漏えいを食い止めなければならない。だが、システムを取り巻く危険性は極めて多岐にわたり、その攻撃も著しく悪質化している。このような現状に追随していくのはもちろん、個々の対策も困難になる一方だ。そこで、ここでは、情報セキュリティの最新事情と具体的な対策をご紹介しよう。東京・名古屋・大阪で開催された「システム管理者のための情報セキュリティ管理実践セミナー」(ITpro主催)の内容も含め、情報セキュリティ管理ソリューションの最適解を見ていく。

悪質化する脅威に対応するためのコアインフラの最適化

 コンピュータウイルスはメールを開くと感染するタイプから、Webページを見ただけで感染するタイプが現れ、やがて企業内部のネットワークから拡大していくものへと進化してきた。

 そして、現在主流となっているのが「ボット」だ。不正なプログラムを送り込んで攻撃者がPCを操るタイプである。操られたPCは「迷惑メールの大量配信」「特定サイトの攻撃」などの迷惑行為をかけたり、PC内の情報を盗み出す「スパイ活動」の犯罪を繰り返す。

 こうした脅威からITインフラを防御する重要性は、今さら強調する必要もない。その重要なITインフラを防御するには、「テクノロジ」「プロセス」「人」の3つの視点が考えられる。

 「人」に対して必要となるのは教育である。コンプライアンスの重要性を理解させたり、怪しげな添付ファイルやプログラムはダブルクリックしないように教育しなければならない。この教育が最も重要で、セキュリティ対策のベースとなる。

 「プロセス」は、脅威に対応していく日々の運用手順である。完成度の高いプロセスを構築し、確実に実行していかなければならない。

マイクロソフト株式会社 サーバープラットフォームビジネス本部 マネジメント&セキュリティ製品部 マネージャ 深瀬正人氏 そして、これらを支援するのが「テクノロジ」の役割だ。可能な限り人手をかけず、自動的に安全を提供する役割がある。

 こうしたフレームワークを示されても、そのあまりに広い守備範囲に途方に暮れるシステム管理者も多いかもしれない。その1つの手助けとして、マイクロソフトが提案するのは「コアインフラの最適化」である。

 その最適化のステップには「基本」「標準」「合理的」「動的」の4つがある。 マイクロソフト サーバープラットフォームビジネス本部 マネジメント&セキュリティ製品部 マネージャを務める深瀬正人氏は、「最初にアセスメントを受けて、自社がどのような位置にいるかを確認します。その後、ITインフラはもとより、『人』『プロセス』『テクノロジ』それぞれにおいてステップアップを目指します。それを当社が支援するわけです」と語る。

マイクロソフトが提案する情報セキュリティ対策

 ITインフラを提供するベンダーとして、マイクロソフトは以下3つの側面からセキュリティ対策に取り組んでいる。

 産学官との連携によるセキュリティ対策の推進する「Industry Partnerships」、具体的な構築手法や各製品のセキュリティ設定、効果的なアセスメントツールなどを提供する「Prescriptive Guidance」、多層的・統合的なセキュリティ技術やセキュアなプラットフォームの開発、日本に解析センターを開設するなどの「Technology Investments」だ(図1)。

図1 マイクロソフトのセキュリティへの取り組み

 ここでは、「Technology Investments」を構成する「Network」「Identity」「Protection」「Interoperability」の4つの視点から同社のセキュリティ戦略を確認してみる。

 Networkは常に安全なアクセスを保証する。マイクロソフトでは、Windows Server 2008からは、ネットワークをゾーン分けする、ネットワーク アクセス保護(NAP)機能を備え、持ち込みPCの検疫を実現している。

 持ち出しあるいは持ち込みPCの管理は、多くの企業で頭の痛い課題となっている。セキュリティの面から見ればPCの持ち出しも、個人PCの持ち込みも一切禁止したい。しかし、それではビジネス生産性に大きな影響が出る。そこで、生み出されたのが検疫の仕組みである。

 社外から持ち込まれたPCをチェックするのが「検疫ゾーン」であり、ネットワークに接続すると同時に検疫が開始される。そこでポリシーへの違反があれば「境界ゾーン」でパッチを当てるなどの処理を受ける。このあと、ポリシーを遵守していると確認できたPCだけが「信頼ゾーン」へと移され、許された社内システムへのアクセスが可能となる(図2)。

図2 マイクロソフトのネットワーク アクセス保護(NAP)機能

 また、Identityでは、Active DirectoryのID管理により、権限を持った人だけが必要な情報にアクセスできる仕組みや、ルールがきちんと守られていることを監査できる仕組みを構築できる。

 次にProtectionでは、エッジ、サーバーおよびクライアント、さらにはデータやアクセス環境の保護のために、マイクロソフトは2つの製品ファミリを提供している。1つは企業向けのMicrosoft Forefront、もう1つはコンシューマ向けのWindows Live OneCareである。Forefrontは、クライアントオペレーティングシステム、サーバーアプリケーション、ネットワークエッジの3階層でシステム全体を保護する。

 Interoperability(多層)による防御では、管理対象となるシステムを、データ層、ユーザー層、アプリケーション層、デバイス層、社内ネットワーク、境界領域の多層でデータを防御する構造となっている。それぞれのレイヤで包括的な防御を可能とするのがMicrosoft System Centerだ。

 Microsoft System Centerには、OSおよびアプリケーションの展開と構成管理で、サーバーからクライアントPCまで総合的なIT資産管理を提供するSystem Center Configuration Manager 2007、OSとアプリケーションのイベントとパフォーマンスを監視するSystem Center Operations Manager 2007、ファイルやアプリケーションのバックアップと回復の最適化と高速化を実現するSystem Center Data Protection Manager 2007、物理サーバーの使用率を向上し、仮想インフラストラクチャの一元的な管理を実現するSystem Center Virtual Machine Managerなどが用意されている。これらにより、システム全体の運用管理最適化を実現する。

システム管理者を悩ます3大課題を解決する

マイクロソフト株式会社 システムテクノロジー統括本部 マネジメントプラットフォームグループ マネージャ 福原 毅氏 「セキュリティの強化と利用者の利便性は相反する要求で、システム管理者は常に板挟みとなっています。両者のバランスが課題となり、ここがシステム管理者の腕の見せ所でもあります」と、マイクロソフト システムテクノロジー統括本部 マネジメントプラットフォームグループでマネージャを務める福原毅氏は語る。

 福原氏はシステム管理者から、よく聞かれる課題として以下の3つを挙げる。
[1]ファイルを社外に流出させない
[2]コストをかけずに安全に社内アプリケーションを公開
[3]クライアントPCを常に安全な状態に保つ

 ここでは、上記の課題に対して、マイクロソフトの提唱する対策を紹介しよう。

PCの紛失にも対応情報の外部流出を防止

 機密情報の流出で、危険性の高いのがPCの紛失である。そこで、即効力を持つのがWindows Vista Enterpriseに標準装備されているドライブ暗号化機能のBitLockerだ。BitLockerはOSがインストールされたボリュームにあるすべてのファイルを暗号化し、PCの不正起動を防止できる。たとえPCが盗難にあっても起動できないし、ハードディスクを取り外しても中身を見ることは不可能となる。同じ機能を持つソフトウエアも発売されているが、BitLockerはOS標準の機能であり、安心感がある。

 USBメモリやCD-ROM、DVD-Rなど外部記憶媒体による情報流出も、システム管理者にとっては悩みの種だ。これもWindows Vistaの標準機能でカバーできる。すべての外部記憶媒体を利用禁止にできるほか、特定の外部記憶媒体のみ利用可能にすることもできる。接続を許可した場合でも、読み取りの許可/禁止、書き込みの許可/禁止など、個別に詳細に制限可能だ。

 また、Office Professional Edition 2003以上であれば、ファイルの閲覧権限も必要に応じて簡単に設定できる。メールの転送、印刷、コピー&ペースト禁止、Office文書の参照可能な期限の設定、閲覧、複製、変更、印刷、プログラミングアクセスへの制限などが可能だ。Windows Mobile 6搭載の端末でも同様に管理でき、機密情報の外部流出を防止できる。

 その制限をかけたExcelの例が図3だ。これは閲覧のみ許されており、コピーも印刷もできない。画面上部のリボンもすべてグレーアウトしており、操作不能となる。

図3 コピーも印刷もできない、制限がかけられたExcelのシート 画面上部のリボンもすべてグレーアウトしており、コピーや印刷などの操作が不能

コストをかけずに安全に社内アプリを公開する

 「セキュリティを確保するため、外部とのコミュニケーションにVPNを利用する企業は数多くあります。しかし、VPNでは社内ネットワークが丸見えとなる危険性があるし、インストールや設定など、運用負荷も無視できません」と、福原氏は語る。

 これを解決するのがマイクロソフトのIntelligent Application Gateway 2007(図4)だ。SSL-VPNを利用し、社外から安全に社内アプリケーションを利用できる環境を提供するアプライアンス製品である。

図4 Intelligent Application Gateway 2007 アプライアンス

 Active Directory、LDAP、Notes Directory、RADIUS など、幅広いディレクトリサービスに対応している。また、その設定も容易である(図5)。例えば、ファイルサーバーを公開するには、ドメインの選択、サーバー選択、共有の設定、ユーザーの指定、これだけのシンプルな操作で完了となる。

 アプライアンスであるため、素早い導入と簡単な運用で、アプリケーションアクセスの利便性と高度なセキュリティを両立できる。

図5 Intelligent Application Gateway 2007の設定画面 Active Directory、LDAP、Notes Directory、RADIUSなど、幅広いディレクトリサービスに対応。また、その設定も容易

クライアントPCを常に安全な状態に保つための方法

 膨大な数のクライアントPCをセキュアな状態で保つには、基準を満たさないクライアントを探し出す必要がある。テンプレートとなる望ましいセキュリティ基準を設定し、ネットワークに接続されているすべてのPCを監査する。これを実現するのが構成管理サーバーのSystem Center Configuration Manager 2007だ(図6)。基準を満たすクライアントOSの展開にも対応し、電源をオフしているPCを強制的に起動して展開することもできる。

図6 構成管理サーバーのSystem Center Configuration Manager 2007 ネットワークに接続されているすべてのPCを監査するSystem Center Configuration Manager 2007。必要な構成管理の構成基準にて、各種セキュリティ基準を設定する

 一方、ネットワークには社外から持ち込まれたPCも接続される。これに対応するのが前出のNAPである。実際、ウイルス対策ソフトのパターンファイルが更新されていない状態でネットワークに接続すると、警告のメッセージが表示され、強制的に修復を受ける。

 以上、情報セキュリティの最新事情と具体的な対策を見てきた。さまざまな攻撃からシステムを守り、情報漏えい対策に取り組んでほしい。

マイクロソフトの社内情報システムに見る情報セキュリティ対策 Microsoft IT Japan ディレクター 荒瀬 達也氏

 マイクロソフトはセキュリティソリューションの開発ベンダーでもあると同時に、その導入企業でもある。同社が情報セキュリティ対策をどのように講じているかは興味のあるところだ。

シンプルに構成されたセキュリティ対策

 マイクロソフトは全世界で34万台以上のPCを保有し、ネットワーク機器は15万台以上に及ぶ。1日あたり1200万通以上のインターネット経由メールを受け取り、ウイルスメールは月に12万5000件以上に及ぶ。また、月に10万件以上の侵入の試みを検知している。「この攻撃の多さは、米国では国防総省に継いで2番目となっているでしょう」と、Microsoft IT Japan ディレクターを務める荒瀬達也氏は語る。

 そのネットワークデザインは集中化されており、極めてシンプルである。ハードウエア、ソフトウエア、プロセスなどはすべて標準化され、各国の現地法人に自由な選択は許されていない。IT予算も完全に米国本社が集中管理する。

 このインフラへのセキュリティ対策には、多層防御の考え方を取り入れ、次の4つのキー戦略から構成される。「境界ネットワーク」と「内部ネットワーク」ではネットワークの入り口と内部で、さまざまなセキュリティ対策を施す。「重要な資産のセキュリティ対策」では、資産をレベル分けして保護し、特別チームによる「監視および監査の強化」も実施されている。

■マイクロソフト社内のウイルス対策

クライアントセキュリティ、個人PCの持ち込みはOK

 同社で受け取るメールの85%以上はスパムである。それらはゲートウエイ層、ストア層、クライアント層の多層防御によって、ほぼ完全にブロックされる。ウイルス対策にも多層防御で対応する。ゲートウエイ層のExchangeルーティングサーバーとクライアント層のOutlookクライアントでブロックしている。

 メールセキュリティに関しては、Information Rights Management(IRM)が機能しており、機密情報を含むメールの安全なハンドリングや、読み取り専用ドキュメントなどの作成が可能となっている。

 なお、マイクロソフトは個人PCの持ち込みやPDAの使用を禁止しておらず、自由に社内ネットワークに接続して利用できる。どこにいても仕事ができる環境を重視しているのである。しかし、いったん接続すれば厳しい検疫を受け、各種パッチ等の適用を受けることになる。接続後は完全にActive Directoryの支配下に置かれることになる。

 荒瀬氏は「マイクロソフトのセキュリティ対策は、カスタマイズしたソフトウエアやハードウエアを使用した特別なものではありません。当社がお客様に通常提供している製品をベースに構成されています」と語る。


お問い合わせ
Microsoft http://www.microsoft.com/japan/servers/
Page Top
ITproについて会員登録・メールマガジン購読ITproプレミアム(有料サービス)MyITproについてITpro Researchについて
ITproへのお問い合わせ・ご意見日経BP書店日経BPケータイメニュー広告について
著作権リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用についてサイトマップ

日経BP社Copyright (C) 1995-2010 Nikkei Business Publications, Inc. All rights reserved.
このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社,またはその情報提供者に帰属します。
掲載している情報は,記事執筆時点のものです。