「組織のネットワークに対する攻撃手法は“多様化”と“高度化”の一途をたどっている。そして,どのような組織のネットワークでも攻撃を受けるのが当たり前となっている。このため組織では『インシデント*に強いネットワーク運用』が求められる」――。JPCERTコーディネーションセンター(JPCERT/CC)の代表理事であり,奈良先端科学技術大学院大学情報科学研究科教授の山口英氏は6月4日,セキュリティに関するカンファレンス「RSA Conference 2003 Japan」において,インシデントの現状と傾向および対策について講演した。以下,「インシデントに強いネットワーク運用」に関する,同氏の発言をまとめた。
*インシデント:セキュリティ・インシデントのこと。セキュリティ・インシデントとは,コンピュータ・セキュリティに関係する人為的事象(incident)のことで,意図的および偶発的に発生する。具体的には,不正侵入に限らず,弱点探索(ポート・スキャン)やリソースの不正使用,サービス妨害(DoS:Denial of Service)などが含まれる。
インシデントは起きるものと考える
「インシデントが発生しないように」と,万全の守りを固めようとする組織は多いが,いくら守りを固めても100%防ぐことは不可能である。そのことを認識して,インシデントが発生したときにきちんと対応できるようにしておくことが重要である。
インシデントが発生することを前提として,インシデントが発生しても被害が拡大しないようなシステム作りや,インシデントの発生に備えた体制作りに,組織として取り組む必要がある。
もちろんネットワークが“穴”だらけでは困るが,守れなかったときのことを考えて,インシデントに組織として対応できるようにしておかなければならない。
内部犯行に気をつけろ
調査会社などのデータでは,ネットワークへの攻撃のほとんどは外部から行われているとされている。しかし,インシデントの多くはインサイダー(内部の人間)によって引き起こされる場合が多いと考えられる。インサイダーは,ネットワークに関する情報を持っているとともに,システムへの物理的なアクセスも可能である。“外”からよりも“内”から攻撃するほうが容易なのだ。「悪いことは外からやってくる」という考えは捨てる必要がある。
インサイダーによるインシデントが発生した場合を想定した,ネットワーク運用やシステム構築が必要なのである。内部犯行を防ぐ方法としては,服務規程で禁止したり,教育を施したりする方法があるものの,ユーザーのモラルに頼った方法はあてにできない。例えば,LAN内部にもファイアウオールを設置するなどして,重要なデータを収めたサーバーにアクセスできるユーザーを限定する方法などが考えられる。
被害は甚大になりうる
いまだに,インシデントが発生してもWebページが書き換えられるぐらいで済むと考えている人がいる。それは大きな間違いだ。インシデントが発生すると,組織の重要なデータをすべて消去されたり,盗まれて流出させられたりする恐れがある。そのデータがインターネットの掲示板で公開される恐れもある。
攻撃者は愉快犯ばかりではない。組織に大きな損害をもたらす可能性がある。「組織の資産を守る」という心構えで,インシデント対応に臨まなくてはならない。
ネットワークの太さは十分か?
ブロードバンド化が当たり前の現在では,組織でも十分な帯域のアクセス回線や,スループットが十分なネットワーク機器を用意する必要がある。さもないと,容易にDoS(サービス妨害)攻撃を受けることになる。
いまや個人ユーザーでも20Mビット/秒のアクセス回線を利用できる。組織のアクセス回線が10~20Mビット/秒程度ならば,個人ユーザーでもDoS攻撃が可能となる。このことをまじめに考えなくてはいけない状況になっている。
ネットワーク機器についても同様である。たとえアクセス回線が1Gビット/秒でも,ファイアウオールのスループットが10Mビット/秒では意味はない。「ファイアウオールを置けば大丈夫」と考えて,ファイアウオールのパフォーマンスには無頓着な組織は少なくない。
(勝村 幸博=IT Pro)
