|
「どんなに予防しても,インシデントは避けられない。起きた場合を想定して準備する必要がある」(セキュリティ・コンサルタントの園田道夫氏)。「従来のネットワーク監視,システム監視でも,インシデントを検知できる」(理化学研究所情報基盤センターの渡辺勝弘氏)――。両氏は,千葉市・幕張メッセで開催中のNET&COM 2004のフォーラム「セキュリティ被害を最小限に抑えるインシデント・レスポンス」において,インシデント対応および検知の重要性について講演した。
インシデントとは,不正アクセスや情報漏えい,ワーム(ウイルス)の侵入といった,システムおよびネットワークのセキュリティを脅かすような出来事を指す。
フォーラムの冒頭と後半において園田氏は,「アクセス権限を持ったユーザーによる内部犯行や,一般ユーザーを“経由”した侵入(たとえば,ノート・パソコンによるワームの持ち込み),まったくの未知の攻撃などを事前に防ぐことは難しい。インシデントは起こるものと考えるべきだ」と,インシデント対応の重要性を強調した(写真上)。
インシデントにまつわる誤解も解いた。「インシデント対応(レスポンス)というと,JPCERT/CCやIPAといった関係機関に届け出ることだと思っている人がいるが,大きな誤解である。原因を特定して,適切な対策を施すことがインシデント対応だ。これにより,被害を最小限にとどめ,業務を速やかに再開することができる。注意しなくてはいけないのは,業務の再開をあせらないということだ。業務の再開をあせるあまり,インシデントの原因をきちんと解消していないと,かえって手間やコストがかかることになる。例えば,Webページを改ざんされたときに,単にページを元に戻すだけでは,後日再び改ざんされることになる」
園田氏は,迅速なインシデント対応には迅速な検知が必要であることも強調した。「対応するには,まずは検知しないと始まらない。検知のためには,システムおよびネットワークの継続的な監視が必要である。監視していない組織では,外部からの通報やシステム障害が発生して初めて気づくことになる。そのときには,既にインシデントの影響が拡大した後なので,“最悪の結末”を迎えることになるだろう」
迅速な検知とインシデント対応には,組織を挙げて取り組む必要があることも解説した。「事前に対応方法の手順をまとめておく必要がある。インデントが発生したシステムやネットワークをどのように“隔離”するのか,インシデントの証拠をどのように保全するのかなどをまとめておく。手順は組織内でレビューするとともに,リハーサルも実施しておきたい。また,インシデント発生時の連絡体制や,対応の際の責任の所在を明確化しておく」
|
フォーラムの前半で渡辺氏は,インシデントの検知手法について解説した(写真下)。インシデントを検知することは難しいこと,侵入検知システム(IDS)は有効ではあるが万全ではないことを説明した上で,手間はかかるが,従来のシステム監視やネットワーク監視でも,十分インシデントを検知できることを説明した。「例えば,通常時のトラフィック量やパターンを把握していれば,単にトラフィック量を監視するだけでも,インシデントの発生を検知できる場合がある」
同氏は,SNMP(Simple Network Management Protocol)を使った監視の有用性についても解説した。「SNMPを上手に使えば,ネットワークやシステム監視を低コストで実現できる。『SNMPは難しい』『商用のSNMPマネージャは高価』と敬遠する管理者は少なくないが,思ったほどは難しくないし,MRTG(Multi Router Trafiic Grapher)のようにフリーで使用できるツールもある。市場には,検知のための新しい“ソリューション”が次々と出されるが,そういったものを追わずに,基本に立ち返ることも大切だ」(渡辺氏)
(勝村 幸博=IT Pro)
