システムのセキュリティを維持するためには,技術的な対策を講じることはもちろん,併せて,それが適切に実行されているかどうかを調査し監督する「セキュリティ監査」が不可欠である。そうでなければ,いくら立派なセキュリティ・ポリシーを作成しても,いくら高価な機器を導入しても,まったく意味がない。そこで今回のコラムでは,セキュリティ監査について述べたい。

必要な人員と資源の確保が不可欠

 セキュリティ監査は,通常以下に示す作業を繰り返すことで実践される。

  • セキュリティ・ポリシーが,組織を構成する人員(社員など)に周知されているかどうかの調査,ならびに周知の徹底
  • 組織を構成する人員がセキュリティ・ポリシーを実際に守っているかどうかの調査,ならびに守らせるための方策の実施
  • システムに対するセキュリティ上の脅威の調査,ならびにぜい弱性をなくすための対策の実施
  • システムへの攻撃の有無の調査,ならびに攻撃があった場合の分析作業の実施

 列挙することは容易だが,実践するには相応の人員や資源の確保が不可欠である。セキュリティに関するマネジメントを行う立場の人間は,まずその確保が第一になる。それをせずに,現場に対して「セキュリティを守れ」と言うだけでは,決してセキュリティは守られないことを肝に銘じておかなければならない。

 また,特定の機器に対してだけの監査では意味がない。さらに監査は,一過性でもいけない。監査は,ネットワークに接続されているすべての機器に対して,定常的に行う必要がある。そうしないと,ネットワーク全体のセキュリティは守れない。

 ただし,すべての機器を同じような頻度やレベルで監査する必要はない。監査の程度は,機器が取り扱う情報によって変えるべきである。例えば,機密性の高い情報を取り扱う機器に対しては,より精密さが求められるが,機密性の低い情報を扱う機器に対しても同程度の監査をしていると,手間や時間(コスト)がかかる割には効果は薄い。費用対効果を十分考慮した上で実施する必要がある。

対象や作業内容で異なる監査のポイント

 監査作業は,大きく以下の6種類に分類できるだろう。監査対象や作業の内容によって,着目すべきポイントや目的は当然異なる。そこで,それぞれのポイントなどを簡単に説明する。

  1. 新規に導入するシステムの監査
  2. 既存のシステムの,定常的な監査
  3. ユーザー・アカウントの監査
  4. 既存のシステムやユーザー・アカウントの抜き打ち監査
  5. 未使用時間帯中の,重要な資源の監査
  6. コンピュータおよびネットワークのログの監査

 1 は,既存のネットワークにコンピュータあるいはネットワークを,新規に接続する場合の監査である。この監査は,新たに接続される機器やネットワークは,既存ネットワークにとってセキュリティの潜在的な脅威であるために実施する。新しく追加した機器がセキュリティの弱点になる可能性があることを十分認識しておく必要がある。

 そこでまず行うべきことは,新規に接続する機器が,適切なセキュリティ・レベルを満たしているかどうかの確認作業である。例えば,接続する機器にぜい弱性が存在する場合には,たとえ接続前のネットワークのセキュリティ・レベルが高くても,接続した瞬間に,新規に接続した機器のレベルにまで低下してしまう。

 2 は,運用中のコンピュータあるいはネットワークへの,内部あるいは外部からの攻撃行為に対しての監査である。この監査は,「運用中のシステムは必ず攻撃を受ける」との認識に基づいて行う必要がある。実際の有無にはかかわらず,受けていると考えて情報の収集や分析作業に当たることが望ましい。

 加えて 2 については,電子的なセキュリティの監査に限らない。物理的なセキュリティについての監査も含まれる。重要な情報が保存されている部署へのアクセス経路などについても,定常的に監査する必要がある。電子的な守りが万全でも,物理的な守りがずさんでは何にもならない。物理的なセキュリティの重要性は,今後も一層高まることが予想される。

  3 は,コンピュータやネットワークにおけるアカウントの利用状態の監査である。既に利用されなくなったアカウントや,本来無効であるべきなのに有効になっているアカウントを洗い出すことが目的である。これらのアカウントが,組織内部あるいは外部からの攻撃に悪用されることが多いために実施するものだ。

  4 は,2 および 3 を対象に事前の通知をせずに抜き打ちで行う監査である。この監査は,セキュリティ・ポリシーが定常的に守られているかどうかを確認するために行うものだ。そのため,監査対象には事前に知られないように実施することが大事である。

  5 は,一般ユーザーがシステムを利用していない時間帯に行う監査である。目的は,多数のプロセスが動作する通常の時間帯では,発見することが困難なセキュリティに対する脅威や,セキュリティ・ポリシーの逸脱行為を見つけ出すことにある。

 24時間連続稼働しているシステムでは実施が難しいが,稼働時間帯がほぼ固定されているシステムにおいては,この監査は比較的容易で効果がある。

  6 は,コンピュータおよびネットワーク機器により採取されたログを基に実施する監査である。これについては,このコラムで過去に何度も触れているので割愛する。

◇     ◇     ◇     ◇     ◇     ◇

 以上,簡単に「システム監査」の内容を説明した。監査の進め方やチェックするポイントの詳細については,システム構成やその規模によって大きく異なる。“手短か”に解説することは難しい。現場での実践の中で,その組織の実態に合わせて練れていくという側面もある。


坂井順行(SAKAI Yoriyuki)
株式会社ラック 不正アクセス対策事業本部 情報部
sakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。