侵入検査サービスの概要
ここまでいろいろなサービスについて検討してきたが,その中に「監査」という言葉が頻出した。以下では,監査の一つである侵入検査サービスについて検討しよう。侵入検査とは文字通り,そのサイトに侵入することができるかを調べるサービスである。といっても,インターネットから内部ネットワークへの正攻法の侵入だけを指すわけではない。様々な方法論と範囲がある。
| 表6 考えられる不正アクセスの経路 |
|
検査には,スキャナと呼ぶツールを使うものや独自の手法を用いるものなどがある。スキャナのターゲットも,ファイアウォールに特化したもの,Webやメール,DNSなどのインターネット用サーバ対象のもの,ルータなども対象とするものなどがある。
監査サービスを依頼する場合,まずは自分たちが監査をどこまで必要とするのかを考える。例えば,(1)~(5)まですべて必要な組織というのは,取られては困る情報に社内ユーザ誰もがアクセス可能で,そうした情報を保護区画(鍵がかかる場所や入退室管理されている場所,金庫)に収容していない組織だろう。または,顧客からの電話での問い合わせに対し,無防備に応答している組織だろう。例えば,「△△社の者だが,お宅のサイトにログインするためのIDとパスワードを忘れてしまったんだが」の問い合わせに対して,「お客様のIDはhogehoge,パスワードはhenyahenyaです」のように答えている組織である注3)。
(1)~(5)全部でない場合,まずはネットワーク(外接,内部)のリスクを監査したいのか,ルールと人間によるリスクを監査したいのか,それを決める。そして,内部犯行を想定するのか,外部からの侵入に限るのか,などを決め,それから侵入検知サービスを依頼したい。
また,侵入検査を行い,結果をルールに反映させるということも必要だ。表6に示した(3)と(4)など,特に人間とルールが絡む部分については,セキュリティ・ポリシが必要になる。すでにポリシを構築しているのであれば,ここで触れている監査は,そのポリシの監査という意味もある。
| 図5 侵入検査サービス・ベンダを選択するポイント |
|
|
侵入検査サービスの良しあし
では,侵入検査サービスの品質はどうチェックすればよいか(図5[拡大表示])。侵入検査作業は,表7のような段取りで行われる。サービス運用しているサイトの場合は,実際には表7の(1)の作業の前にサーバのバックアップ作業が入る。
また,(1)の情報収集を省略し,あらかじめ対象となるサーバのIPアドレスなどを知ったうえで実施することも多い。情報収集から始めると,例えば名刺やWebサイト,会社のパンフレットなどの公開情報を元に様々な情報を推測していく。これは,セキュリティ・ポリシの監査的な意味合いが強い。電子的なものだけでなく,企業や組織が持つ情報がいかにアクセス・コントロールされているかをチェックする。
侵入検知サービスの良しあしは,一般に検査に使うスキャニング・ツールの精度や厳しさがポイントになる。スキャニング・ツールは多数あるが,厳しさに差がある。例えば,公開しているFTPサーバにバッファ・オーバフローの弱点があった場合,そのFTPサーバのバージョン情報を得るだけか,それとも実際に手口を試すのかといった違いだ。当然,検査は厳しければ厳しいほど精度が高い。
ただ,厳しい検査によって,運用中のサービスが止まってしまうと困る場合がある。例えば,どうしてもFTPサービスを止めたくない場合は「止めないようにチェックして」と伝える必要がある。このあたりはユーザ側で判断できる問題ではなく,ユーザはただ「壊したくない」とか「落としたくない」という要望を伝えるしかない。
逆に言えば,この要件を満たしてチェックしてくれるか,要件に応じてチェック方法を提示できるかがベンダに対する評価となる。
検査結果を報告してもらうときに気をつけるべき点は,そのサイトの事情に応じて柔軟に提言できるかどうかだ。セキュリティの専門家としては,検査で発見した穴は,すべて完璧に防ぐのが理想である。しかし,現実にはそうはいかない。そこで,どの程度の提言ができるかが,そのベンダの懐の深さになる。そういった懐の深さを引き出すためにも,ユーザは要件をしっかり伝えなければならない。
また,侵入検知検査をあらかじめ告知して行うか,それとも抜き打ちで行うかで,社内や組織内でいろいろネゴシエートしておく必要が生じる。一般に,抜き打ちの方が効果が上がるのは間違いない。しかし,抜き打ちで行う場合は,アフタケアが大切になる。なるべくカドが立たないように,上手に作業を進めるベンダが良い。
侵入検査サービスの価格は,ツール中心の半機械的な検査なら10万~20万円程度が相場だろう。ツールだけでなく,さまざまな手口やノウハウを駆使する検査となると,おそらくその3倍弱の手間がかかり,価格は30万~60万円というところだろう。
| 図6 ホスティングやレンタル・サービスなどを利用する場合の着眼点 |
|
ホスティングは「あいみつ」を取る
ホスティングやハウジング,レンタル・サーバは,ハードウェアやコンテンツを預かるサービスとしてくくることができる。一般に,ホスティングはハード・ディスクの間貸しサービス,ハウジングはユーザのサーバを預かるサービス,レンタル・サーバはサーバ・マシンと設置場所を貸し出すサービスを指す。これらのサービスのメリットは,(1)従来の運用管理体制に比べて場所と電源の心配がいらない,(2)自社に置いておくより物理的に安全な場所に置くことができる,(3)自社と異なる場所に置くことでリスクを分散できる,ことである(図6[拡大表示])。実際にサービスを利用する場合は,とりあえず預かる場所や預かり方をチェックする必要がある。場所(というか設備)は千差万別だ。最も豪華なのは,データ・センタと呼ばれるコンピュータ専用設備を持ったセンタである。これに対して,個人の事務所や自宅で預かるサービスもある。ただ,厄介なことに設備のゴージャスさとセキュリティ強度とは必ずしも一致しない。
最も気にすべきは,担当者の技術力だろう。技術の高い管理者がいるか,いるなら何人かをぜひ知りたい。本来なら,数人の技術者の技術力にサービス・レベルが依存していない方が望ましいが,現実にはそうもいかない。
もちろん,このような内容が雑誌広告やサービスのメニューを見ただけでわかるわけがない(わかる場合もある)。わからないながらも,どのベンダに頼むのか判断しなければならない。となると,情報収集が必要だ。
収集方法はいろいろある。まずは,ベンダのWebサイトやパンフレット,広告などである程度パブリックな情報を集める。もちろんその類の情報には,都合の良いことしか書いてない。が,同じようなベンダの情報を数社集めてみると,カバーしているサービス領域やセールス・ポイントに違いがあることが見えてくる。キーワードになる単語やメニューをすべて洗い出し,表にするとさらにわかりやすいはずだ。実績やサービスをやっている期間などもポイントになる。
こうしてかき集めた比較検討情報を基に,今度は周辺に利用者がいないか調べてみる。何といっても利用経験者の話が,一番リアリティがある。弱いところも強いところもわかっているだろう。利用経験者がいなければ,メーリング・リストや掲示板を探せば,非常に現実的な情報が飛び交っている。もちろんデマもあるし,匿名掲示板などはすべて鵜呑みにできるわけではない。しかし,大量の情報を短期にかき集めると,傾向は読み取れるはずだ。 実際,ベンダに依頼するときには「あいみつ」を取りたい。見積もりを数社から取り,その内容を比較検討する。気をつけたいのは,サービス・レベル・アグリーメント(SLA)である。どういうサービスをどの範囲で提供するのか,例えばホームページが書き換えられたら場合どう対処するのか,などをチェックしたい。
ここで「いや,ウチは書き換えなんて絶対されません。大丈夫です」などと答えるベンダは,まず危ない。良識的なベンダほど「セキュリティに絶対はない」ことが骨身にしみている。どんなサービスも,コストは青天井ではない。良いベンダなら,上限があるコストの中でどこまで対処できるのかをシビアに見極めているはずだ。サービス・レベル・アグリーメントは,その見極めの度合いをも表す。数社から文書をもらって,それを比較するだけで,いろいろなことがわかるだろう。
施設を見学しよう
施設の見学も,可能であれば行いたい。個人宅に行くなどは無理かもしれないが,会社やデータ・センタなら見に行くことができるだろう。見学する際は,まず出入りやルールなどをチェックしたい。施設自体の強度はデータ・センタが一番強い。しかし,運用を含めて考えないと意味がない。
施設に入ったら,今度はラックの強度を見る。といっても,扉をハンマでたたくわけではない。扉が開いたままになっていないか,鍵はかかっているのかなど,誰でも気がつくようなポイントを調べる。また,テレビ・カメラによる監視が行われているかなどもチェックする。
コンピュータを見る場合も,コンピュータの名称や会社名などを公開しているかを気にしたい。特定のメーカのサーバが大きいリスクを抱えているわけではないが,「○○社のサーバは3台あるみたいだが,負荷分散しているらしい。でもネットワーク機器はあまり点滅していない。その横にはi-mode用サーバと書いてあるが,こっちはすごいトラフィックだ。サービス停止を狙うとしたらこっちだろう。あっ,画面がログイン待ちになっている。あれはWindows NTだ。サービス・パックはどの程度当たっているのだろうか。そこに放置してある書類に,設定情報とか書いてあるみたいだ・・・」とラックの外からでもけっこうな量の情報が見て取れる。
もちろん,これらの情報にアクセスする(社屋やセンタ内に入る)までにブロックできればよいが,内部犯行にも注意しなければならない。このため,施設内に立ち入る内部の人たちと,どのような契約を結んでいるのか,どのような形で管理やメンテナンスをしているのか,などにも気を配る。いくら外部の人間を厳しくチェックしても,内部もしくはそれに準じる資格を持っている人たちが,容易に入室でき,ろくに契約の縛りもないなら,施設の強度と関係なくリスクは高いと言わざるを得ない。
セキュリティ・オプションがあるか
ここまでは,物理的なセキュリティ面について見てきた。では,情報システムとしてのセキュリティ面はどうだろうか。
これらのサービスには,預け方に(1)自前でコンピュータを用意して場所を借りる,(2)業者の用意したコンピュータ(あるいはその一部)を利用する,の大きく二通りがある。自前で用意したコンピュータは,当然ながら自前でインストールや設定を行う。ベンダはそういうコンピュータを預かりはするが,中身には手を出さない。まずは,どの預け方をすると,どこまでベンダが面倒を見てくれ,どの程度セキュリティ・レベルをアップできるかをチェックする必要がある。
最近ホスティングやハウジングのサービスにも,「セキュリティ」という文字が書かれていることが多くなった。しかし,内容は千差万別だ。物理的なセキュリティの場合もあるし,情報システムのセキュリティを含んでいることもある。
ただ,一般論として言えるのは,ホスティングやハウジングのサービスが,情報システムとしてのセキュリティを高品質で提供できるほどの価格ではない,ということだ。例えば,安価なサービスだと,ホスティングで初期費用1万円,月額3000~4000円,ハウジングやレンタル・サーバで月額2万~3万円程度だ。最多価格帯は,ホスティングで月額5000~6000円,レンタルで月額4万円程度,ハウジングで5万円程度である。これは,これらのサービスが競争過多気味で高くできないためだ。逆に言えば,それだけコストをかけられないということになる。
ネットワークやコンピュータ,サーバのセキュリティ対策にはコストがかかる。例えば,ファイアウォールやIDSなどの運用管理(保守)費用を含めて,月額4000円程度の価格で提供できるものではない。運良くセキュアな設定になっていたとしても,それはたまたま現場に良心的な知識のある技術者がいただけだろう。
では,何をチェックすればよいのか。実際にサービスを利用するなら,セキュリティ対策をオプションとして,用意しているのかをチェックしたい。例えば,OSをセキュアに設定してくれるのか,ファイアウォールや侵入検査装置のような保護策の下で管理するのかなどだ。メニューにあるなら,依頼する前にその内容を聞き,どこまでのセキュリティ対策をしてくれるのかをチェックする。チェック・リストとしては,Windows系ならマイクロソフトのサイトにある「セキュアサーバ設定」などの情報,UNIX系ならIPAが提供している「安全設定情報」などが使えるだろう。ファイアウォールに関しては,どういうポリシを設定しているのかを聞けばよい。例えば,外部に公開しているサービスやメンテナンス用に公開しているサービス一覧などである。
このほか,おかしな事態が発生した場合の対処方法もチェックしたい。例えば,Webサーバの内容が書き換えられた場合,どういう対処手順になっていて,復旧は何をどうするのかなどである。すぐに事後対策するのか,それとも数日から数週間かかるのか,あるいは復旧するデータは安全なものなのかなどを見極めたい。
事前に検討できるのはこのくらいだ。後は,実際にそのサービスを利用してみるしかない。
サービス利用後のリスク・ヘッジを考えるなら,サービスの利用契約期間にこだわる。これが長くなっていると,解約するときに違約金が発生する可能性があるのだ。半年くらいつき合って,ベンダを観察していると,アフタ・サービスの品質もわかってくるし,トラブル発生時の対応やサービスそのものの品質を見極められる。ダメなら乗り換えるという考えで,なるべく乗り換えやすい契約条件を結んでおく。これがリスク・ヘッジにつながる。
|
園田 道夫 筆者は株式会社アイ・ティ・フロンティアに勤務。現在は同社セキュリティソリューション部にてコンサルテーションを主に行っている。同社のサイト「プラスセック」(http://www.itfrontier.co.jp/sec/)にて各種読み物連続掲載中。また,日本ネットワークセキュリティ協会(JNSA)技術部会・不正アクセス調査ワーキンググループリーダーを務める。 |
