不正アクセスの被害を受けた場合,だれに連絡すべきか,対応はだれがやるか,といった手順を事前に決めておかなければ迅速な対応はできない。どう行動するかという人間系の対策と,どう復旧させるかという技術系の対策の両方を検討しておく必要がある。
|
|
図1●被害発生時の対応手順をあらかじめ決めておかないと失敗する スパム・メールの踏み台にされた,ホームページを改ざんされた,といった不正アクセスの被害を受けた場合,事前に対応手順を決めておかないとまともに対処できない可能性がある。どういう時にだれに連絡するのか,どのような対応をだれが実施するのか,など実際の対応手順をあらかじめて決めておく必要がある |
|
|
図2●管理者や責任者は緊急対応の手順を確認しておく 事前の準備もなしに,被害範囲の特定や原因の調査,システムの復旧,監視体制の強化,といった一連の作業を実施するのは難しい。「対応手順書」のようなものを作成しておくことが望ましい。上記の内容は,インターネットにおける不正アクセスの対策を目的とした組織であるJPCERT/CC(http://www.jpcert.or.jp/)が公開する技術メモ「コンピュータセキュリティインシデントへの対応」を参考に作成した |
|
|
図3●通常の管理作業も重要になる OSやアプリケーションのログはある程度長期間は保存しておく,失敗のログだけでなく成功のログも取得しておく,などが必要となる。ログ・ファイルを監視,フィルタするswatch,ファイルの改ざんをチェックするTripwire,などのツールを利用していれば,対応も楽になる |
|
|
図4●OSやアプリケーションの種類,バージョンなどはすぐに露呈する HTTPのGETリクエストやFTPのSYSTコマンドなどを利用すれば,OSやアプリケーションに関する情報を取得できるほか,TCP/IPの実装の違いからOSの種類を特定するツールなども出回っている。最新のバージョンを使用していないと狙われてしまう可能性が高い |
|
| 表1●緊急対応の対策を検討する上で参考になるサイトの例 |
最近では,セキュリティに対するユーザーの意識はかなり高くなってきた。しかし,「ファイアウオールの設置やアクセス・ログの監視体制は整っている」といった段階で満足していないだろうか。こうした油断は,むしろ危険だ。万一,ホームページを改ざんされた,あるいはスパム・メールの踏み台にされた,といった被害を受けた場合,その直後の処理によっては,二次被害が発生してしまう(図1[拡大表示])。2000年1月に科学技術庁のホームページで発生した不正アクセス事件のように,あわててシステムを復旧したが再度攻撃された,というケースも少なくない。
不正アクセスが発覚した時に,だれに連絡すべきか,システムやネットワークを停止して構わないのか,などを即座に判断するのは難しい。被害をベンダーに連絡すれば済むわけではない。「ベンダーに依頼してもファイアウオールの内側は別のベンダーだから対応しないといったケースもある」(ラック 不正アクセス対策事業本部 技術部 部長の西本逸郎氏)からだ。事前に対応手順を決めておかなければ迅速に対処できない。問題発生時の処理手順まで決めて初めて,不正アクセス対策が整ったと言える。
人間系と技術系の対策がある
実際に不正アクセスの被害を受けた場合の対応は,以下のような手順になる(図2[拡大表示])。(1)担当者,責任者への連絡,(2)事態の把握,(3)システムの停止やネットワークの遮断,(4)被害範囲の特定,(5)原因,侵入経路の調査,(6)再発防止策の実施ならびにシステムの復旧,(7)監視体制の強化,(8)作業の報告,評価ならびに運用体制の見直し――である。
こうした一連の対応手順は,人間系と技術系に分けて対策を考える必要がある。人間系の対策とは,不正アクセスの被害を受けた場合にだれに連絡すべきか,だれが対応するのか,といった行動指針である。内部犯行の可能性もあるので特定の人間にしか連絡しない,一般ユーザーは勝手にシステムを操作しない,対応時の作業記録は必ず残しておく,といった詳細な対応手順を決める。かつ,一般ユーザーまで広く徹底させる必要がある。顧客リストのような機密情報が漏えいした場合の対応なども検討しておく必要があり,手順の策定には経営者の承認が必要である。
一方,技術系の対策とは,OSやアプリケーションのどのログを調べるのか,復旧作業はどうやるか,などシステム的な対応作業である。通常,これはシステム管理者が実施するものだが,(4)~(6)の作業はかなり難しい。セキュリティの専任者でなければ対応できない可能性がある。
例えば,侵入された手口を調査するためには,どのような攻撃を受けた場合にどのようなログが残るのかを知らなければ原因を調べられない。ほかのサーバーのパスワードが盗聴されていたり,トロイの木馬やバックドアなどが仕掛けられていたりする可能性もあり,その存在を見落とした場合は大きな二次被害を招くことになる。これらの対応ができるセキュリティの専任者が必要になる。
基本対策の実施が重要
対応を円滑に進めるには,通常の管理作業も重要だ(図3[拡大表示])。特にログはある程度長期間保存していないと,被害範囲や原因を特定できない場合がある。長い間,不正侵入に気付かない可能性があるからだ。その場合はかなり前までさかのぼってログを調べる必要が出てくる。どのくらい保存しておけばいいかは一概には言えないが,「本来は1年くらい必要」(グローバルセキュリティエキスパート 専務取締役の山崎文明氏)である。
またログは,デフォルトでは問題や失敗のみを記録する設定になっているが,これだけでは足りない。「データが盗まれた場合など正規の操作で行われた不正アクセスを調べるためには成功のログも必要」(ラック 不正アクセス対策事業本部 取締役本部長の三輪信雄氏)になる。このほか,ログ・ファイルを監視,フィルタするswatch,ファイルの改ざんをチェックするTripwireなどのツールを利用していれば,対応がしやすくなる*1。
ただし,これらの対策を実施した場合も,「管理者権限を取られた場合はログは信用できない」(三輪氏)ので注意したい。侵入者によってログが改ざんされている可能性が高いからだ。その場合はファイアウオールのログなどと突き合わせながらログの妥当性を調べていくしかない*2。
システムの復旧作業において重要なのは,基本対策の徹底である。すなわち,アカウント(パスワード)を強化する,OSやアプリケーションはパッチを当てて最新バージョンを使う,ファイアウオールを入れてフィルタリングする,不要なバイナリ・ファイルは削除する――などである。
中でも,パッチを当てて最新のバージョンを使う,というのは必ず実施しておきたい。侵入者はセキュリティ・ホールの存在が分かっている,古いバージョンのOSやアプリケーションを使用しているサイトを狙うからだ。侵入者にしてみれば,OSやアプリケーションのバージョンは簡単に調べられる(図4[拡大表示])。TCP/IPの実装の違い(Finger Printと呼ばれている)からOSの種類やバージョンを特定することも可能で,この仕組みを利用したツールもインターネットで公開されている*3。パッチを当てて最新のバージョンを使う効果は大きい。
実際の運用にはポリシーが必要
緊急対応の手順,技術的な対応方法などに関する情報はインターネットでも公開されている(表1)。まずはこれらの情報を参考にして対応の手順を決めるようにしたい。ただ,単純にマニュアル化しただけでは駄目だ。特に人間系の対策に関しては,セキュリティ・ポリシーとして経営者から一般ユーザーまで組織全体で運用できるようにしないと効果は期待できない。
このほか,被害の対処からシステムの復旧までを請け負う緊急対応のサービスを利用する方法もある。グローバルセキュリティエキスパートやラックなどがサービスを提供する。ただし,コストは数百万円かかると考えておいた方がよい*4。 (榊原 康=sakakiba@nikkeibp.co.jp)
