◆システムの脆弱性を発見するセキュリティ監査ツール セキュリティ監査ツールとは、システムの脆弱性を発見するツールです。 たとえば、 OS やアプリケーションの脆弱性を診断するツールのインターネ ット・スキャナーが有名です。セキュリティ監査ツールには、セキュリテ イの脆弱性に基づいたリスクに重み付けをしたレポートを作成する機能が あります。このような機能を活用することによって、継続的に情報システ ムのセキュリティレベルを知り、改善に役立てることができます。 監査ツールにはそれぞれ、得意とする分野があります。たとえば、イン ターネット・スキャナーは、商用 OS 、商用アプリケーションについては比 較的有効に脆弱性を発見します。しかし利用者のパスワードの脆弱性とい う点では、監査するには不十分な側面があります。そこでパスワードの脆 弱性をチェックするには、 L0ftCrack 、 John the Ripper などのパスワード専 用の監査ツールを組み合わせて使う必要があります。個々の監査ツールの 強み、弱点を知ることは、現状のセキュリティを知る上で大切です。 また、監査ツールを選ぶ時には、最新のセキュリティ情報を反映したツー ルを選択することが肝心です。 ◆監視ツール・監査ツールを導入しても、万全ではない セキュリティ監視・監査ツールでも、セキュリティの脆弱性を完全に発 見できるわけではありません。ハッカーの世界では、このようなツールを 逆に利用したり、気づかれないで弱点を探る方法があるからです。たとえ ば、アプリケーションの仕様を悪用したハッキング行為や、比較的新しい バックドアなどは発見できません。また、ネットワークに負荷のかかった 状態では、データの取りこばしが生じる可能性もあり、監視・監査ツール による測定は困難です。このようなセキュリティに対してはソフトウェア では限界があり、人間の手にゆだねるしかありません。 それでも、監視・監査ツールを使うことによってセキュリティ管理者、 システム管理者の手間が省かれる利点は大きく、導入している企業が増加 しているのが現状です。 144
んで通信を行なっていました。そこで ID 部分を変更してアクセスしてみる と、他のユーザーの個人情報が表示されることが判明しました。このよう に、ユーザー側の入力ミス程度の異常データでセキュリティの脆弱性が露 呈することもあります。 ④提供外サービスのチェック 顧客にサービスを提供しているシステム ( ウエプサーバーなど ) では、 システム構築段階のミスによって業務で不要なサービスを提供しているこ とがあります。たとえば、ホームページのサービスを提供している筈なの に、電子メールが利用できる設定になっていることがあります。このよう に、業務で利用していないサービスが社外に提供されている場合、外部か ら不正利用される可能性が高く危険です。ベネトレーションテストでは、 このような不要サービスの確認作業も行ないます。 ⑤バージョンのチェック・修正プログラム適用チェック 対象システムで使われている OS やアプリケーションのバージョンが古い 場合、新しいバージョンとの差を調べることによって、受ける可能性のあ る攻撃方法を簡単に調べることができます。この結果から、システムの脆 弱性を推測することができます。 また、たとえ最新のバージョンであっても、脆弱性が発見されている場 合、通常は修正プログラムを適用しなければなりませんが、最新バージョ ンにして安心してそのまま運用しているケースがあります。修正プログラ ムが適用されているかを確認するのもベネトレーションテストです。 ⑥擬似攻撃 ( ベネトレーション ) これらのシステムの脆弱性情報を元に、システムへの擬似侵入を試みま す。たとえば、修正プログラムが適用されていなければ、その脆弱性を突 破する仕組みを作り、システムを擬似的に攻撃します。対象マシンのシス テム管理者権限を奪うことができれば、擬似攻撃の作業は終了します。 ⑦報告書作成、報告 最後に作業をまとめて、顧客に報告してベネトレーションテストは終了 します。顧客が納得できない場合は、さらに詳しい証拠を提出し、同意を 頂きます。 第 2 章◎情報リスクマネジメントの概要 67
ロリスク分析のフロー ・漏れのない 洗い出し ・情報の属性 を把握 情報資産分析 情報資産の一般的な属性の明確化 ・多角的な視 点からの脅 威の洗い出 し 脅威分析 情報資産に対する脅威の洗い出し ・専門的な知識を利用 しながら、脆弱性を 見出す ・企業経営への影響を 分析 重要性分析 情報資産に対する重要度分析 脆弱性分析 情報資産に対する脆弱性分析 リスク分析 重要度、脆弱性を考慮したリスク分析 第 3 章◎セキュリテイボリシーの策定 101
外部からの脅威に備える 「・藤セキュリティ」 セキュリティ対策の基本的な取り方は、ます脅威を洗い出し、 それに対する方針を固め、具体的な対策を選択することた。 ◆情報リスクからの防衛策 = 情報セキュリティ 様々な情報リスクから企業や情報を守るために講じておく対策が、情報 セキュリティです。その手法はいろいろありますが、その中でも特に大き なものとして、セキュリティポリシーの策定と、ベネトレーションテスト が挙げられます。セキュリティポリシーについては次章で詳しく紹介しま すので、こでは、情報リスクについて外部からの脆弱性をあらかじめ診 断するベネトレーションテストについて、詳しく紹介することにします。 ◆脆弱性を発見するために自らを攻撃するベネトレーションテスト 情報システムがインターネットなどのネットワークに接続されている場 合、外部からの脅威を想定したセキュリティ対策が必要となります。外部 からの脅威に備えるには、実際に外部から攻撃する側の視点に立ち、セキ ュリティ対策を練ることが効果的です。その手法の一つが、ベネトレーシ ョンテストによる脆弱性診断です。 ベネトレーションテストによる脆弱性診断とは、外部から情報システム に対して擬似的に攻撃する立場で情報システムを診断することです。ベネ トレーションテストとは「貫通」という意味で、システムを外部から「貫 通」できるかどうかをテストするのがベネトレーションテストです。 特に、システム納入業者にセキュリティを依存している会社、あるいは システムの運用を任せている企業には、ベネトレーションテストを実施す る価値があります。なせなら、テストを実施した報告書が、運用業者、シ ステム部門によい刺激となるからです。 64
ロ監査ツールが作成する報告書 監査ツールによって発見された情報システムの 脆弱性の件数をあらわしています Scan S 川載 ) , ー截 0 HosÉ Scanned: } s Active: Hosts Ac 血肥 : Number 0fVuInerab11ities by Sever1ty Scan S ねⅱ・ 20 用 1 / 16 :01 : 38 2 ロ川 1 / 16 02 : 45 : 01 Scan End: 02 43 : 23 sed: P ercent 0 f Vulnerab ⅱ iti es by Severity 7 7 ロロロ日 1 2 11 .4 -8 sa を = q こと It1A 老 jaqTJ-1üN 13 VI 止面 ーれ t 肥 d 84.6 4 ロ Med 1 5 4 % ロ LOW 84 6 % Total•100 0 % 2 Me m 。 システムに存在するセキュリティの 脆弱性の割合を図にすることで、 セキュリティの傾向をあらわしています 第 4 章◎セキュリティテクノロジーの最先端 145
◆ベネトレーションテストの手順 ①顧客の合意 ベネトレーションテストでは、脆弱性を発見するにあたり、調査する対 象や範囲を限定して顧客の同意を得なければなりません。なせならテスト を実施する上で、ハッカーと同様に不正なアクセス技術を用いる事もある からです。たとえばベネトレーションテストでは、対象マシンに対して負 荷をかけ、最悪の場合、ネットワーク機器やサーバーをダウンさせること もありますが、その目的はシステムが安全に稼動できるのかを確認するこ とです。あらかじめ合法的な作業であることを承諾してもらわないと、シ ステム運用管理者から不正アクセスと認識される危険性があります。 ②情報収集 顧客の同意が得られたら、テストの対象システムに関する情報を収集し ます。一般には、会社のパンフレット、新聞や雑誌の記事、プレスリリー スを活用して、システムの性能、機種、業者を調査します。最近ではホー ムページのある企業が増えているので、インターネットからも情報収集・ 調査することが必須となってきています。情報システムが外部に提供して いる情報の範囲を知ることからはじまり、ファイアウォール、ルータの設 定のミスを調べて脆弱な箇所を見つけます。 ③既存サービスのチェック 収集した情報に基づいて、対象システムでどのようなサービスが行なわ れてるかを確認します。そして行なわれているサービスについて、正常処 理と異常処理のテストを行ないます。 正常処理とは、正規の登録者が正しい手続きに従って作業を進めること が可能か否かを確認することです。複数回の正常処理を行なった結果、担 当者による手続きの違いや処理時間に大きなズレが生じることを発見する ことがあります。その原因がシステムにある場合、脆弱性として判断します。 異常処理のテストでは、通常ではエラーとして処理される筈のデータを 故意に入力して動作を確認します。あるメーカーではゲームの販売申し込 みをウエプでサービスしていました。このサービスでは ID を URL に埋め込 66
ロベネトレーションテストの流れ 顧客の合意 ( 対象マシン、実施期間、対象サービス ) 企業側の準備 ・物理的なネッ トワークマッ プの作成 ・ソフトウェア の管理状況の 把握 ・アクセス権限 の把握 情報収集 ( 会社案内、新聞、雑誌記事、インターネット ) 提供外サービスのチェック 既存サービスのテスト 例 : 電子メール、 正常処理 ファイル転送など 異常処理 疑似攻撃 報告書作成 ( 発見された脆弱性・想定される脅威 ) 確 内 セキュリティ対策の選択 ③アクセス権限の確認 第 3 点は、マシン上に保管されているデータとアクセス権限との関係を 明らかにしておくことです。システムの脆弱性とデータとの関係を直接結 びつけることができなければ、企業のデータへの脅威を把握することはで きません。このため、ベネトレーションテストを行なう時には、対象マシ ンにおける顧客データベースのアクセスユーザー ID 、データベース管理者 ユーザー ID の一覧を作成しておくことを勧めます。 第 2 章◎情報リスクマネジメントの概要 69
◆テストに併せて企業が準備しておく 3 つの資料 このようにベネトレーションテストでは、外部からの攻撃によるシステ ムの脆弱性をより具体的に知ることができます。このテストの結果を基に 判明した情報システムの弱点を、システムを構築した SI べンダーなどと協議 して解決していくのが一般的です。 ベネトレーションテストの報告書には、発見された脆弱性から想定され る脅威が書かれています。発見された多くの脅威から、どれに対して優先 的にセキュリティ対策を立てていくのかを決めるのは企業です。 その時、自社のネットワークの稼働状況について、下記の 3 点の資料を 用意しておけば、報告書と現状をすりあわせることで、より正確に企業に とって重要なリスクを浮き彫りにできるでしよう。 ①物理的なネットワークのマップ 第 1 点は、物理的な位置が把握できるネットワーク構成マップを作るこ とです。企業によっては、事業所毎にインターネットに接続している場合 もあれば、インターネット側から接続できるマシンが複数の支店に分かれ ている場合もあります。ただし、ベネトレーションテストを実施した時の ネットワーク構成が、その後に変更されていればベネトレーションテスト を行なった意味がありません。少なくともベネトレーションテストの期間 だけは、ネットワーク構成を固定させる必要があります。 ②ソフトウェアの管理状況 第 2 点は、ソフトウェア自身のバージョン管理、修正プログラムの適用 状況の記録をベネトレーション前から記録しておくことです。ネットワー クの設定情報を紙に保管しておくことも忘れてはいけません。 ベネトレーションテストのレベルが低い業者によっては、商用ツールの 自動診断結果を出してくることがありますが、実はツールによる診断には ネットワークの状態によって誤診が起きることがあります。ベネトレーシ ョンテストの報告書の元になったデータに誤りがあるか否かを証明する意 味からも、ソフトウェアのセキュリティ履歴は重要です。 68
ロベネトレーションテストとは ? テストの依頼 ベネトレーション の実施者 クライアント の ア イ 主月 脆弱な箇所 ( セキュリティ ホール ) の報告 疑似攻撃 ◆ベネトレーションテストの実施者の選び方 ベネトレーションテストの実施は、一般のコンサルタントではなく、セ キュリティの専門知識と豊富なトラブル解決経験を持った専門家に依頼す ることが一般的です。 最近では、 SI べンダーもベネトレーションテストを行ない始めています。 しかし SI べンダーに依頼する場合には、テストの結果が SI べンダーに有利 になっていないか、公平性、中立性を確保することが重要です。ベネトレ ーションテストと SI 構築がマッチボンプに働くなら、それは企業にとってメ リットが少なくなります。ベネトレーションテストを行なう時は、 SI 構築と は関係のない業者を選択するのも一つの方法です。また、ベネトレーショ ンテストには顧客の了解が前提となるのはもちろんですが、作業で知った 情報に対しても守秘義務契約を結ぶのが一般的です。 第 2 章◎情報リスクマネジメントの概要 65
ロ不正アクセス手法と不正アクセスツール 代表的な攻撃・探査・ 目的 不正アクセス手法 スキャンツール Samspade セキュリティの弱いマシン ポートスキャン Nmap ( 脆弱性チェック を走査 ( スキャン ) し、攻 PO 「 tscan ツールを含む ) 撃対象を探し出す。 tWW\NSCan 故意に多量のデータを送り WOOf iishack2000jilI つけて、システム管理者権 fbsdftp_ex 限を奪う。 バスワードを入手することで 当該ユーサーになりすまし、 バスワード推測 マシンに不正侵入する。 バッファ オーバーフロー LC3. O JOhn the Rippe 「 不正アクセスを可能にするツールは、 インターネット上から誰でも簡単に手に入れることができる ! を 3 いや阯 第 1 章◎事例で見る「情報リスク」の脅威ーー 25