第 3 章企業のセキュリティ対策 7 カ条 内容を解析する際には、監査の記録を利用することになる。 筆者は、企業活動によって生成されるデータの収集、保管、手続きとセ キュリティ解析を連携させる仕組みを提案しているが、これは特にセキュ リテイインシデント・サービスの応用 ( オプション ) で有用となる。 筆者は、コンヒ。ュータセキュリテイインシデントがホスト、ネットワー ク、サイトもしくは複数サイトの環境に発生する前と、発生時、発生後に 利用するガイダンスを提案している。これはセキュリティが突破されたと きの実践的な対処の考え方や、予期せぬダメージ、その他セキュリティの イベントについて、あらかじめ適切な緊急時対応計画 ( コンティンジェン シープラン ) に対応を示すサービスである。 従来のセキュリティ・コンサルタントが提供していたコンヒ。ュー キュリティでは、サイト全体のセキュリティ計画において極めて重要であ るにもかかわらす、通常、もし攻撃が起きたら実際にどのように対処する かについてはあまり注意を払われていなかった。 その結果、攻撃を受けている最中には、多くの意思決定が急いでなされ てインシデントの攻撃元をたどる危険を犯し、訴訟のために使用される証 拠も収集し、そのシステムの回復の準備もし、システム中の価値あるデー タを保護するといったものになってしまっている。インシデントを効率的 に対処するポリシーが確立されている場合、それが起きた場合、より少な い時間、少ないコストで済むことになるはすである。 こでセキュリテイインシデントの対処として、以下のポイントでサー ビスを提案しておきたい。 ・準備と計画立案 ( インシデントに対処する際の目的と目標事項 ) ・インシデントの通知 ( インシデントが起きた場合に、誰が連絡先とな るか ) ・法執行機関と調査機関の組織化 ・インシデントの識別 ( インシデントであることと、その重要性 ) ・対処 ( インシデントが起きた場合、何をすべきか ) 237
減と裁判時間の減少により、当然ながら、訴訟案件がかなり増加すると見 られている。一方で、日本の企業は PL 法の意識がまだ希薄であり、その 対策も不十分なところが多い。従来のその場しのぎの対策ではなく、情報 管理を含めたリスク管理、あるいは品質管理にまで踏み込んだ対策が急が れている。 最近、製造業の分野では品質管理の延長で、リスク管理のアプリケーショ ンが関心を呼んでいる。たとえば、航空機に使用されているパーツの履歴 管理を徹底させ不良パーツの排除を実現する「航空機部品統合管理システ ム」は、半導体や電子部品への品質マーキングにも応用できるものだが、 この背景には、金属バーツの破損、耐久性の劣化など製造に起因する墜落 事故を避ける一種のリスク管理のコンセプトから生まれてきた手法で開発 されている。 PL 法やリスク管理の解決は、たんに「トラブル対策」ではない。 たと えば、製造業なら製品やパーツなどに品質データをデータベースで管理し、 これらの品質管理の観点でマーキングし、顧客に対しては情報公開し、な おかっ余計な情報が漏れないよう徹底した品質管理を行う手法である。生 産から廃棄までの一貫した情報管理が問われているものである。 さらに いったん事件事故が発生した場合に、その対応のためのコスト も企業の負担するコストであることを明確に理解し、自社の社員の管理体 制を強化しておくことが必要である。いわば、製品 ( 商品 ) という物と、 顧客に満足を提供する「情報」にいたるサービスの流れの一体化、「情物 一体」のコンセプトでとらえられるべきものである。 かって不正輸出をめぐって 12 億 5 , 000 万円の支払命令 ( 東京地裁 ) に対 して被告側の日本航空電子工業事件が控訴していた事件は、 97 年 10 月に和 解が成立した。この事件はきわめて高額な支払い命令 ( 調査時 ) が特徴で ある。かようにリスクの対価、代償は高価につく。野村証券事件や第一勧 業銀行事件については総会屋に対する利益供与事件においても多額の支払 命令が下されている。 56
第 3 章企業のセキュリティ対策 7 カ条 ( 6 ) コンビュータ緊急対応センター (C ERT) について ータ緊急対応センター (Japan Computer Emergency Response T コンヒ。ュ eam/Coordination Center 、略称 : JPCERT/CC) は、インターネットを安全 に利用できるようにするため、不正アクセス対策などの活動を行なうこと を目的とする組織である。平成 8 年 8 月 6 日に設立され、同年 10 月 1 日に 事務所を開設して活動を開始している。 JPCERT / cc という名称の最後に 付いている「 CC 」は、 Coordination center の略称である。 JPCERT/CC には、常勤の技術者 / 事務員以外に、 JPCERT/CC の活動を 支援していただくアドバイザリーという外部の協力者がおり、有識者、ユー ザ、べンダ インターネットサービスプロバイダ等の参加で運営されて いる。そして JPCERT/CC は特定の政府機関や企業からは独立して活動し ており、基本的には日本国内のユーザを対象として以下の活動を精力的に 行っている。 ータネットワークの不正アクセスに対応する活動 コンヒ。ュ ・セキュリティ情報の収集と分析 ・再発防止策の検討 ・セキュリティ情報の提供 ・セキュリティ技術の普及支援 ・被害の受付と対応 ・被害の実態調査 ・被害状況・侵入手口の分析 ・再発防止のための対策の検討と助言 また、 JPCERT / CC は司法的な権限を持った組織ではなく、刑事事件の 捜査といったことを行う組織ではない。あくまで JPCERT/CC と IPA は、独 立した組織であり、互いに協力してコンヒ。ュータ不正アクセス被害の拡大 防止と再発防止を図っている。 そして IPA の不正アクセス届出制度は、パソコン通信も含めたネットワー 243
第 3 章企業のセキュリティ対策 7 カ条 ・コスト効果の高い手法による資産保護の手段を採用する ・継続的にこれらの過程をレビューする ・脆弱性を発見し、改善する リスク管理では、発生するリスクの処理方法を合理的に考えなけれはな らない。企業のシステムやサイトで有効なセキュリティ計画を立案する場 合、脅威から自らを守るコストは、実際にその脅威が襲い、そこから復旧 するためのコストよりも小さくなければならない。ここでいうコストには、 実際の通貨価値に基づく損失、評判、信用、他の無形の損失が含まれてい る。 リスクコントロールは事前対策として事故防止や損失軽減のための諸対 策を講じることであるが、事後対策として事故により被る損害を金銭的に 補填し、経営の損失を回避する方法もある。この事後措置は通常はリスク ファイナンスの範囲になる。総じてリスクファイナンスの手法には、次の 2 点をあげることができる。 ( 1 ) リスクを保有し、発生した損失を自己負担で対処するやり方 ( 2 ) 損害保険を付保することにより、リスクを転嫁するやり方 ( 1) は損失を経常費で処理をしたり、準備金を積み立てて処理する方法や 事故発生の場合借入金で対処する方法もある。また、 ( 2 ) は、損害保険を付 保することにより、リスクを転嫁する方法である。コンヒ。ュ ータシステム ータ総合 のためのコンビュータ保険がそれに該当する。さらに、コンピュ 保険は、下記のように、情報機器の保険、情報メディアの保険、情報のみ に生じた損害の保険、営業継続費用の保険、利益の保険などで構成される。 ・情報機器の保険 情報機器について、火災・爆発、汚染、破損、盗難などの偶発事故で被っ た直接的な損害に対して支払われる。 ・情報メディアに対する保険 229 より被った場合、修復、再製作、再取得で要する費用が支払われる。 情報メディアについて、火災・爆発、汚染、破損、盗難など偶発事故に
第 3 章企業のセキュリティ対策 7 カ条 係がある。 ファイアウォールの守りをかためればかためるほど、インターネットの 使い勝手は悪くなる。メールやネットニュースの中継は、ゲートウェイ上 で行うことで可能であるが、 ftp や telnet 、 gopher 、 www などの対話的なア プリケーションは内部のホストから直接は利用できなくなる。ューザに対 話的サービスを使わせるために、ゲートウェイのホストにアカウントを作 成するのでは、そこでのパスワード管理が問題となる。当然ゲートウェイ の安全度の低下につながりかねない。 外部からの不正なアクセスに対処するには、これまで述べたような消極 的方法の他に、アクセスを防止、監視そして撃退するという積極的なアプ ローチも組み合わせていく必要がある。アクセスログの取得、アクセス制 限による攻撃者をトレースなどである。また、セキュリティホール発見ツー ルでチェックを行って、不備な点があれば、それをふさいでいくことが大 切である。また、システム関連ファイルやディレクトリ、デバイスのアク セス権、 r 。。 t や一般ューザアカウントの各種設定ファイルのアクセス権な どセキュリティを総合的にチェックするための監査ツールを活用するのも 必要となるであろう。 ( 5 ) イントラネットのセキュリティ対策 企業内の重要な情報が多数飛び交うイントラネットでは、情報が集中す るサーバに対するセキュリティ対策が重要である。人事情報、役員間の交 信など、社内といえども漏洩しては困る機密情報が数多く存在するからで ある。もし有効な対策を施していない場合、このような漏洩が起こってい る事実を長期間、あるいは永遠に気づかない可能性もあり、そのまま漏洩 が続くという最悪の事態に陥りかねない。 イントラネットのセキュリティについて、最初に取るべき重要な措置は、 アクセス制御とユーザー管理である。アクセス制御は、ファイルの所有者 やグループと、ユーザ名、ユーザの所属するグループを比較してファイル 207
やかに業務再開のため回復させるのが回復機能である。 本書の第 2 章以降において、特に情報セキリティの観点から最近の動 向、具体的な方策、手法、ツールについて解説している。そして、これら の損失の発生の頻度と強度を軽減させる手段と、発生した損失の処理方法 を検討するプロセスが続く。こで費用対効果の点で優れたリスク対策、 処理方法の最善の組合せを選択しなければならない。 ( 5 ) リスク管理はコストを覚悟しなければならない 費用対効果を検討する際のリスクコストは、次のような費用が構成要素 となる。 ・セキュリティ関連費用 ( 損失予防費用 ) ・セキ = リティ対策強化のためのプログラム修正費用 ( 損失軽減費用 ) コンヒ。ュ ータ関連保険の保険料 ( リスク転嫁費用 ) ・対応しきれなかった損失額 ( リスク保有 ) ・損失対応のための管理費用 ( リスク保有 ) 最近のアンケート調査によると、株主代表訴訟に対応するために保険に 加入したとする企業の割合が半数を占める半面、適正な経営に努めれば保 険に加入する必要なしと判断した企業や、訴訟を受ける恐れがきわめて少 ないとの判断を持った企業が 3 割を占めている。 リスク管理の基本は「不確実性」をリスクとしてとらえることでもある。 企業活動で避けることのできない不確実性がもたらす損失側面を最小限化 することもリスク管理の重要な要素だが、損失が発生した場合に備えて、 損失の保有、契約による転嫁、保険による転嫁が大きな課題として認識さ れるようになってきている。 新しいテクノロジーが生まれれは、、必ず新しいタイプの犯罪が発生する。 そして、新しいサービスには新しいタイプのリスクが発生するであろう。 リスクをコントロールするためのリスクマネジメントは、企業に潜在する 新たなリスクを発見・確認し、それにより発生する損失を評価し、測定す 60
第 3 章企業のセキュリティ対策 7 カ条 プロキシサーバと運用図 図 3 ー 4 イントラネット ( 企業内ネット ) インターネットゲートウェイ ( プロキシ ) インターネット インターネットゲートウェイ ( プロキシ ) 部門別プロキシサー / ヾ ファイアウォール サービスプロバイダなどのプロキシ群 用できるかよりも、どれだけのプロトコルに対応したプロキシをもってい るかがセキュリティの高さを判断する基準になってきているといっても過 言ではない。しかしプロキシ製品は、そのプロトコルごとに開発が行われ るため、バケット・フィルタリング・タイプの製品よりも出荷や対応が遅 れることが多い。しかし、セキュリティが高いという特徴をもっているた め、製品によっては完成品が開発・出荷されるまでの応急措置としてサー キットゲートウェイ機能やバケットフィルタリング機能をオプションで用 意し、使えるようにしている製品もあるくらいである。 製品によっては、 HTTP のみをプロキシで対応し、残りをバケット・フィ ルタリングで対応しているものもある。この場合でも、カタログ上はすべ てが対応プロトコルとして扱われることが多いので注意が必要であろう。 201
第 3 章企業のセキュリティ対策 7 カ条 では通常、クリアテキスト、つまりパスワードとして入力した文字がその まま POP サーバに渡している。そこで、この欠点を補うべく考えられた方 法として APOP 認証がある。 APOP 認証では、クライアントは入力された パスワードを暗号化してサーバに渡す。サーバは、クライアントと効用の 手順でサーバ上にあるパスワード情報を暗号化し、比較をして、認証を行 うのである。 APOP 認証が UNIX などのログオンと異なるのは、パスワードが送られ てくるたびに、サーバが自分の持っているパスワード情報を暗号化し、比 較する点である。そのため、クライアントとサーバの両方のソフトウェア で APOP 認証をサポートしている必要がある。なお、この APOP 認証をサ ポートする電子メールクライアントには EUDORA pr 。などがあげられる。 しかし違法侵入を防ぐために こうした認証機能に全面的に頼るのは危 険である。すべてのユーザーが破られにくいパスワードを付け、それを 秘密にしていることは期待できない。たとえそうだとしても、暗号化やワ ンタイム・パスワードを利用していないと、ネットワークを平文で流れる パスワードにはタッヒ。ング ( ネットワーク内を行き交うバケットを直接盗 み見て、中身の情報を取り出すこと ) のおそれがある。また、同じサーバー 上で稼働する別のアプリケーションのセキュリティ・ホールを足掛かりに ・マシン自体の特権モードを手に入れられるかもしれない。そう なればアプリケーションの認証機能など、意味がなくなってしまう。 こうした抜け穴を、それぞれの時点で分かっている限りのレベルまでふ さぐ方法は確かに存在する。ただし、その対応は非常に面倒である。また、 いつ新しい穴が見つかるか分からないので、継続的な情報の取得と対処が 求められる。そのため、すべてのマシンの守りを強固にする作業は非常に 困難で、膨大な工数を必要とする。現実には、セキュリティ・ホールがそ れぞれのマシンに存在してしまうことになろう。 さらに言えば、サーバの守りをいくら固めても、ネットワークを暗号化 されずに流れている機密情報をタッヒ。ングから守ることはできない。これ 209
第 3 章企業のセキュリティ対策 7 カ条 いる。とくに無線機、工業用機械によって発生する電磁波により、機器の 回路にダメージを与える現象が報告されるようになっている。 デスクトップの PC は電源が突然切れてもマシンは大丈夫、ということ があるが、これが NT や UN Ⅸになると致命的である。正しい終了処理を行 い、その後に電源を切らないとデータの破壊につながりかねない。ダウン 対策がらみのセキュリティ手法にはいろいろとあるが、一つ抜けていても 致命傷となる。一度システムがダウンしてしまうと、その予算以上のコス トが全部無駄になってしまう。 こうした背景で各種のサーバ構成において無停電装置不可欠の装置とし て認識されるようになってきた。最近は、単に電源を供給するだけでなく、 ソフトウェアを内蔵し、接続されているクライアントからのジョブをシャッ トダウンしたり、完全にシステムが終了するのを待って、電源の供給もス トップさせるなどのインテリジェント電源装置が不可欠になってきている。 機器の動作中に電源障害が発生すれば、機器のハングアップや誤動作、 メモリやネットワーク上のデータ消失などのトラブルが起きる。特に ドディスクのアクセス中に電源障害が発生した場合には、ディスクがクラッ シュしてすべてのデータが復旧不能になる危険が大きい。これらのトラブ ルに対処するために、 UPS(Uninterruptible power Supply) による電源のバッ クアップはきわめて有効である。 UPS は整流回路 ( AC - DC 変換 ) 、バッテリー インバータ ( DC - AC 変換 ) か ら構成される。 AC100V 電源を DC に変換して常時バッテリーを充電し、停 電時にはバッテリー電源からインバータを用いて ACIOOV を生成する装置 である。バッテリーには一般に鉛蓄電池が用いられている。 サーバやネットワーク機器などで常に連続稼働が必要な場合は、電源系 統の二重化や自家発電など別の対策が必要である。その場合でも、電源系 統の切り替え時に発生する瞬停を防ぐために、 UPS は有効である。 一般に停電が発生したら、 UPS のバックアップ時間内に機器を安全にシャッ トダウンすることが必要である。しかし、操作者が機器の近くにいない場 223
ある。 1 台のシステムで web や sendmail などに対応する製品ではなく、サー バ機能を分散して構築する製品を導入した場合には、メール・サーバや w eb サーバなどとの連携が必要になる。特に、メール・サーバでは DNS の設 定が重要になる。やはり、 UNIX ネットワークの経験者を配置すると安心 である。 また、ファイアウォールの導入が終了してしばらくすると、メールが本 格的に利用されるようになる。また、 VPN の構築が完了すると、基幹シス テムの運用も開始される。その際には、ファイアウォールが障害のポトル ネックになる可能性があることを十分に認識しておく必要がある。したがっ て、スルーブットの追求よりもむしろ故障時の復旧対策を重視すべきであ ろう。 仮にハードディスクのデータを DAT システムにバックアップしていた としても、ハードディスクそのものの予備が用意されていなければ障害時 に業務の停止を避けることはできない。また、管理者がいつも常駐してい るとはかぎらないため、障害時に簡単に復旧できるように、予備のサーバ を設置することも考慮しなけれはならない。予備サーバを同一の条件に設 定し、スイッチを入れるだけで切り替われるようにすればより万全なもの となるであろう。 4 企業間取引とセキュリティ対策 ( 1 ) 工クストラネットとセキュリティ すでにインターネット上では多くの企業が、モノやサービスを販売して いる。しかし、コンヒ。ュータ・ネットワークを使って商取引をする場合、 さまざまな問題が生じる。たとえば、 A 社から送られてきた注文書はその まま信用してよいのかどうか。電子化されたドキュメントは容易にコヒ。ー できる。それはかりか、相手に気付かれないように改ざんも可能だ。オリ 214