TOP
>
情報セキュリティ
> 各種基準面から見る「内部からの脅威」への施策
クラッカーから企業Webサイトを守り抜け!
第3回:Webサイトの内部からの脅威を防ぐための施策
著者:
NRIセキュアテクノロジーズ 長谷川 剛
2006/11/16
前のページ
1
2
3
次のページ
各種基準面から見る「内部からの脅威」への施策
「対策からのアプローチ」で重要なポイントは、「基準となる対策一覧を何にすべきか」という点
である。以降より、Webサイトにおける「内部からの脅威」に対抗するために必要な対策を検討するために適している代表的な基準を紹介する。
また、今回は金融業界とクレジットカード業界の基準も紹介する。これは、各業界が求めるセキュリティ対策レベルを見ることで、読者の方が担当するWebサイトが取り扱う情報資産や性質と、これらの業界が取り扱う情報資産やWebサイトの性質とを比較することにより、セキュリティ対策を行うにあたっての優先順位付けや、対策レベルを決定する上での参考となりうることを期待しているためである。
ISO/IEC27001,27002
現在、日本国内で情報セキュリティに関する認証制度というと、ISO/IEC 27001(以前のISMS適合性評価制度、ISOでは認証基準)を思い浮かべる方も多いであろう。ISMSは情報セキュリティマネジメントシステム(Information Security Management System)の略で、情報セキュリティに関する管理の仕組みのことである。
この認証制度のポイントは、守るべき情報資産が晒されるリスクを評価し、必要なセキュリティレベルを定め、プランを決めて、組織のマネジメントとして対策の実施・運用を行うことを目的としている。認証を取得するためには、リスク分析、対策レベルの評価、対策実施、教育、監査などの実施が求められ、負荷と時間がかかるものである。
しかし当認証については、取得において求められる技術的・運用的な対策指針として、詳細管理策(ISO/IEC 27002)の中に133の項目が具体的にリストアップされており、認証の取得を目的にしていない場合においても指針として有用である。表1にその詳細管理策の大区分と概要を示す。
A.5 セキュリティ基本方針
組織全体として経営陣によって承認された情報セキュリティ対策の指針(情報セキュリティポリシーなど)の策定。
A.6 情報セキュリティのための組織
情報セキュリティ対策を推進していくための組織の構築。
A.7 資産の管理
守るべき情報資産を洗い出して維持管理する、ライセンス管理の実施。
A.8 人的資源のセキュリティ
担当者の役割の定義。
A.9 物理的および環境的セキュリティ
サーバなどの機器の設置場所対策。
A.10 通信および運用管理
運用操作手順の定義、開発と本番の分離、職務の分離、外部委託先との契約、ウイルス対策、バックアップ対策、ネットワークセキュリティの確保、取り外し可能な媒体の取扱対策、情報交換時の暗号化対策、電子商取引時の改竄対策、監視対策、監査ログ取得・分析対策。
A.11 アクセス制御
利用者認証対策、ネットワーク上のアクセス制御、モバイル端末対策。
A.12 情報システムの取得、開発および保守
暗号化、テストデータの保護、システム変更管理、技術的脆弱性管理。
A.13 情報セキュリティインシデントの管理
情報セキュリティインシデント発生を想定した対応策、発生後の是正措置計画策定。
A.14 事業継続管理
事業継続計画の策定、維持管理。
A.15 コンプライアンス
各種法令遵守。
表1:ISO/IEC27002対策基準の概要
表1にあらわれている対策よりも、実際の詳細管理策の文章上はさらに細かく記載がある。
見てわかる通り、ルール面の策定から体制面の策定やライセンス管理などと、実施すべき対策が広範に記載されている。汎用的に記述されているために多少わかりにくい表現もふくまれているが、Webサイトを守るために必要な対策のうち、特に内部からの脅威を想定した対策を行う上で必要なことを、大枠で網羅的にとらえるためには有用な標準文書であるといえる。またグローバルスタンダードにもなっており、対策の根拠として外部や内部向けにも説明しやすい。
業界の基準(FISC、PCI DSS)
金融機関では、FISC(金融情報システムセンター)の安全対策基準をベースに、情報システムのセキュリティ対策に取り組んでいる。この基準は、金融庁が金融機関の検査を行う際に、検査マニュアルと共に使用する基準にもなっているため、ほとんどの金融機関は、この基準を意識しながらシステムの構築や運営を行っている。従って、金融機関レベルの対策を行う必要があると想定した場合は、この基準が大いに参考になる。
この基準は、「設備」「運用」「技術」の3つのパートに分かれ、それぞれの対策を詳細レベルまで記載している。内容については、非常にボリュームがあるため、本連載では言及しないが、この基準は定期的に改訂されており、その改訂内容から情報セキュリティ対策のトレンドやヒントも得ることができる。
例えば、2005年4月の個人情報保護法施行の対応で、いくつかの対策項目が「推奨」から「必須」になっているが、このうち、Webサイト運営に関連する項目を表2にあげる。
利用者の識別・認証
パスワード等を規程回数誤入力した場合の停止措置
パスワードの定期的変更
アクセス制御
アクセス権を必要最小限に限定
アクセス権所有者の範囲の把握、定期的見直し
データの漏洩・毀損など防止
蓄積データの暗号化・パスワード設定
伝送データの暗号化・パスワード設定
不正アクセス拡大防止のための対応策・復旧策の明確化
データへのアクセスの記録および分析
データへのアクセス記録の分析
システムの稼働状況の記録および分析
監査の実施
表2:FISC安全対策基準での対策例(個人情報保護法対応時の改訂事項)
クレジットカード業界においては、VISA、MasterCardやJCBなどが共同でセキュリティ対策のグローバルスタンダード「ペイメントカード業界 データセキュリティ基準(PCI DSS)」を作成し、クレジットカードに関する情報を取り扱う加盟店や決済代行業者向けに対策を促している。この基準も、クレジットカードという非常に重要な情報を扱う会社の対策レベルを見るために大いに役に立つと考えられる。
この基準は表3の通り12の大項目から構成されている。
PCIデータセキュリティスタンダード
要件
安全なネットワークの構築・維持
データを保護するためにファイアウォールを導入し、最適な設定を維持すること
システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
カード会員情報の保護
保存されたデータを安全に保護すること
公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
脆弱性を管理するプログラムの整備
アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること
安全性の高いシステムとアプリケーションを開発し保守すること
強固なアクセス制御手法の導入
データアクセスを業務上の必要範囲に制限すること
コンピュータにアクセスする際、利用者ごとに識別IDを割り当てること
カード会員情報にアクセスする際、物理的なアクセスを制限すること
定期的なネットワークの監視およびテスト
ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
セキュリティシステムおよび管理手順を定期的にテストすること
情報セキュリティポリシーの整備
情報セキュリティに関するポリシーを整備すること
表3:PCI DSS要件一覧
先日、最新のバージョンが公開され、アプリケーションコードレビュー、アプリケーションレベルファイアウォールの導入も求められるようになりそうである(ただし2008年6月までは推奨)。
さらに、この基準の大きな特徴としては、他の基準には見られない具体的な数値が記載されている点である。ログの保管期限が最低1年、パスワードは7桁以上で変更は90日ごとなど、システム対策を行う上でもっとも悩ましい箇所に対しての指針をだしている。こういう観点からも非常に参考になると考えられる。
前のページ
1
2
3
次のページ
著者プロフィール
NRIセキュアテクノロジーズ株式会社 長谷川 剛
コンサルティング事業部 セキュリティコンサルタント
1997年野村総合研究所に入社。システム開発業務を経験した後、2003年にNRIセキュアテクノロジーズに出向。現在は、主にシステムセキュリティ監査やセキュリティポリシー等のルール類策定コンサルティング、Webサイトのセキュリティ診断を担当。
INDEX
第3回:Webサイトの内部からの脅威を防ぐための施策
はじめに
各種基準面から見る「内部からの脅威」への施策
世間のトレンドから見る「内部からの脅威」への施策
