TOP情報セキュリティ> 世間のトレンドから見る「内部からの脅威」への施策
crack
クラッカーから企業Webサイトを守り抜け!

第3回:Webサイトの内部からの脅威を防ぐための施策
 著者:NRIセキュアテクノロジーズ  長谷川 剛   2006/11/16
前のページ  1  2  3
世間のトレンドから見る「内部からの脅威」への施策

   「対策からのアプローチ」を考慮するにあたり、法律などのコンプライアンス面や、世間の情報セキュリティ対策におけるトレンドも組み込んで考えることも重要なポイントになる。

   例えば、2005年4月に施行された個人情報保護法を機に、情報セキュリティに対する意識や取り組み姿勢を強化した企業も多いと思われる。以降では、Webサイトの「内部からの脅威」を考慮する上で影響をおよぼすと考えられる法令やトレンドを解説する。
内部統制への対応

   今後、日本版SOX法(2008年に導入予定の金融商品取引法)を契機に、特に上場企業において、内部統制への対応が求められていくことになる。この法律の中では、企業の経営者が、その企業の財務状況を正確に報告できることを要求している。

   また昨今の企業では、ITを利用している企業がほとんどであり、財務諸表の数値算出をITに依存していることも多く、ITへの統制も当然のように求められている。特に、インターネット経由で社外と取引を行ったり、Webサイトで商品販売を行うようなWebサイトにとっては、そのWebサイトで行われた取引結果が、財務諸表の数値にダイレクトに影響するため、業務処理の正確性や不正の排除などに関しては従来以上のセキュリティ対策が必要になるであろう。

   ただ、おそらく対策レベルなどは各企業に委ねられることが予想されるため、Webサイトにおいても、その企業で定めたポリシーなどに従った対策を行っていくことが最重要になるであろう。とはいえ、環境の分離やアクセスコントロールについては、特にデータの完全性を保証する上で非常に重要であり、業務リスク、システムリスク、情報セキュリティリスクの核となる対策という意味からも、優先的に取り組むべきであると考えられている。

内部統制を脅かすリスク要因の関係
図2:内部統制を脅かすリスク要因の関係
「最後の砦」となるデータベース対策

   最近は、情報セキュリティ対策を考える上で「多層防御」という考え方が重要であるといわれている。様々なレイヤで対策を行うことで、もし1ヶ所のセキュリティが破られたとしても、被害を最小限に押さえることができるという考え方である。この多層防御の「最後の砦」となるのがデータベースのセキュリティ対策であると考えられており、最近注目されている。

   また、第2回までで解説したように、インターネットに公開しているアプリケーションは、データベースに直接問い合わせをしてその結果を表示しているため、脆弱性があると直接データベースにアクセスされてしまう。もしデータベース側できちんとした設定を行っていれば、アプリケーションで脆弱性があったとしても、最終的にはデータにはアクセスされずに済む場合も考えられる。

   内部からの脅威としても、非権限者がパスワードなどを予測して権限者になりすましてアクセスするパターンや、権限者が故意にデータにアクセスするパターンもある。データベースに脆弱性があると、一度に大量の情報が漏洩してしまう点でも多くの注意が必要であり、注意深く対策する必要がある。

機密情報が晒されている脅威とセキュリティ対策の関係性
図3:機密情報が晒されている脅威とセキュリティ対策の関係性
終わりに

   Webサイトにおける「内部からの脅威」に対抗するために実施すべき施策を検討するにあたり、「対策面からのアプローチ」を推奨し、指標となるセキュリティ対策基準、法令制度、データベース対策など、現在トレンドとなっている具体策までをあげてきた。これらのアプローチや基準が担当するWebサイトに必要な対策を決定する参考となることがあれば幸いである。

   これらのアプローチを採用した結果、対策が必要とであると判断されることが多い項目として「アクセスコントロール」「アクセスログ取得・監視・分析」があげられることが多い。そしてこれらの対策は、管理者にとって最も「悩ましい」対策と一致するのではないかと思われる。

   Webサイトの内部からの脅威という点で、この「アクセスコントロール」と「ログ取得・分析」をカバーするソリューションとしては、筆者らの「SecureCube/Access Check」などのソリューションがある。現行のシステムには手を加えずに、システムの運用者や開発者に対して、本番環境への適切なアクセスコントロールを実現し、その操作ログも取得・監査できる機能もある。こういったツールの利用も検討すると、効率的にセキュリティ対策が実現できるであろう。
前のページ  1  2  3

NRIセキュアテクノロジーズ 長谷川 剛
 著者プロフィール
NRIセキュアテクノロジーズ株式会社   長谷川 剛
コンサルティング事業部 セキュリティコンサルタント
1997年野村総合研究所に入社。システム開発業務を経験した後、2003年にNRIセキュアテクノロジーズに出向。現在は、主にシステムセキュリティ監査やセキュリティポリシー等のルール類策定コンサルティング、Webサイトのセキュリティ診断を担当。
INDEX
第3回:Webサイトの内部からの脅威を防ぐための施策
  はじめに
  各種基準面から見る「内部からの脅威」への施策
世間のトレンドから見る「内部からの脅威」への施策