TOP
>
情報セキュリティ
> はじめに
クラッカーから企業Webサイトを守り抜け!
第3回:Webサイトの内部からの脅威を防ぐための施策
著者:
NRIセキュアテクノロジーズ 長谷川 剛
2006/11/16
1
2
3
次のページ
はじめに
第2回までは、Webサイトのセキュリティ診断サービスの結果をベースに、主にWebアプリケーションの脆弱性について概説してきた。一般的に、Webサイトはインターネット経由で不特定多数の利用者に公開し、サービスを提供することが主な目的である。このためセキュリティ対策は、インターネット側からの攻撃に対する防御を重視して実施される傾向にある。
しかし、昨今新聞などで報道されているセキュリティに関連する事件や事故を見てみると、実はシステムを運営する側から発生していることが多い。運営者はそのシステムについての知識が豊富にあるため、容易に、かつ、誰の目に触れることもなく攻撃を実施することができる。その結果、短時間のうちに大量のデータが取得され、大きな事件につながってしまうことが多い。
今回は、この「内部からの脅威」に対抗するための対策を行う上でのポイントを、情報セキュリティ対策に関する基準や世の中のトレンドの分析などを元に解説する。
「内部からの脅威」への必要なセキュリティ対策の考え方
Webサイトにおける「内部からの脅威」に対抗するために実施すべき施策を検討するにあたり、まずは、「現在のセキュリティ対策で不足している施策は何か?」「どの対策により力を入れるべきか?」「やりすぎている対策はないか?」といった点が知りたくなるであろう。
こういった疑問点を洗い出すことが、実は実施すべき施策を特定することにもなる。この実施すべき対策を洗い出すためには、図1に示すように大きく2つのアプローチが考えられる。
図1:欠落するセキュリティ対策を洗い出すための2つのアプローチ
脅威からのアプローチ
まず1つめが「脅威からのアプローチ」である。これは各Webサイトが保有する情報資産を洗い出し、その情報資産が晒されている脅威を列挙して、リスク一覧を作成し、そのリスクに対抗するための対策を検討するといったアプローチである。
例えば、「関係者による情報漏洩」「非関係者によるシステム停止」という脅威に対抗するためにはどのような対策が欠落しているかというように、そのWebサイトに応じた脅威を特定して対策を検討する手法である。
このアプローチは、積み上げ式によって対策レベルを特定していくため、非常にわかりやすく、各システムにフィットした対策が可能になるが、その反面、非常に時間と手間がかかる。また、脅威はそのサイトの特性などによって異なるため、脅威そのものを洗い出すのに、経験と知識が必要になる。
対策からのアプローチ
もう1つが「対策からのアプローチ」である。これは、世の中で広く認められていて流通している網羅的なセキュリティ対策一覧を基準にし、現状では対策できていない部分(=ギャップ)を明らかにし、そのギャップを埋めていくことで、網羅的なセキュリティ対策を行うといったアプローチである。
例えば、ある基準には「重要な情報は暗号化すること」と記載されているが、対象となるシステムには一部暗号化されていない情報があるため、この情報に対して暗号化対策が欠落しているという形で対策を検討する手法である。
このアプローチは、「脅威からのアプローチ」と比較して短時間で実施することが可能であり、基準となるセキュリティ対策一覧が一般的でわかりやすく網羅的な基準であれば、納得感も得やすくなる。ただし、完全にそのWebサイトにフィットする対策が行えるかといった点では「脅威からのアプローチ」と比較すると見劣りしてしまう。
これら2つのアプローチを比較検討すると、「対策からのアプローチ」がより効率的に実施すべきセキュリティ対策を特定することが可能であるように見える。実際にこのアプローチが多くのWebサイトや企業で採用されていることも事実である。
そこで本連載でもこの「対策からのアプローチ」で、Webサイトにおける「内部からの脅威」に対抗するために必要なセキュリティ対策を検討していくこととする。
1
2
3
次のページ
著者プロフィール
NRIセキュアテクノロジーズ株式会社 長谷川 剛
コンサルティング事業部 セキュリティコンサルタント
1997年野村総合研究所に入社。システム開発業務を経験した後、2003年にNRIセキュアテクノロジーズに出向。現在は、主にシステムセキュリティ監査やセキュリティポリシー等のルール類策定コンサルティング、Webサイトのセキュリティ診断を担当。
INDEX
第3回:Webサイトの内部からの脅威を防ぐための施策
はじめに
各種基準面から見る「内部からの脅威」への施策
世間のトレンドから見る「内部からの脅威」への施策
