セキュリティ監査概論[前編]

セキュリティ監査の必要性と目的

矢崎 誠二
インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 マネージャー
(シニアセキュリティコンサルタント)
2005/3/9

 第三者機関の必要性

 監査という手段を使う以上、セキュリティ監査はサイト管理者およびサイト開発者ではない第三者が行うべき業務となる。開発業務を受託した請負企業がセキュリティ監査を行うケースもまれにあるが、開発側が自らの構築したシステムのセキュリティ上の問題点を発見し、自らの問題を顧客に告知することは難しいといえる。

 なぜならば、自らの問題点や脆弱性を公にし、それに対して「修正には費用が掛かります」というのは受け入れられるはずもないし、正しく情報が公開されるとも考えにくいものだ。自分の首を絞めるような情報は隠ぺいされる可能性が高い。

 しかしながらセキュリティ監査は、開発側あるいはシステムの詳細にわたる仕様を理解している担当者との密な情報交換が必要である。システムにとっては、脆弱な設定が仕様であるケースも考えられ、BtoB、BtoCにおいては当該機関では解決できない問題も内在することがある。

 いずれにせよ、セキュリティ監査を専門にする第三者が監査を行うことで、正当な結果が得られる。また、開発側とは別の視点から物事が判断できるため、サイト管理者側にとってもさまざまな角度から管理・運用に役立つ情報が得られ、有用な手段といえる。

 攻撃元のベクトルを確認

 サイト運用者側は攻撃者の視点に立って外部からの攻撃または内部からの攻撃を考え、セキュリティ監査を実施する必要がある。それ故セキュリティ監査を行う側は、疑似的な攻撃者としての立場からセキュリティ監査を行う。

 外部からの脅威を想定した場合は、インターネット経由による監査が必要になる。逆に内部からの脅威を想定した場合は、システム内部経由によるセキュリティ監査が必要になる。

 単に外部といっても被攻撃対象システムの範囲としてどこまでを視野に入れるべきだろうか。DMZのみであろうか、ファイアウォールの外側であろうか。はたまたファイアウォールの内側も含まれるのであろうか。

 仮にDMZのみに限定したグローバルエリアを対象にした監査を実施したとしよう。DMZに脆弱性が検出され、DMZから内部への侵入が可能になることも考えられる。ほとんどのアプリケーションサービス(ポート)はファイアウォールで閉じられているため、堅牢性は保たれているといえるが、脆弱性によりセキュリティデバイスのポリシーやACL【注】が書き換えられたらどのような結果を招くだろうか。

【注】
ACL: アクセス・コントロール・リスト。アクセス制御情報を記述したリスト

 適切な外部監査においては、ファイアウォールの外側からの監査が必要になる。またDMZ側、もしくはファイアウォールの内側からの監査も必要ではないだろうか。セキュリティ監査ではこのようなセキュリティデバイスに守られているアプリケーションサービスについても潜在的な脆弱性ととらえ、監査対象にすることを念頭に置いている。

(c) 2005 Internet Security Systems, Inc. and Internet Security Systems K.K. All rights reserved.

 セキュリティ監査の5つのカテゴリ

 目的に応じてセキュリティ監査の効果を最大限に得るために、監査の種別を選択する必要がある。攻撃のベクトルに対してもセキュリティ監査の内容選択は重要な要素を有するし、対象システムの提供するサービスによって監査手法が大きく異なるからである。よって監査要件および監査目的に合わせた形で監査の内容を決定する必要がある。

 監査対象はシステムであったり、サーバであったり、データベースであったりする。このため下記に示される5つの監査パターンが必然的に考えられる。

【注】
下記の例は、インターネットセキュリティシステムズが実施しているセキュリティ監査メニューである

●ネットワーク脆弱性監査

  • ネットワーク経由によるペネトレーション検査
  • 1000以上におよぶセキュリティホールの確認と検出
  • 脆弱性研究機関と連携し最新の脆弱性検知に対応

得られる結果

既知の脆弱性検知と対策を実施することで、セキュリティホールによる問題を除去する

対象システム

TCP/IPを利用した全てのシステム

●ワイヤレス脆弱性監査

  • IEEE802.11a/bのアクセスポイントを検出
  • アクセスポイントからのペネトレーションアクセスの実行
  • SSID、WEP、ブロードキャストの問題検出

得られる結果

既存WLANの問題と、登録外のアクセスポイントの検知により、ワイヤレス経由での第三者アクセスを防ぐ

対象システム

WLANのアクセスポイント

●システム脆弱性監査

  • システム内部から脆弱性の検出
  • ベースラインを使用したファイル改ざんの検出
  • セキュリティパッチの導入確認
  • SUIG、GUID、設定ファイルの問題検出

得られる結果

極めて重要なサーバのセキュリティ問題に関する詳細な設定情報の最終確認や監査を行い、運用を通じて常時セキュリティ定常化を図る

対象システム

WindowsNT/2000
Solaris
AIX
HP-UX
Linux

●Webアプリケーション脆弱性監査

  • クロスサイトスクリプティング問題の検出
  • 独自CGIなどによるバッファオーバーフロー問題の検出、隠しフィールドの操作問題の検出
  • パラメータ改ざんチェックや設定ミスの検出

得られる結果

Webに関する問題を把握することで、Webにおける情報漏えいの対策や、カートプログラムなどの価格改ざん問題を除去する

対象システム

Webサーバ
アプリケーションサーバ

●データベース脆弱性監査

  • Oracle、SQLServer、Sybaseにおけるデータベース固有のセキュリティホールを検出
  • リモートアクセスおよび不正な権限の検出
  • 不正アカウントによるログイン問題の検出

得られる結果

データベースへの不正なログオンの防止と、ログオン後のアクセス権を適切にすることで、データベースの情報漏えい対策を図る

対象システム

Oracle
MS SQLServer
Sybase

2/3


Index
セキュリティ監査の必要性と目的
  Page1
セキュリティ監査とは何か
セキュリティ監査の必要性
セキュリティ監査の目的
Page2
第三者機関の必要性
攻撃元のベクトルを確認
セキュリティ監査の5つのカテゴリ
  Page3
監査手法の選択
ペネトレーション
ソーシャルエンジニアリング

関連リンク
  事例にみるセキュリティ監査のポイント
  個人情報保護法に備える4つの課題
  情報漏えいに備えるセキュリティ投資の目安
  個人情報保護法(セキュリティ用語事典)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間