※本記事は、マカフィー株式会社 SE本部 スペシャリスト 松本匡史によるものです。
企業のPC環境をセキュアに保ち、確固たるセキュリティ体制を構築することは、もはやCIOや情報システム管理者だけの問題には留まらず、ビジネスの生産性という点で全従業員に関わってくる問題といえるでしょう。また、個人情報保護法やISMS認定、J-SOXなどといった法整備の確立は、社内のPC環境をセキュアに保とうとする機運にさらに拍車をかけるものとなっています。この流れに合わせて、多くの企業が社内のセキュリティポリシーや文書管理基準などを見直す一方で、現実的には企業内でのウイルス蔓延、不正侵入、情報漏えいなどセキュリティ事故は後を絶たず、むしろ増加する一方という状況です。今回はその主たる原因を考察すると共に、セキュリティ事故を未然に防ぐために、企業が導入すべきである対応策について解説します。
セキュリティに関する整備が行われている企業内でのウイルス蔓延、不正侵入、情報漏えいなどセキュリティ事故が起こる背景には、個々人におけるセキュリティに対する意識の差が存在しているといえるでしょう。具体的には、個々人のセキュリティ意識の齟齬から起こる「うっかり」や「慢心」などといった、ヒューマンミスやヒューマンエラー、セキュリティの常識的に認められないような行為から、セキュリティ事故が発生しているケースが非常に多くあります。
これらの行為の例としては、以下があげられます。
- セキュリティソフトを起動させておくと、PCの動作が緩慢になるため止めてしまう。
- OSのセキュリティパッチやホットフィックスなどの適用を行わない。
- 個人のPCを会社に持ち込んで、会社のネットワークにつないで仕事をする。
- ウイルス感染しているような気はするが、業務には支障がないのでそのまま使用する。
- ファイル共有ソフトなど、企業では認められていない(あるいは特に規定がない)ソフトを黙って使用する。
そして、これらを原因としてセキュリティ事故が起こった場合は、適切な処理を迅速に行い被害の拡大を防ぐ手立てを取らないといけません。例えばウイルス感染が疑われるようなPCが検知された場合には、そのPCを直ちに隔離するなどの処置を取らなければなりません。
では、このような個々人レベルでのセキュリティ意識を統一し、セキュリティ事故の発生を防ぐためには、どのような対策が考えられるでしょうか。これらに対抗するためには、最低限、システム化による強制力が必要です。システムにより強制する内容としては、大きく以下の3点が考えられます。
- 登録外のPCはネットワークに繋がせない
- PCのシステム状態が不適切な場合はネットワークに繋がせない
- 不信なネットワークトラフィックを送出するPCは隔離する
以下、順を追って解説します。
- 登録外のPCはネットワークに繋がせない
PCが登録外や持込PCの場合、ネットワークに繋がせず、一切の通信をさせないことが重要です。登録外の判断方法にはいくつか方法がありますが、大きくは「NICのMACアドレスによる選別」と「エージェントの有無による選別」の二通りに分けられます。各々のメリット・デメリットを鑑みて、企業運用に合ったものを選択することが重要です。- NICのMACアドレスによる選別
PCのNIC(Network Interface Card)の各々に、ユニークに割り当てられているMACアドレスを事前にシステムに登録する方法です。この方法は比較的確実ではありますが、MACアドレスの管理(追加や削除)の作業が煩雑になる点がデメリットとなります。その部分を解決する方法としてMACアドレスを自動収集する方法も存在しますが、その収集段階で既に不正なPCが存在する場合には、そのPCが正常として登録されてしまうことがあり、注意が必要です。また、ルータなどL3以上の機器が間に入っている場合は正常に収集できないこともあるので、注意が必要です。 - エージェントの有無による選別
専用のエージェントをクライアントにインストールし、そのエージェントが存在するかどうかにより、正常PCか不正PCかを判断します。この方法は、正常PCに対してエージェントを予めインストールしておく必要があり、その点が導入におけるハードルになることがあります。その一方で、PCの正・不正の判断はもちろんのこと、PC内の様々な情報(例えば、セキュリティパッチの有無やアンチウィルス製品のバージョン情報など)によって選別することができるため、よりセキュアな環境を構築することが可能であるというメリットもあります。また最近では、事前のインストール不要で、ネットワーク接続時に1回限りの簡易エージェントを動作させ選別するものもあります。
- NICのMACアドレスによる選別
- PCのシステム状態が不適切な場合はネットワークに繋がせない
セキュリティソフトのバージョン(ソフトそのもの、エンジン、定義ファイル、またはリアルタイムの検知が有効でない、など)が古い場合、またOSの状態(セキュリティパッチやホットフィックスが適用されていない、など)が最新でない場合にはネットワークに繋がせず、一切の通信をさせないことが重要です。PCのシステム状態を見る方法には複数の方法がありますが、代表的なものとしては次のような方法があげられます。- リモートからシステム状態をネットワークスキャンする
ネットワーク越しにPCの状況を確認する方法です。この方法ではネットワーク的な脆弱性を見つけることはできますが、内部にインストールされているセキュリティパッチの有無などに関しては見ることはできないため、最終的には不完全な結果となるケースが多くあります。 - エージェントによるPC内部スキャン
この方法では、エージェントはアドミニストレーター権限で動作させるため、セキュリティパッチの有無や定義ファイルのバージョン、またレジストリやファイルのバージョンなど、PCのほぼ全てのシステム状態を確認することができます。そのため、設定に間違いがなければ、ほぼ完璧にセキュアなシステムだけを接続させるような運用も可能となります。
- リモートからシステム状態をネットワークスキャンする
- 不信なネットワークトラフィックを送出するPCは隔離する
ウイルスやワームから発信するネットワークパケットやピアツーピアなどといった、認められていないソフトウェアからのネットワークパケットの送出が検知されたPCは、ネットワークから隔離してください。ワームやトロイの木馬が送出するネットワークパケットを検知すると、その発信されたPCを強制的に隔離し、ネットワークから切り離す方法です。過去、不信なネットワークパケットに対してRSTパケットを送出しネットワークの通信をTCPレベルで遮断する、IDS(Intrusion Detection System 不正侵入検知システム)という製品がありましたが、IDSの特性上、リアルタイムな遮断は出来ないため、最近ではあまり採用されていないのが現状です。
そしてこれらを実現し、システム化による強制でセキュリティ事故の発生を防ぐためには、IPS(Intrusion Pre-vention/Protection System 不正侵入防御システム)とエージェントタイプのNAC(Network Admission/Access Control ネットワークアドミッション/アクセスコントロール)の導入が不可欠です。具体的には、「NAC機能による接続コントロール」と「IPS導入によるリアルタイム対策」が必要となります。
- NAC機能による接続コントロール
社内の正式なPCはエージェントをインストールし、システム状態を健康なままで管理すると共に、NAC機能によって接続をコントロールします。PCの起動時あるいはネットワーク接続時に、エージェントによってPC内部をスキャンし、「社内ポリシーに適合している」ものだけをネットワーク接続させるようにすることが重要です。またエージェントが入っていないPCであったとしても、簡易的なエージェントを容易に使用することができるような利便性を併せ持つようなソリューションを選択するのが望ましいでしょう。
検査ポイント点:- 適正なセキュリティ・パッチが適用されているか?
- 適正なバージョンのセキュリティソフトが正常に稼動しているか?
- 適正なセキュリティソフトの定義ファイルが適用されているか?
- IPS導入によるリアルタイム対策
ネットワーク境界に、IDSではなくリアルタイムに対策できるIPSを導入することで、各パケットをリアルタイムで精査することで、合致しない場合にはネットワークへの接続を未然に防ぎます。
検査ポイント:- 適正なユーザでログインした端末からのパケットか?
- 適正なプログラムからのパケットか?(社内ポリシーで認められていないようなパケットではないか?)
- ワームやトロイの木馬から送出するようなパケットを発信するPCではないか?
企業が強固なセキュリティを築くためには、社内のセキュリティポリシーや文書管理基準などを単純に見直しているだけでは不十分です。セキュリティ事故を未然に防ぐことが可能にするためは、IPSとNACの連携により、「PC自身」と「ネットワーク通信」の両面からセキュアな環境を構築し、社内ポリシーをシステム的に強制することが必要だといえるでしょう。
マカフィーでは、情報漏えいの原因の7割以上が内部からの漏えいであるという状況を深刻にとらえ、IPSの果たすべき役割は、もはや「社外から社内のシステムを守る」だけではなく、「社内から社内のシステムを守る」ことも重要になりつつあると考えています。この度、今後の企業セキュリティにおいて最新のIPSが求められるべき機能と役割について考察したホワイトペーパー「最新IPSによる社内セキュリティ向上」を発行しました。「最新IPSによる社内セキュリティ向上」は、下記よりダウンロードできます。
http://www.mcafee.com/japan/security/IPS_internal_security.asp
