章 8章. 脆弱性の査定

時間、リソース、そして動機があれば、クラッカーはほぼどのシステムにでも侵入することができるでしょう。結局現在利用可能なすべてのセキュリティ対策とテクノロジーをもってしても侵入に対してシステムが安全であることを保証することはできません。ルータはインターネットへのゲートウェイの安全を確保をするのに役立ちます。ファイアウォールはネットワークの末端の安全を確保するのに役立ちます。VPN(Virtual Private Network) は暗号化したストリームで安全にデータをやりとりすることができます。侵入検知システムは悪意ある活動に関して警告することができます。しかし、これらひとつひとつのテクノロジーが成功するかは次のような可変的な要素によります:

ダイナミックなデータシステムとテクノロジーを導入している企業で、その企業のリソースの安全を確保することはたいへん複雑なことでしょう。この複雑性ゆえに、すべてのシステムに対して熟達した人材をさがすのは大変なことかもしれません。情報セキュリティの多くのエリアで高いレベルの知識を持つ人材がいるかもしれませんが、2つまたは3つ以上の対象エリアでエキスパートとなるスタッフを持つのは難しいでしょう。情報セキュリティは常に流動しているため、情報セキュリティの各対象エリアを絶え間なく注意し監視することが要求されるからです。

8.1. 敵になったつもりで考える

企業ネットワークを管理していると仮定します。このようなネットワークは一般的にオペレーティングシステム、アプリケーション、サーバー、ネットワークモニター、ファイアウォール、侵入検知システム、その他で構成されます。これらのひとつひとつを最新の状態に保とうとしているとします。今日のソフトウェアやネットワーク環境の複雑さから、不正アクセスやバグは間違いなく存在します。ネットワーク全体のパッチと更新を最新の状態に保つことは、異種雑多のシステムを持つ大企業では気が重い作業となるでしょう。

専門的知識の必要条件と最新の状態に保つ作業を合わせると、逆のインシデントが起こる、システムが侵害される、データが改ざんされる、サービスが割り込まれるなどが避けられないことです。

セキュリティのテクノロジーを強化してシステム、ネットワーク、データの保護を促進するためには、クラッカーになったつもりで考えてみて、弱点をチェックすることでシステムのセキュリティを評価します。システムとネットワークリソースに対しての予防的な脆弱性の査定によって、クラッカーが攻撃してくる前に対処が可能な起こりうる問題を明らかにしてくれます。

脆弱性の査定とはネットワークとシステムのセキュリティに関する内部監査のことです。この監査結果は、機密性、統一性、ネットワークの可用率(項1.1.4で解説)を示します。脆弱性の査定は概して、対象となるシステムとリソースに関する重要なデータが収集される探索フェーズから始まります。このフェーズはシステムの準備フェーズへ続き、ここで、対象はすべての既知の脆弱性について根本的に調査されます。準備フェーズからレポートフェーズで完了し、ここでは、調査結果が高・中・低の各リスクカテゴリに分類されます。そして、対象に関するセキュリティ改善の方法(または、脆弱性に対する危険性を軽減する方法)が検討されます。

自宅の脆弱性査定を実施しようとしたなら、おそらく、各ドアがきちんと閉まっていて鍵がかかっているかどうかを確認するでしょう。また、それぞれの窓を確認して、こちらもきちんと閉まっているか、掛け金をかけたかを確認するでしょう。これと同じ考え方をシステム、ネットワーク、電子データにも適用します。悪意あるユーザーは泥棒であり、心ないデータ破壊者です。彼らのツール、心理、動機をよく注意してみると、その行動に対して迅速に反応できるようになります。