特集:
情報漏えいを防ぐ!
できるエンジニアのセキュリティチェックポイント(後編)
【第3部】
設計段階で着実に防ぐ
明日から使える
セキュリティ対策の基本
2005年9月14日
情報漏えいを防ぐ!(前編)はこちらから >>
【Part 1】
システム基盤設計のチェックポイント
リスクを数値化して要件を確定する
斎木啓/新日鉄ソリューションズシステム研究開発センターシステム基盤技術研究部主務研究員
これまでユーザー企業が講じてきたセキュリティ対策は,外部からの不正侵入やウイルスが主な対象だった。 だが,最近の情報漏えい事件の多くは内部犯行によるものだ。
そこで多くのユーザー企業は,情報が漏えいするリスクを網羅的に分析したうえで,ウイルス対策やファイアウオールといった技術的な対策だけではなく教育・罰則なども含めたトータルなセキュリティ対策,すなわち「セキュリティポリシー」(用語解説参照)の立案が必要と考えるようになった。さらに最近では,セキュリティポリシーの策定を含むセキュリティ管理プロセスの枠組みを規定した「ISMS(BS7799/ISO17799)」(用語解説参照)の認証を取得するユーザー企業も増えている。
にもかかわらず,情報漏えい事件は減っていない。その大きな原因は,セキュリティポリシーに沿ってセキュリティ要件を固め,設計・実装する方法論の欠如にある。ISMSではセキュリティポリシーをシステムに落とし込む方法までは規定していないし,システム開発を請け負うITベンダー側のエンジニアも,経験と勘に頼っているのが現状だ。その結果,セキュリティ対策に抜けや漏れが生じてしまう(図1)
こうした現状を踏まえ,新日鉄ソリューションズでは,2002年にセキュリティポリシー注1)から必要なセキュリティ対策を導き出すための方法論を確立した。ここではこの方法論の手順を説明しよう。どんなシステムにも適用できるので,ぜひ参考にしていただきたい。
注1) セキュリティポリシー本記事では,ユーザー企業がすでにセキュリティポリシーを規定していることを前提にしている
必要な情報を洗い出す
最初に,企業が定めたセキュリティポリシーの項目から,開発対象のシステムに影響する項目を漏れなく列挙する。列挙すべき項目としては,例えば「機密情報は暗号化して格納しなればならない」,「外部から直接アクセス可能なコンピュータに必要以上の個人情報を格納してはならない」などが考えられる。さらにこれらの項目から,「個人情報」,「公開情報」,「システムデータ」といった情報の種類も洗い出しておく。
同時に,RFP(提案依頼書)などに記載されたシステムの概要から,システムが扱う情報とシステムを構成するサーバーを洗い出し,セキュリティの観点から分類しておく。
情報は,セキュリティポリシーから洗い出した情報の種類に従って分類する。例えば,氏名や住所などは「個人情報」,Webサイトで公開する情報は「公開情報」,サーバーのログ情報などは「システムデータ」に分ける。サーバーに関しても,Webサーバー,メール・サーバーなどに分類する。各サーバーに格納される情報の種類も整理しておく。
アクセスフロー図を作成する
システムが扱う情報の種類とサーバーが明確になったら,端末とサーバーおよびアクセス経路を図示した「アクセスフロー図」を作成する。具体的には,「外部領域」,「公開領域」といった領域ごとに,サーバーと端末を配置し,アクセスの流れを矢印として書き込む。
図2に,Webシステムにおけるアクセスフロー図の例を示した。図2では,「公開領域」にWebサーバーとメール・サーバー,DNSサーバー,認証サーバーを,「内部領域」にアプリケーション・サーバーとデータベース・サーバーを,「運用領域」に運用サーバーと運用管理者端末を配置し,「外部領域」に契約ユーザー以外の一般ユーザーの端末,契約ユーザーの端末,社内ユーザーの端末を記入している。
アクセスフロー図を描いたら,アクセスフローごとに,想定される脅威を洗い出していく。例えば,一般ユーザーの端末からWebサーバーに向かうアクセスフローでは,不正侵入・不正アクセス,なりすまし(用語解説参照),踏み台(用語解説参照),ウイルス感染などの脅威が考えられる。各脅威に対する対策も,この段階でリストアップしておく。
セキュリティポリシー
資産や脅威を把握したうえで,企業や組織全体としてどのようにセキュリティ対策を実施するかを定めた指針。広義には,情報の取り扱いに関するルールや責任の所在を含み,狭義には,情報システムのセキュリティ対策に関して「何を」,「なぜ」,「どのように」,「どの程度」実施するのかを示したもの
ISMS
Information Security Management System(情報セキュリティマネジメントシステム)の略。リスク分析を行い,セキュリティレベルを定めてシステムを運用していることを認証する制度のこと。国際規格の「ISO17799」や英国規格「BS7799」を参考に作成され,2002年4月から認証が開始された
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
