セキュリティ管理

多層防御を理解する
マイクロソフトで 9 年間にわたる豊富な経験を持つ Kai Axford 氏は、セキュリティ ソリューションについて民間部門や公共部門の両組織と協議や提言を行なう責任を担っています。評判になっている彼の 2008 Defense in Depth webcast series (英語情報) は、マイクロソフトでも最高視聴率を誇る Webcast のひとつです。

セキュリティとプライバシー: 別々に生まれた双子
合法的所有者および管理人の財産権を保護し、当該権利に関連するリスクを懸命に管理せねばならない必然性の下で、セキュリティおよびプライバシーの担当者はお互いに協力し、社員、顧客、パートナーおよび他の者に関する個人および機密情報の収集、保管およびその利用から発生するリスク管理に成功しなければなりません。本コラムでは、業務において、より緊密に連携することが、セキュリティおよびプライバシーの担当者にどのように利益をもたらすのかに関して論じます。

Windows Vista とマイクロソフトの文化にセキュリティを育てる
ジェフ ジョーンズ氏が徹底的に分析したセキュリティの脆弱性と調査結果の報告にはいつも驚かされますが、それは調査結果の内容ではなく、それに対するコメントが非常に空論的だからです。

デスクトップ展開プロジェクトに多層防御を提供する
私はこれまで 5 年間にわたり展開ソリューションに関する執筆や解説を行っています。「展開」とは単にオペレーティング システムのインストールを自動化するという限定的なタスクであるという認識が常に根強く存在しているようです。

家族や友人、身近な人たちをサポートする
世界中で催される会議などで長年講演してきて、何千人もの IT プロ達に出会いました。そのすべての人に共通して言えることがあるとすれば、それはすべての IT のプロ達は自分の家族 (Family) や友達 (Friend)、身近な人たち (Neighor)、私が “FFN” と呼ぶ人たちにとって、サポートの専門家になっているということです。そして医者と同じようにこの手のサポートは無料だと思われています。

アプリケーション開発プロセスにおけるセキュリティポリシー
2001 年からマネージド コードとアンマネージド コード両方のアプリケーション コードのレビューに数多く参加してきました。マイクロソフトのアプリケーション コンサルティング & エンジニアリング （ACE） のサービス チームの一員としてマイクロソフト社内の IT アプリケーションのレビューもしますし、外部のマイクロソフトのお客様 （独立系ソフト ベンダーや、企業のお客様、公共部門など） のためにもコンサルティングに加えて、アプリケーションのレビューをします。レビューにあたって、アプリケーションのセキュリティを確認するときに必ずチェックするのは、開発の段階でまずどのようなセキュリティを施したかということです。

サーバーセキュリティ: 過ぎたるは及ばざるがごとし
情報セキュリティに数日携わったことがある人であれば、セキュリティの三大原則 - 可用性、機密性、完全性 - について聞いたことがあるでしょう。これらの概念は、いかなるセキュリティに関する検定について勉強する場合でも、通常最初に学ぶことです。これらの 3 つの概念は常にセキュリティの中心を定義しますが、私は優れたセキュリティにおいて不可欠なものは、別のよく知られていながらしばしば見落とされている概念であると確信しています。その概念とは、「簡素」であることです。

危険なビジネス: モバイルデバイスのセキュリティの見過ごし
ネットワーク上に何台モバイル デバイスがあるか、いつでもわかりますか? 承認済みで管理されているのがどれなのか、誰が使用しているのか、いつなんどきでも理解していますか? スマートフォンや PDA を「置き忘れた」場合、最初に何をするべきなのか、みなさんの企業の社員全員が理解していますか?

脆弱性の防御では、切り札である「プロセス」が「多くの目」に勝ります
Windows Server と Linux の開発方法は大きく異なるモデルです。マイクロソフトは開発モデルの実装に焦点を当てており、プランニングのプロセスで重要なソフトウェアの属性が組み込まれます。それをはっきりと示されているのが相互運用性です。設計段階からの相互運用性は、マイクロソフトの開発モデルで実現されている重要な要素です。10 万社以上のソフトウェアとハードウェアのデータ交換など、マイクロソフトの幅広いお客様の相互運用性のニーズに向けて、マイクロソフトは設計段階で標準規格を組み込み、ほかのベンダー企業との関係を活用しながら、マイクロソフト製品とオープン ソースなどの他のベンダー企業製品の統合が必要なお客様の負担を軽減できます。

ネットワークの “De-perimeterization”
ネットワーク境界のアーキテクチャは変化しています。過去の見識では、脅威を検出し、それに対する保護を行うため、複数の技術を層にすることにより、可能な限り境界を強化することでした。この概念はまず、組織の境界、そして次にネットワークをセキュリティで保護することでした。ビジネス上のニーズとともに、この “perimeterization (境界化)” を配するさまざまなビジネスの要因がありました。

ホストされたアプリケーションでデータの安全を確保する
信頼、または信頼の欠如は、ホストされたアプリケーションおよびサービスとしてのソフトウェア (SaaS: Software as a Service) モデルを適用する際の重要な要素です。この場合、製品、お客様、従業員、サプライヤーなど、すべてのビジネス アプリケーションのデータが最も重要な資産になる可能性があります。ホストされたモデルでは、組織はサービス プロバイダを信頼することで、データ管理を委ねる必要があります。

マイクロソフトの IT インフラを守り、管理するためには、どのパートナーが信頼できますか?
IT プロフェッショナルの皆さんは、複雑さを増している数々の困難に直面しています。セキュリティ問題、プライバシーの懸念、また規制順守の要件のために、全業界に渡る組織でセキュリティ ソリューションのプロジェクトが IT の最優先事項になりました。しかし、さまざまなデバイス上のデータ、システムそしてアプリケーションの増加、さらに従業員の時間、場所を問わず企業資産へアクセスする必要性が増大しているため、進化を続けている脅威のランドスケープに対する企業の防衛対策が難しくなってきています。また、経費削減および高度なサービスの提供を行っている一方で、規制順守の要件、そして既存のソリューションから、さらに多くの価値を絶えず求めているのでインフラの安全性を確保するのは困難なことです。

データを保護する – そのほかすべてのものは単に配管工事
少しの間、私と考える練習をしてみましょう。すべてのコンピュータ、それらが接続しているネットワーク、使用されているアプリケーション、操作されるデータや情報など、皆さんの企業のすべての情報処理の資産について考えてみてください。これらのなかで最も価値あるものは何ですか? もし、明日、突然、悲劇的にも消滅してしまったとしたら、皆さんの企業がビジネスで生き残れなくなってしまうものはどれでしょうか?

Microsoft Forefront および Microsoft System Center で戦略的な IT インフラを有効にする
多くの組織における IT の環境は常に、ビジネスへの挑戦、新たなビジネスのシナリオの作成および成長を育むために増え続けているビジネス アプリケーションおよびシステムに対応するために、非常に複雑になっています。IT の管理者は徐々に複雑性を増しているこの IT 環境の健全性を維持することが必要です。

SharePoint Server 2007 のコンプライアンスを見直す
監査 (英語情報)、期限の満了、情報管理のポリシー、コンテンツの種類 (英語情報) およびレポートにおいて、Microsoft Office SharePoint Server 2007 のコンプライアンス (法令順守) 機能は非常におもしろくなったと私は思います。皆さんが機密性の高い文書を扱うセキュリティで保護されたイントラネット ライブラリを構築していようとも、また DMZ ベースのエクストラネットの適用や高スケールなインターネット環境を構築していようとも、SharePoint Server がオープン認証およびメンバーシップ プロバイダや豊富でフレキシブルな監査およびコンプライアンス機能を兼ねそろえた強固なプラットフォームであることがお分かりになるでしょう。

マルウェアの革命: 標的の変化
過去 5 年間で、マルウェアの動向において大きな変革が起こりました。以前はアマチュアのウイルス作成者が注目を集めることを目的にしていたのですが、プロの犯罪者による利益の追求へとその意図が変化したことです。しかし去年、さらに突然の状況の変化が起こりました。それは標的の変化で、ユーザーを正面から直撃するものです。

ID 管理の進化
過去数年間、通信の技術的な革新によりツールが提供され、人、ビジネスおよびサービスの新たな関係を構築してきました。人々が思い描いているのは、どこからでも、接続に使用される機器に関わらず、即時にアプリケーション、情報および重要な地域にスムーズにアクセスすることです。このビジネスの世界が新たに形成されている現在、透明性と普及性のある接続が期待され始めています。そしてデジタル ID は、私達の移動に合わせて、機器から機器へ自動的に私達の側に存在するべきであると期待されています。

セキュリティで保護されたモバイルアプリケーション – 矛盾した表現?
「セキュリティ」と「モバイル アプリケーションの開発」はめったに同じ文章の中に現れることはありません。最近私は多くのイギリスの開発者たちとモバイル アプリケーションの開発についてお話をしました。何名がセキュリティという側面に興味があるかとお尋ねしたところ、約 2 パーセントが「興味がある」と回答されました。これは 140 名中、たったの 3 人でした。

データの保護: バックアップ、アーカイブおよび災害時の復旧機能を一体化する
保険は誰にとっても特にワクワクするものではありませんが、私達すべてが持つ必要のあるものです。そのために、保険証書を購入し、準備を整え、この必要性に対する支払いのために、しぶしぶ小切手に書き込みます。そして、特別に歓迎される毎年の支出ではありません。保険を使用する必要があるまれな場合、保険を持っていることに感謝しますが、たいていは、保険についてよく考えることはあまりありません。

保護機能にダメージを与えないで、クライアントセキュリティを簡素化する
今日、IT の専門家が共通に直面している挑戦は、「管理が悪夢とならないように、増加し続けているネットワークに起因する脅威のリスクを緩和する方法」です。Windows の管理者には、マルウェア、迷惑なソフトウェア、サービス拒否攻撃および関連の別の脅威に対抗するために役立つツールが溢れています。しかし、これらの様々なセキュリティ製品の管理、特に異なる製品を同時に展開した場合には、「複雑性」という別の種類のリスクが生まれます。保護機能と管理能力の正しいバランスを確保することは、重要であるだけでなく、究極的には成功の根幹となり、多層化されたセキュリティ モデルになります。

Windows Vista に「最小特権の原則」を適用する
「すべてのプログラムおよびコンピュータ ユーザーは、タスクを完了するために、必要な最小限の特権を用いて運用すべきである」。これは、Saltzer および Schroeder が 1974 年に発表した重要な論文の The Protection of Information in Computer Systems (英語情報) で述べられた「最小特権の原則」です。この勧告は、現在でも当てはまります。ユーザーおよびソフトウェアの特権を制限することは、システムをより安全に保つのに役立ちます。

マイクロソフトのネットワークアクセス保護ソリューションの相互運用性への取り組み
マイクロソフトはネットワークおよびセキュリティ業界のリーダー企業と協力するとともに、共同運用可能な NAP および NAC のアーキテクチャに関して Cisco と連携しています。過去 2 年間、「ネットワーク アクセス制御」 (NAC) という言葉が良く聞かれるようになりました。それと共に、多くの IT 専門家および CIO (最高情報責任者) の間では、NAC が何であるか、展開方法、そのメリット、そして異なる特徴を備えた NAC との連携方法などに関して混乱が起きています。 簡単に言うと、NAC は IT 構成に脅威を引き起こすエンドポイントの機器に対してネットワークを保護するように設計され、信頼できるエンドポイントを介したネットワークへのアクセスを有効にする枠組みです。

メッセージングおよびコラボレーション: セキュリティ上の問題およびソリューション
今日の典型的な企業の労働力はモバイルとコラボレーションの両方です。労働者にとって、個人、チーム、企業およびパートナーのデータへのアクセス要件は複雑なものです。彼らはこのデータについてローカルとリモートの両方でアクセスし、共有する必要があります。また、空港のインターネット キオスクなどのセキュリティで保護されていない場所やデバイスからである場合もあります。インスタント メッセージング、電子メール、リモート アクセスおよびインターネット アクセスはビジネス クリティカルなツールであるため、いかなるサービスの中断も生産性に対し致命的です。しかし、メッセージングおよびコラボレーションのインフラストラクチャの実装はセキュリティのニーズを増大させます。

マイクロソフトのセキュリティパートナーとの提携
マイクロソフトの IT Pro および開発者との約束は、世界中のお客様の過去、現在、そして未来に予測される問題とニーズを理解するために行われてきた数年にもわたる会話から始まりました。「情報保護」、「アクセス制御」の約束と同様、セキュリティはマイクロソフトおよびマイクロソフトのパートナーの最優先課題であり、マイクロソフトが信頼するセキュリティ パートナーの支援により、ビジネスおよびビジネスの発展に影響を与える日々変化している脅威およびコンプライアンスのニーズへの対応を行っています。

コンプライアンスの達成
コンプライアンス (法令遵守) は複雑で避けては通れない問題になってきました。その内容は、規制要件 (連邦、州および地域)、企業方針、業界規格およびお客様からの期待に対する適合性にまで及びます。ですから、みなさんの部署でコンプライアンスが守られているかと尋ねられたら、簡潔に答えるのは難しいと思うかもしれません。このコラムでは、「期待通りにポリシーが守られているか」というコンセプトにまとめて、コンプライアンスの多くの側面への対応について検証します。

マイクロソフトのパッチ管理の 10 の法則
パッチ管理は、システムおよびネットワークのセキュリティを維持する上で重要な部分です。特に、みなさんが構築し、維持するパッチ管理システムは、マイクロソフトおよびほかのベンダーのセキュリティ更新プログラムの展開へのアクセスとなります。パッチ管理はセキュリティの分野というよりはシステム管理として見られる場合がありますが、更新プログラムの展開により脆弱性を解決するので、その役割は組織のセキュリティ業務の重要な要素です。セキュリティ更新プログラムをタイミング良く展開することは、システムとネットワークを守るために効果的で最も重要なもののひとつですから、パッチ管理システムはできる限り効率的でなければなりません。

動的なセキュリティ保護: IE7 のセキュリティ強化の検証
Web ブラウザは瞬く間にユーザーのコンピュータで最も一般的に使用されているアプリケーションになりました。また、大切な業務や個人の生産性向上ツールとして独自の位置を占めるようになりました。また、常に未知の個人やグループによって作成された悪質なコンテンツにさらされる可能性があります。Web の変化と共に、ブラウザの拡張性は開発者に対してより多くの機能を備えたアプリケーションを構築し、ユーザーのために力強い方向性を提供するためのツールを提供してきました。これらのオンライン エクスペリエンスは電子商取引の成長を促し、オンラインの電子金融取引を一般的なものにしてきました。しかし、大きな商業的成功が悪質なオンライン活動の流れと、悪者がユーザーを罠にかけ、その情報の盗難の増加が生じることとなりました。今月は、過去 Microsoft Internet Explorer に行なわれた改善と、現在の悪質な活動の状況およびユーザーの保護に役立つ次の Internet Explorer のバージョンで提供される強化点についてお話します。

私が本人です。これがその証拠です: 独特の ID と認証が必要な理由
どんなにテクノロジーや運用方法が発達しても、ある種のコンピュータ サイエンスの原則は変化しません。特に、情報セキュリティについてはそうです。最近気がついたのですが、セキュリティ ベンダーが、彼らの最新の輝かしい製品が私たちのすべてのセキュリティの悩みを解決すると競合しながら主張している中で、コンピュータ サイエンス原理の基本理解が失われているようです。優れたコンピュータ サイエンスはその重要性を決して失うことはなく、サイエンスを知ることは製品の選択、そしてプロセスの開発に役立つので、折々このコラムでそのようなトピックを取り上げます。今月は、ID、認証、承認の概念について考え、それぞれの重要性をみなさんに理解していただき、最近増加している最初の 2 つを組み合わせた脅威からの防御に役立てていただきたいと思います。

Microsoft Small Business Server とセキュリティ: すべてリスク管理次第である
最近、私はセキュリティに関するもうひとつの半宗教的な論争に巻き込まれています (ある意味、それに魅力すら感じているのですが)。それは Microsoft Small Business Server (SBS) に関するものです。基本的な論点は、SBS がセキュリティの内在的な脅威であるかどうか。さて、脅威とならないシステムなどあるのでしょうか? セキュリティはバイナリの判断ではありません。「リスク管理」と呼ばれる「小さなこと」に関するものなのです。セキュリティと使い易さ、そして費用のトレードオフの関係なのです。このコラムでは、SBS に照らしてリスク管理の概念を説明し、もちろん、SBS がセキュリティをいくらか犠牲にしている点、トレードオフがその理由である場合や、打開策が必要な部分についても示したいと思っています。願わくは、文中で、ネットワークを保護する場合にリスク管理がなぜ考えられる最も重要な概念であるのかについて挙げられると思います。

セキュリティ問題を自分で作り出してしまう – 第 2 回: ACL で制御すべきか、しないべきか
英語の動詞化は素晴らしいことではありませんか? ACL は、我々が自分たちのために利用する、パワフルな動詞のリストに最近新たに追加されました。ACL はアクセス制御リストの省略です。しかし、「"you need to ACL the boot partition so Everyone can't get to it." （ブート パーティションを ACL (で制御) することが必要です。そうすれば、すべてのユーザーがアクセスできない）」という文脈で、おそらく動詞として使用していることをご存知なのではないでしょうか。

パスワードに関する｢よく寄せられる質問｣
今日の、オペレーティング システムおよびアプリケーションはパスワードありきに構成されるものであり、たとえスマート カードやバイオメトリクスのシステムを使用していたとしても、すべてのアカウントは依然としてパスワードを備え、ある状況において使用することができます。特にサービスなどを実行するようなアカウントは、スマートカードやバイオメトリクスのトークンですらも使用することができません。従って、認証にはパスワードの使用が必要です。

セキュリティ問題を自分で作り出してしまう – 第 1 回
このコラムの目的は、マイクロソフトがセキュリティを提供するために何を行い、注意深く実行しないとどのような悪い結果をもたらすかという事について、みなさんにより理解を深めていただくことです。

悪影響があると考えられている有線ネットワークでの 802.1X
悲しいかな、有線の 802.1X には、ならず者のコンピュータの閉め出しに関して、その有効性が著しく低いという根本的な欠点があります。プロトコルの実装方法の弱点が、どのように攻撃に悪用されるかについては、後ほど述べます。まずは、802.1X の動作方法を確認してみましょう。

信頼できる管理者
あなたは、管理者を信頼していますか? この純粋無垢に思える質問が、多くの人達の心の中で重大なジレンマとなっているでしょう。どういう回答をしたいか、についてはわかっているものの、残念なことに多くの場合、真実は正反対の回答です。

オペレーションのセキュリティ : 第 4 回 (全 4 回) ‐セキュリティを管理する
マイクロソフトの Windows オペレーティング システムもしくは Linux ベースのオペレーティング システムのいずれかを導入することに関して、検討いただくための問題を提起します。

オペレーションのセキュリティ : 第 3 回 (全 4 回) ‐数時間で利用可能となる修正
先月、Steven Suehring 氏のコラムである "An Approach That Works:Comparing Open and Closed Source Security." を読んでいました。コラム全体の流れには少々強引さがありましたが、そのまま読み続けました。それは、次の文章に目を引かれたからです。

セキュリティ神話
Jesper および Steve の新しい著書 "Protect Your Windows Network" に基づいた第 2 回目のコラムです。

オペレーションのセキュリティ : 第 2 回 (全 4 回) ‐問題が複数の製品に影響を及ぼす場合
特定の脆弱性の発見が複数の製品、またはある製品の複数のバージョンに影響を及ぼすことはめずらしくはありません。振り返ってみるとその事実は明白ですが、もう少し掘り下げて、マイクロソフトおよび Linux/オープン ソース コミュニティが問題をどのように取り扱っているかを明らかにし、それがお客様にとっての実際にどのような意味をもつかを考察したいと思います。

セキュリティ神話
Jesper および Steve の新しい著書 "Protect Your Windows Network" に基づいた 2 回で構成されるシリーズの 第 1 回目のコラムです。

オペレーションのセキュリティ : 第 1 回 (全 4 回) ‐ Windows、Linux およびセキュリティ通知
このコラムは、全 4 回のシリーズでお届けし、今回は、お客様のセキュリティ上の心配点を考察し、Microsoft Windows ベースのオペレーティング システムまたは Linux ベースのオペレーティング システムのいずれかを使用した場合の問題を提起します。

ラップトップが盗難にあった場合 : 器機の盗難による脅威を緩和する
ラップトップが盗難にあうという恐れは、すべての組織にとって大きな心配事です。おそらく、皆さんにも起こりうる問題です。(もちろん、起きないことを望んでいますが。)これに対する解決は実に単純です。ラップトップが盗まれないようにするのです。(今、皆さんが笑っているのが聞こえます。)

ネットワーク保護に IPsec を使用 : 第 2 回 (全 2 回)
IPsec は少し難解ではありますが素晴らしい技術であり、それが実際どのようなものか、またどのように機能するかを理解していただいたと思いますので、今月は一般的なセキュリティ上の 3 つの問題を解決する IPSec の機能を中心にお話したいと思います。

ネットワーク保護に IPsec を使用 : 第 1 回 (全 2 回)
インターネット プロトコル セキュリティ (IPsec) は、私の知る限りで、最も役に立つセキュリティ技術の 1 つであるといえます。しかし、IPsec は、理解と構成が多少困難であるため、あまりよく理解されておらず、十分に活用されていません。

パスフレーズ vs. パスワード第 3 回 (全 3 回)
パスワード vs パスフレーズ シリーズ最終回です。この最終回では、このシリーズの結論を出し、パスワードの選択方法およびパスワード ポリシーの構成方法についてのガイダンスを示します。

パスフレーズ vs. パスワード第 2 回 (全 3 回)
パスワード vs パス フレーズの第 2 回目です。今回は、パスワード各種の相対的な強さを説明し、数学的なアプローチで例証します。

パスフレーズ vs. パスワード第 1 回 (全 3 回)
パスフレーズとパスワードを的確に比較分析するために、3 回シリーズのコラムとして論じていきたいと思います。まず第 1 回目、今回は、パスフレーズとパスワードの基本的な部分、両者はどのように保存されるか、について触れていきます｡

ヘルプ : システムがウイルスに感染したときの対処方法　第 2 部
この数週間はとても充実したものでした。前回のコラムは多くの方に読んでいただき、そのほとんどの人が感想を送ってくれたのではないかと思うほどの反響がありました。

ヘルプ : システムがウイルスに感染したときの対処方法
先月のセキュリティ更新プログラムのドキュメントは、長くなってしまいましたが、今月は要点をまとめて短めにします。たとえば、先月説明したようにセキュリティ更新プログラムをインストールしていない場合に、システムが攻撃を受けたとします。どうすればよいでしょうか。

更新プログラムが嫌われる理由
ここでは、更新プログラムに焦点を当て、更新プログラムに関するいくつかの疑問点を解消すると同時に、更新プログラムがセキュリティに及ぼす影響について説明します。

基本のトレードオフ
このコラムのシリーズでの焦点の一部は、ネットワークのセキュリティを強化するために行う必要のある進行中の作業についてです。最初のコラムでは、よりよいネットワーク保護のために、考慮すべき基本のトレードオフについての概要を述べます。