セキュリティ管理 ‐ 2005 年 4 月
セキュリティ神話
Jesper M. Johansson および Steve Riley 著
Jesper および Steve の新しい著書 "Protect Your Windows Network" に基づいた第 2 回目のコラムです。
神話 5: すべての環境において、最低でも <皆様のお気に入りのガイド名をここに当てはめて下さい> を適用する必要がある
1 つの雛形がすべてに適合するわけではありません。それぞれの環境には独自の要件があり、また独自の脅威が存在します。すべての環境に存在するコンピュータをセキュアにする方法についてのガイドが本当に存在するとすれば、そのガイドに記載されているのは「既定の設定を使用しろ」でしょう。「すべての環境において、最低でも xxx ガイドを適用する必要がある」という発言をする人たちの問題点は、セキュリティおよびコンピュータ管理の複雑さを考慮していないことです。最初のコラム で説明したように、管理者は何かが破損した時に通常連絡を受けません。セキュリティを強化するための設定は裏を返せば、何かの機能を使用不可にするということです。これが、いくつかのセキュリティ関連の設定が既定でオフにされている理由です。環境を保護できるように、その環境がどのようなものであるか、どのような人物が使用しているのか、また緩和する必要があると決定された脅威にはどのようなものがあるかを理解する必要があります。セキュリティとはリスク管理であり、リスク管理とはリスクの理解および管理であり、単にある人物の存在と給料支払いを正当化するために、変更を行うという名のもとに多くの変更を行うことではありません。
少なくとも、上級のシステム管理者は使用するセキュリティ ガイドまたはポリシーを評価し、それが環境に適切であるかを確認する必要があります。その環境に合わせて設定を変更することは、ほとんどの場合において必要です。しかし、これは初心者の管理者ができることではありません。セキュリティ ポリシーを監査または環境に合わせて変更する場合、注意が絶対不可欠です。
神話 6: 「高いセキュリティ」とはすべての環境にとっての最終目標
可能な限り最も制限的なセキュリティという意味において、高いセキュリティとは、すべての人たちのためのものではありません。今まで何度も言ってきたように、セキュリティとは何かを破損させます。ある環境では、そのほかの環境では破損させたくないものを、保護という名のもとに破損させることをいとわない場合もあります。誰かに 2001 年 9 月 10 日には、身体検査を受ける必要があるためフライトの 3 時間前に空港に到着しなければならないと言われたとします。そして、その日、空港の身体検査であなたの荷物から編み物の編み棒が没収されたとしたら、空港職員に向かって正気かと言いたくなるでしょう。高いセキュリティ (空港のセキュリティという範囲では、セキュリティとは、まったくすべてのセキュリティを指し、単にセキュリティの現場ではありませんが) とは すべての人のためではなく、また、2001 年 9 月 11 日 08:00 (東部夏時間) まで、我々が存在している世界では、我々のためのものではありませんでした。飛行機が再び飛び立つと、さらに厳しい空港でのセキュリティの必要性を問題にする人はほとんどいなくなりました。
これと同様なことが情報セキュリティにも当てはまります。非常に深刻な脅威にさらされているシステムもあります。これらのシステムが侵害された場合、人々は死亡し、国家や大規模な企業は破産し、我々の知っている社会は崩壊するでしょう。そのほかのシステムはそれほど機密性の高い情報を含まないため、同じレベルのセキュリティの対象となる必要はありません。前者に対し使用されている保護対策は、後者にはまったく不適切です。しかし、常々、「高いセキュリティ」とはすべての環境が追求すべき最終目標であるかのように言われるのを耳にします。このような意見は、過度に単純化されており、現在の情報セキュリティのフィールドにおける一般的な疑いおよび混乱の原因となります。
神話 7: 環境をセキュアにする第一歩は、セキュリティ ガイドの適用
セキュリティ強化の実施は変更を行うことから始めることはできません。何かを変更し始めると環境は変化し、そこから始めた前提事項はもはや有効ではないからです。繰り返しになりますが、セキュリティとはリスク管理であり、それは環境に対するリスクおよび具体的な脅威を理解し、これらを緩和することです。緩和のためのステップがセキュリティ ガイドを取り入れ、それを適用することを伴うとしたら、それはそれでいいのですが、その脅威やリスクを分析しなければ、セキュリティ ガイドを取り入れることが必要であるかは分かりません。
神話 8: セキュリティ上の調整は物理的なセキュリティ問題を修正できる
悪意のある人物がコンピュータに物理的にアクセス可能な場合、もはやそのコンピュータはコンピュータを所有しているユーザーのものではないという情報セキュリティにおける基本的な概念があります。物理的なアクセスは、最終的には常にソフトウェア セキュリティを打ち負かします。しかし、この意見を修正しなければなりません。その理由は、有効なソフトウェア セキュリティの対策を行っていれば、物理的なアクセスによりすべてのセキュリティが侵害されるまでの時間を長びかせることができるからです。たとえば、データの暗号化がこのカテゴリに分類されます。しかし、そのほかの多くのソフトウェア セキュリティの調整には意味がありません。我々の現在のお気に入りは USB サム ドライブをめぐる討論です。“リクルート” という映画以降、USB サム ドライブ上のデータが何者かによって容易に盗まれるという事実に皆、目覚めました。不思議なことに、これはサム ドライブにのみ当てはまるように思えます。軍事施設内では USB サム ドライブは没収され、代わりに 80-GB i1394 のハード ドライブの使用が許可されます。この処置は実際のところそれほど悪い対策ではありません。
ある記念すべき夕方、遅くに、もう 1 人の著者の上司があわてふためいて彼を呼び、この問題についてどうするべきかをたずねました。その対応は、地元のハードウェア販売店に行って、エポキシのチューブを購入し、それで USB ポートをふさぐというものでした。それに取り組んでいる間、i1394 (FireWire)、シリアル、パラレル、SD カード、MMC、メモリ スティック、CD/DVD バーナー、フロッピー ドライブおよびイーサネット ジャックもエポキシのチューブでふさぎます。誰かがモニタを持っていかないように、またモニタのコピーをしないように気をつける必要もあります。これらのインターフェースのすべてを活用してデータを盗むことができるのです。
この問題の核心は、コンピュータにこれらの種類のインターフェースが存在し、悪意のある人物がこれらにアクセスする限り、すべてが無駄になります。この状況を変えるものは USB にはありません。確かに、OS の製造元が何者かが USB サム ドライブに書き込みすることを防ぐスイッチを取り付けることもできるでしょう。しかし、それでは悪意のある人物がブート可能な USB サム ドライブにブートし、NTFS ドライバを読み込み、データを盗むことを防げません。
手短に言えば、物理的な侵害に対し重要な防御になるとされているソフトウェア セキュリティのソリューションは、悪意のある人物がコンピュータにフル アクセスを持っており、任意のオペレーティング システムをブートできるとしても、持ちこたえられなければなりません。レジストリの調整およびファイル システムの ACL は保護を提供しませんが、暗号化は保護を提供します。適切な物理的なセキュリティと組み合わせると、これらのすべての対策は有益です。物理的なセキュリティの代わりとしては、これらは通常は代わりとはなりません。
神話 9: セキュリティ上の調整はワーム/ウイルスを阻止する
ウイルスやワーム (便宜上、マルウェア (悪意のあるソフトウェア) と以下、記述します) は可能な限り大きなダメージを与えるよう設計されているため、最大数の脆弱なシステムに感染しようとします。このため、マルウェアは 2 つのメカニズムのいずれかにより蔓延する傾向があります。それらは、更新プログラム/緩和策が適用されていない脆弱性および不慣れで経験の浅いユーザーです。マルウェアを阻止するセキュリティ上の調整もいくつかあります。たとえば、Code Red は IIS のインデックス サービス エクステンションのマッピングを削除することにより阻止できたかもしれませんが、マルウェアのほとんどが後者により蔓延するため、そのような方法では阻止されません。踊るブタとセキュリティの選択があるとすれば、ユーザーは毎回踊るブタを選択するでしょう。裸の人たちがビーチで跳ね回っている画像とセキュリティとの選択では、おおかた半分の人たちがビーチで跳ね回っている裸の人たちを選択するでしょう。ユーザーが我々のセキュリティ ダイアログを理解しないという事実とこれを結びつけて考えると、最悪だという事がお分かりいただけると思います。ユーザーにセキュリティ上の決定を行うよう指示するダイアログが、ユーザーとビーチで跳ね回る裸の人たちの間に介在する唯一のものである場合、セキュリティにはわずかな望みもありません。
神話 10: 専門家はこの調整を多層防御として推奨した
この神話は 2 つの部分から成り立っています。まず、第 2 の部分から説明します。多層防御とは、容認できない脅威を防ぐために複数の場所に保護対策を適用する道理にかなったセキュリティ戦略です。残念ながら、今日あまりにも多くの人たちが「多層防御」という用語を、そのほかの非現実的で正当な理由を持たないセキュリティ対策を正当化するために使用しています。概してこれは「神話 3」(調整すればするほどよい) での一般的な信仰のためです。監査担当者に、自分たちの仕事をしているところを見せ、適正評価を行うよう印象付けるため、さらに多くの変更を行います。
これは、この分野における信じられないほどの未熟さを示しています。これはちょうど中世の西洋「医学」に見られるようなものです。研修医が、自分たちがすべてを試行しているところを見せるべく、牛糞、灰、はちみつ、ビール、またそのほか多数のものをやつぎばやに傷口に塗布したようなものです。今日、医師 (実際は通常看護師であることが多いですが) は傷口を清潔にし、包帯や抗生物質のようなものを適用し、治療します。多くの場合において、「過ぎたるは及ばざるが如し」であり、不必要で潜在的に有害なアクションを正当化する方便として、多層防御を使用することは不適切です。
このステートメントの最初の部分は我々のお気に入りの 1 つです。社会一般的に見て、我々は専門家に対して評価をしようとしません。その理由は、結局彼らは専門家であり、我々よりも多くのことを知っているためです。問題は、専門家になるための資格取得プロセスは何かしらが欠けているかもしれないということです。我々は通常、セキュリティ専門家の仮定義とは「プレスで発言したことが引用される人物」であると指摘しています。よく引用されている人物やこのような人物との我々の対話に基づき、その信仰は正当化されたように見えます。もはや、専門家を定義するものはアクションではなく、単に評判です。評判がすべてです。我々の友人である Mark Minasi の偉大なステートメントで、我々もプレゼンテーションで引用するものがあります。セキュリティ コンサルタントになるために、知っておくべきことは “The sky is falling.” (空が落ちてくる/びっくり仰天) という 4 語に尽きるというものです。セキュリティ コンサルタントとして、フィールドで一般的な適正能力レベルで起きたことを見ると、このステートメントは真実味があります。実際、多くの優れたセキュリティ コンサルタントが存在しますが、また同時に知る必要のあることを知らず、それを認識できず、疑うことをしない顧客に自らの不十分な知識やスキルの提供に法外な料金を請求するセキュリティ コンサルタントも多く存在します。
さらに学習する
このコラムは、皆様がセキュリティを管理するにあたり、避けるべき事項を取り扱っています。Jesper および Steve の著書である "Protect Your Windows Network" で、行うべきことが説明されていますが、いくつかの結論には驚かれるものもあるでしょう。
いつものように、このコラムは皆様のためのものです。討議したいトピックがありましたら、また皆様がコンピュータをセキュアにするにあたり我々が支援できるより良い方法がありましたらお知らせ下さい。皆様のフィードバックをお待ちしております。フィードバックは画面下に表示されている ゛コメント゛ 機能を使用してお送りください。
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。