トピックはじめに効果的なセキュリティ戦略には、ネットワークに対する脅威を正確に評価することが重要です。物理的なセキュリティに対するリスクとなる要素についての考え方が組織ごとに異なるのと同様に、ネットワーク データに関するリスクについての考え方も企業ごとに異なります。このような考え方は、組織の業種、組織のデータの価値、組織のネットワークが以前に攻撃を受けたことがあるかどうかなど、さまざまな要因の影響を受けます。セキュリティ リスク管理の詳細については、「セキュリティ リスク管理ガイド」(http://www.microsoft.com/japan/technet/security/topics/policiesandprocedures/secrisk/default.mspx
) を参照してください。 マイクロソフトのパートナーやユーザーからのデータを、マイクロソフトの社内ネットワークから得た情報と組み合わせて分析すると、セキュリティの監視と攻撃検出で対処できる 3 つの主要な懸案事項を特定できます。このような懸案事項には、次の 3 つの分野があります。 | • | ポリシー違反の検出 | | • | 外部からの攻撃の特定 | | • | フォレンシック分析の実装 |
この章ではこれらの各シナリオについて説明し、第 4 章「ソリューションの設計」でセキュリティの監視とアーカイブを構成してこれらの脅威に対処する方法について示します。 ネットワーク上で行われる通常とは異なる動作を特定するには、使用している環境での通常の動作を認識しておく必要があります。このガイドでは、通常の動作と特異な動作を区別する方法を紹介します。 特異な動作を特定するには、すべてのコンピュータにセキュリティに関するベースラインを実装する必要もあります。セキュリティに関するベースラインがなければ、コンピュータがベースラインの要件を満たしているかどうかを識別することはできません。セキュリティのベースラインを実装する方法の詳細については、セキュリティに関するヒント集 (http://www.microsoft.com/japan/technet/itsolutions/howto/default.mspx) を参照してください。 ポリシー違反の検出ポリシー違反は、組織が適切に対処すべきセキュリティの問題の中でも最も大きなカテゴリを形成します。ポリシー違反には次のような行為があります。 | • | 適切でないプロセスを使用したユーザー アカウントの作成 | | • | 適切な認証を受けていない管理者特権の使用 | | • | 対話型ログオンでのサービス アカウントの使用 | | • | ユーザーに対してアクセス許可のないファイルへのアクセス試行 | | • | ユーザーに対してアクセス許可のないファイルの削除 | | • | 許可されていないプログラムの実行 |
最も一般的な形式のポリシー違反は、ユーザーが開くことを認められていないディレクトリを開こうとする場合など、誤ってアクセスを試みる場合に発生します。ただし、通常はアクセス制限や制限付きの権利を設定することによって、このような試みが重大な損害につながらないようにします。しかし、管理者によるポリシー違反に関しては、それが故意であるかどうかには関係なく、はるかに重大な懸案事項になります。 ネットワーク管理者が信頼できないと、組織にとっては大きな脅威になります。管理者は各自の業務を遂行するために、高いレベルのシステム アクセス権や特権が必要になってきます。たとえば、ユーザー アカウントの作成、パスワードのリセット、ファイルやフォルダの所有権の変更などの権利が必要です。ただし、管理者がある手順を実行できるからといって、それを行うことを認められているとは限りません。また、管理者の権利を使用すると、管理者が閲覧すべきではない財務記録などのネットワーク リソースを閲覧することもできます。 ビジネス上の問題点多くの組織では、違反が起こる確率や損害の可能性を考慮し、ポリシー違反の検出を優先事項として対応する必要があります。ポリシー違反の検出と防止に関するビジネス上の問題点には、次の点が挙げられます。 | • | 採用前および採用後の定期的な厳しい経歴調査の実施 | | • | 管理者の行動に対する独立したセキュリティ チェックの実施 | | • | セキュリティ監視システムの定期的な検査の実行 | | • | セキュリティ違反の迅速な特定 | | • | セキュリティ違反による損害状況の確認 | | • | セキュリティ違反による損害拡大の防止 |
企業組織は、通常、社員を採用する前に適正なセキュリティ チェックを行いますが、多くの組織は社内ユーザーの危険な行動を継続的に監視するには至っていません。 ネットワークのセキュリティ監視要件に関する通知が明示されている同意書に社内ユーザーが署名することが不可欠です。社内ユーザーは、アクセス許可のないファイルを開こうとしたり、アクセス許可のない共有フォルダや共有ファイルにアクセスを試みると、そのアクセスが失敗したことがセキュリティ ログに記録されることを理解しておく必要があります。価値の高いファイルを扱う社内ユーザーは、そのようなファイルにアクセスするたびにセキュリティ ログに記録されることを認識しておく必要があります。 注 : 社内でセキュリティの監視が行われていること、および機密データに故意にアクセスを試みたり、破壊を試みたりした結果として生じることについて社員が十分な認識を持っていることを証明しないと、社員を訴追したり解雇したりすることはますます困難になってきています。また、データ保護要件や人権に関する法規制にも明示的な同意が必要になることがあります。 責務の分離組織では責務を明確に分離する必要があります。それにより、セキュリティ部門や監査部門などの異なる担当者やグループが管理者の行為を検査する役割を担当するようにします。また、検査担当者自身が攻撃者になることを防止するために、検査担当グループには管理者の操作を実行する権限を許可しないようにします。 監査機能のテスト組織では監査機能の定期的なテストを実施する必要があります。1 つの方法として、警告が正しく機能していることを確認するために、ペネトレーション テストやテスト用の管理者アカウントを使用します。攻撃者がペネトレーション テストを攻撃のチャンスとして利用できないように、このようなテストは毎週不定期に実施するようにスケジュールを設定します。 セキュリティ プロセスと対応策の定義セキュリティ違反を迅速に特定するには、特定のネットワーク操作の実行方法を定義する包括的なプロセスが必要です。たとえば、Microsoft Identity Integration Server (MIIS) 2003 などの ID 管理システムを使用して、ユーザー アカウントを作成 (プロビジョニング) する必要があります。管理者が直接ユーザー アカウントを作成することも可能ですが、組織のポリシーでは直接作成を行うべきではないことを明示します。したがって、セキュリティの監視でイベント 624 (ユーザー アカウントの作成) を検出した場合は、管理者の個人アカウントではなく、MIIS 2003 プロビジョニング アカウントにリンクする必要があります。 セキュリティ違反による損害の拡大を防止するには、常駐のセキュリティ スタッフの緊急動員など、予測される事故に適した対応策を定義する必要があります。事故対応策の迅速性と実効性を確保することにより、組織のセキュリティ プロファイルを大幅に強化できます。つまり、ユーザーや管理者がセキュリティ事故の後に厳しい調査が行われることを認識していれば、セキュリティ ポリシー違反を試みることが少なくなります。 多くの報道で、外部ソースからのネットワークに対する脅威について報告されています。ただし、経験上、ネットワーク管理者による構成が不適切であることが原因でデータ損失が生じる確率よりも、外部からの攻撃が原因のデータ損失や外部攻撃者による侵入の確率のほうが低いことがわかっています。外部からの脅威に無関心になってはいけませんが、ネットワークへの外部からの侵入を防止するソリューションが多くの組織から販売されていることに留意してください (このようなソリューションは比較的容易なためです)。それに対して、管理者による間違いや不誠実な行動を防止するソリューションのパッケージは販売されていません。 技術的な問題点Windows セキュリティ イベント ログに基づいて機能するセキュリティの監視および攻撃検出システムを実装するには、次のことに対処する必要があります。 | • | 大量のセキュリティ イベントの管理 : 大量のセキュリティ イベントに対処するには、どのセキュリティ監査設定を有効にするかを注意深く検討する必要があります。このことは、特に大量のデータを生成する可能性のあるファイルやオブジェクトに対するアクセスを監査する場合に該当します。 | | • | 一元管理されたリポジトリでの大量のイベントの格納と管理 : イベントの格納には、数テラバイトのデータの管理が必要になることがあります。フォレンシック分析ではこの技術要件が大きな懸念事項になるので、この章の後半の「フォレンシック分析の実装」で詳しく説明します。 | | • | 攻撃パターンの特定 : 攻撃の形跡を特定するには、攻撃を示すイベントのパターンを把握しておく必要があります。攻撃の形跡が侵入であると特定される場合は、必ず適切な方法で迅速に対応する必要があります。 | | • | 管理者がセキュリティ監査制御を回避できないような制限 : 管理者が監査制御を回避できないようにするには、管理者の役割を細分化し、管理者の監査を行うセキュリティ専門の担当者グループを作成または割り当てる必要があります。 |
セキュリティの問題点セキュリティの監視および攻撃検出システムでは、セキュリティの問題点を特定することが最も重要になります。セキュリティを効果的に監視するには、次のような操作を特定する必要があります。 | • | ファイルのアクセス許可を変更してリソースにアクセスしようとする試み | | • | パスワードをリセットしてリソースにアクセスしようとする試み | | • | 新規ユーザーの作成 | | • | グループへのユーザーの配置 | | • | 未承認の管理者アカウントの使用 | | • | サービス アカウントの資格情報を使用したコンソールからのログオン | | • | 未承認プログラムの実行 | | • | 故意によるファイルの損傷 (ディスク エラーに起因する損傷以外) | | • | 未承認のオペレーティング システムの導入 | | • | 信頼関係の作成または削除 | | • | 汎用の管理者アカウントなどの不適切なアカウントによるログオン | | • | セキュリティ ポリシーの未承認の変更 |
このような操作を正しく特定するには、特徴のあるイベント シーケンスを認識し、他のセキュリティ イベントからこのようなシーケンスを抽出できる必要があります。 ソリューション要件組織的な違反やセキュリティ ポリシー違反を検出するには、ソリューションに次の要素を含める必要があります。 | • | すべてのネットワーク操作に対応できるように明確に定義されたセキュリティ手順 | | • | 包括的なセキュリティ監査ログ | | • | 分析用に適切なフィルタ処理が可能で、信頼性が高く、一元管理されたセキュリティ ログの収集 | | • | レベルを調整できるセキュリティ監査 | | • | レコードの欠落や不足など、すべてのデータ不整合に関する調査 |
構成エラーを特定するには、ソリューションに次の要素を含めます。 | • | すべてのネットワーク操作に対応できるように明確に定義された変更管理手順 (検証手順を含む) | | • | 効果的なセキュリティ監査ログ | | • | 信頼性が高く、一元管理されたセキュリティ ログの収集 | | • | 構成の変更を特定するための、セキュリティ ログの自動分析 |
このようなソリューションの実装方法の詳細については、第 4 章「ソリューションの設計」を参照してください。 外部からの攻撃の特定外部からの攻撃には、主に人的要因による攻撃と悪意のあるアプリケーションによって行われる攻撃の 2 種類があります。どちらの種類の攻撃も、その特性や脅威の特徴が異なります。人為的な攻撃では、攻撃者が対象とするネットワークを調べ、その結果に応じて攻撃方法を変更します。それに対して、悪意のあるアプリケーションは複数のコンピュータに作用して、攻撃者が悪用するためのバックドアを残します。 悪意のあるアプリケーションには、ウイルス、ワーム、トロイの木馬など、さまざまな脅威の可能性があります。このようなアプリケーションは迷惑で、大きな混乱の原因になる可能性はありますが、この種の攻撃は人為的な攻撃に比べれば容易に防ぐことができます。 注 : このガイドには、インライン キーストローク ロガーなどのハードウェア デバイスを必要とする攻撃に関する情報は含めていません。これは、セキュリティの監視では、このようなデバイスを検出できないためです。 ビジネス上の問題点このガイドでは、外部からの攻撃によってネットワークへの侵入が試みられ、アプリケーション層またはプレゼンテーション層でその攻撃が検出可能な場合のビジネス上の問題点に対処します。セキュリティの監視は、分散サービス拒否 (DDoS) 攻撃の特定に特に有効ということはありませんが、Microsoft インターネット インフォメーション サービス (IIS) ログのような他のメカニズムによって、期間、パケットの種類、見せかけの IP アドレス (スプーフィングの可能性あり)、および DDoS 攻撃のその他の詳細を特定できます。 悪意のあるアプリケーションの特定は、あらゆる業種の組織にとって極めて重要ですが、金融関係の組織や規制により制約を受ける組織にとっては特に重要です。たとえば、このような組織では、スパイウェア アプリケーションの存在について十分な注意が必要です。スパイウェア アプリケーションは、サーバーやワークステーションに常駐し、機密情報を外部の第三者に送信します。 悪意のあるアプリケーションの大きなビジネス上の問題点は、このようなアプリケーションがネットワーク上に存在するかどうかの確認が確実に実行できない点にあります。特に懸念されるシナリオは、悪意のあるソフトウェア コンポーネントが、コンピュータを完全に制御でき、攻撃者がコンピュータを制御できるようになったことを覆い隠すような Rootkit や同等のプログラムである場合です。Rootkit はそれを検出しようとする操作よりも巧みに隠ぺいを行うので、コンピュータでこのような悪意のあるプログラムが実行されていないことを保証するのは困難です。 技術的な問題点組織に対する攻撃の増加の原因は、未熟な攻撃者が事前構成済みのスクリプトを使用して脆弱性を悪用しようとするためです。これよりもはるかに危険なのは、高度なスキルを備えた経験豊富な一部の専門の攻撃者 (このような攻撃者は相互に連携して攻撃を行う可能性があります) によるもので、多種多様な攻撃を使用して、ネットワークへの侵入を試みる可能性があります。 注 : このガイドでは、故意に攻撃を行う個人を攻撃者として定義しています。つまり、独自に動作するウイルス、ワーム、またはトロイの木馬は攻撃者とは見なしません。 悪意のあるアプリケーションを特定する主な方法は、プロセスを追跡することです。プロセスを追跡すれば、ワークステーションやサーバー上で開始または停止される各プログラムを識別できます。ただし、この方法の欠点は、大量のイベントが生成され、その大部分が追跡対象外のイベントであることです。 追跡したプロセスの分析が困難になる可能性のある領域に、次の 2 つがあります。 | • | CGI (Common Gateway Interface) を使用する Web サーバー : 各ページにアクセスするたびに新しいプロセスが作成されます。 | | • | 開発ワークステーション : アプリケーションをビルドすると、短期間に多くのプロセスが作成されます。 |
これらの要素は、短期間に大量のイベントが発生したり、多くのイベントが連続的に作成される原因になります。どちらの場合でも、正当なイベントと攻撃イベントを区別して抽出する効果的なフィルタが必要です。 セキュリティの問題点外部からの攻撃によって生じるセキュリティ上の問題点は、ネットワークへの侵入方法を攻撃者が非常に柔軟に選択できるため、重要になります。外部からの攻撃者は、次のメカニズムを使用してネットワークに侵入できます。 | • | パスワードを解読する試み | | • | パスワードの変更またはリセット | | • | 脆弱性の悪用 | | • | ユーザーを利用した悪意のあるアプリケーションの実行 | | • | 特権の昇格を使用した他のコンピュータへの侵入 ("アイランド ホッピング") | | • | Rootkit またはトロイの木馬のインストール | | • | 未承認のワークステーションの使用 | | • | 悪意のある Web サイトに誘導する不正な電子メールによる "フィッシング" 攻撃の使用 |
攻撃者や悪意のあるアプリケーションを検出する基本的な方法は、プロセスを追跡することです。この方法は注意深く適用し、グループ ポリシーのソフトウェア制限ポリシーに統合する必要があります。境界ネットワーク内のコンピュータで実行できるプログラムを指定するための非常に厳密なポリシーを定義する必要があります。 注 : ソフトウェア制限ポリシーは、ポータブル コンピュータやエンタープライズ環境内に予期しない影響を与える可能性があります。ソフトウェア制限ポリシーを管理するには、新しいグループ ポリシー オブジェクト (GPO) を常に作成します。既定のドメイン ポリシーを使用してソフトウェア制限ポリシーを適用しないでください。 ソフトウェア制限ポリシーの詳細については、「Using Software Restriction Policies to Protect Against Unauthorized Software」(http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx) (英語) を参照してください。 ソリューション要件外部からの攻撃者を特定するためのソリューション要件は、内部からの脅威を特定するための要件と重複します。このような要件には次の要素があります。 | • | セキュリティ実装に対する多層防御方法 | | • | 効果的なセキュリティ監査ログ | | • | 信頼性の高い、一元管理されたセキュリティ ログの収集 | | • | 攻撃の形跡を特定するための、セキュリティ ログの自動分析 |
悪意のあるアプリケーションを検出するためのソリューション要件は、内部からの脅威を特定するための要件と一部重複します。このようなソリューション要件には次の要素があります。 | • | ネットワーク上の未承認のソフトウェアを監査するための効果的な手順 | | • | 適正に構成されたセキュリティ監査ログ | | • | 信頼性の高い、一元管理されたセキュリティ ログの収集とフィルタ | | • | 必要に応じてサードパーティのプログラムを使用した、疑わしい動作を特定するためのセキュリティ ログの自動分析 |
ウイルス攻撃に対する保護の詳細については、「対ウイルス多層防御ガイド」(http://www.microsoft.com/japan/technet/security/guidance/avdind_0.mspx) を参照してください。 フォレンシック分析の実装フォレンシック分析を使用して、セキュリティ違反の発生時刻、重大度および結果を追跡し、攻撃者による侵入を受けたシステムを特定できます。フォレンシック分析では、次の項目を記録する必要があります。 | • | 攻撃の時刻 | | • | 攻撃の期間 | | • | 影響を受けたコンピュータ | | • | 攻撃者がネットワークに対して行った変更 |
フォレンシック分析はそれ自体で大きなトピックとなるため、このガイドではそのすべてに関する説明は行いません。特に、フォレンシック分析の証拠処理要件やセキュリティ イベント ログ以外のフォレンシック データ ソースには対応していません。 ビジネス上の問題点フォレンシック分析は、事故をリアルタイムに調査するのではなく、事故が発生した後に調査を行うため、他のソリューションのシナリオとは異なります。フォレンシック分析では、1 台以上のコンピュータからのすべての関連するイベントを詳細な一覧として提供する必要があります。分析システムでは、大量のデータを処理し、適切なデータベースに保管できる必要があります。 重要なビジネス上の決定事項として、フォレンシック データの保管期間が挙げられます。組織はフォレンシック データの最長有効期間を決め、その期間経過後の情報は古い情報と見なす必要があります。次の表に、フォレンシック データの一般的な保管期間を示します。 表 3.1: フォレンシック分析データの保管有効期限 オンラインによる保管 (データベース) | 21 日間 | 最新のイベントに迅速にアクセスできるようにします。 | オフラインによる保管 (バックアップ) | 180 日間 | 大部分の組織にとって適切な有効期限です。 | 規制を受ける環境 | 7 年間 | | 情報機関 | 永久 | |
注 : 病院や政府機関などの一部の組織によっては有効期限を設定するのではなく、"これ以上は情報を保持しない" という観点から期限を指定することがあります。 最近 3 週間のイベントをオンライン データベースに保持し、それ以上古いイベントはコンマ区切りのテキスト ファイル (CSV) など、高度に圧縮された形式でオフラインに保管するのも 1 つの選択肢です。必要に応じて、分析用にこのような CSV ファイルからデータベースにデータをインポートできます。 どのようなシステムを使う場合でも、最新のイベントを迅速に調査でき、必要に応じて古いイベントを回復できるという要件を満たすことを確認します。オンラインとオフラインのデータ保管期間の最適な組み合わせは、独自の環境内でのセキュリティ イベントの経験に基づいて決定します。 技術的な問題点フォレンシック分析のためのセキュリティ監視の実装では、大量のイベントの信頼性の高い収集と保管が必要になります。クライアントでのセキュリティ監視の要件は、他のソリューション シナリオと変わりませんが、非常に大きなデータベースでの保管と効率性の高いデータ管理が必要になります。 技術的な課題には、次の要素があります。 | • | オンライン データ用の信頼性と安全性の高い保管場所 | | • | オンラインでの保管用の高パフォーマンスで大量のディスク領域の準備 | | • | 古いイベントをメディアに保管するための信頼性の高いバックアップ | | • | 必要に応じて、古いバックアップを適切なアーカイブ ストアに移動するための管理 | | • | 古いバックアップからの情報の回復 |
データベース管理者は、オンライン トランザクション処理 (OLTP) データベースなどのアプリケーションでこのような要素の検討を行うので、これらの課題はセキュリティの監視特有のものではありません。ただし、OLTP アプリケーションやその他のデータベース アプリケーションとは異なり、フォレンシック分析データベースは読み取りではなく、大量の書き込みに対処する必要があります。 セキュリティの問題点一般に、フォレンシック分析用に収集されるデータの量は増加し続けます。ごくまれに、エンタープライズ セキュリティ管理者などのスタッフがこの情報にアクセスする必要が生じる場合もありますが、通常は、情報へのアクセス、情報収集の中断、または情報の変更を他のスタッフに許可しません。1 人または 2 人の信頼のおける担当者だけがセキュリティ データにアクセスできるように、データベースのセキュリティは包括的なものにする必要があります。 ソリューション要件フォレンシック分析の実装に関するソリューション要件には次の要素があります。 | • | 適正に構成されたセキュリティ ログ | | • | セキュリティ ログ エントリの安全性チェック | | • | 安全性が高く、一元管理されたセキュリティ ログの収集 | | • | セキュリティ監視情報のための信頼性の高い保管場所 | | • | 効果的な保管メカニズム |
まとめこの章では、このガイドに含まれる 3 つのシナリオに関するソリューション要件について説明しました。第 4 章「ソリューションの設計」では、セキュリティの監視および攻撃検出計画を作成するために、これらの要素を組み込む方法について説明します。
| 
