インターネットの利便性、そしてビジネスとしての重要性が尚も高まる現代社会において、同時に拡大しているものが“サイバー攻撃による脅威”です。
SQLインジェクションやクロスサイトスクリプティングなどといった脆弱性を攻撃してくる手口や、ランサムウェアのように、あたかも本当の取引や警告通知を装ったメールを送りつけてくる攻撃については、専門技術に詳しくないという方でも、名前くらいは聞いたことがあるのではないでしょうか。
それだけに連日、多くのWebサイト/Webサービスや企業システムが攻撃の被害に遭い、機密情報漏洩やマルウェア拡散など重大なセキュリティ事件を起こしてしまっているのです。
こうしたサイバー攻撃に対し、企業はどのような対策を取っていけばいいのか?
今回は、この問いに対し“マネジメントセキュリティ”と“システムセキュリティ”という2つの観点で、特にWebサイト構築から運用管理における情報漏洩対策の留意手について解説します。
開発/運用を安全に行う“マネジメントセキュリティ”
マンジメントセキュリティとは、Webサイト/Webサービスの設計や、Webアプリケーションの開発/運用方法を体系的に示すための対策です。
セキュアな開発を目的として教育
理想としては“セキュアコーディング”により、そもそも脆弱性を発生させないという開発方法を取ることですが、一朝一夕で成るものではありません。
システム開発並びにWebアプリケーションプログラマーに対し、定期的なセキュア開発教育を施しましょう。
ソースコードの脆弱性診断
脆弱性を根本的に排除するためには、開発段階からソースコードを検査する必要があります。脆弱性診断サービス/ソフトウェアなどを利用し、早期段階での脆弱性発見を目指してください。
開発依頼の際のセキュリティ要件を明確に
Webアプリケーション開発などを外注する際は、RFPを提出する時点でセキュリティ要件を盛り込んでおきましょう。
設計段階からセキュリティを意識する
Webサイト/Webサービスの設計段階から、ユーザーに入力を求める個人情報範囲や、その他コンテンツに関する設計などを含め、セキュリティ対策を意識した設計を心掛けることが大切です。
公開前に再度脆弱性診断を
Webサイト/Webサービスをいざ公開という以前に、再度脆弱性診断を行っておくことをおすすめします。公開後に脆弱性が発見されると改修費用やサービスへの影響も大きくなってしまうため、公開前の脆弱性診断でリスクを低減しましょう。
従業員に向けたセキュリティ教育/管理
セキュアな開発/運用体制が整っていたとしても、従業員がそれを遵守していなければ意味はありません。従業員のセキュリティ意識調査を行った上で、レベルに応じた教育を施す必要があります。
組織的な情報セキュリティを仕組み化
組織的な情報漏洩対策に取り組むためには、セキュリティの仕組み化が重要です。個人並びに組織での対策を体系的に示し、仕組み化することで効率的かつ負担の少ないところまで考慮したセキュリティを構築したください。
第三者機関による認証取得
ISO27000(ISMS)やPCI DSSなど、第三者機関によるセキュリティ基準の認証取得を行うことで、Webサイト/Webサービスの信頼性向上に努めることができます。
クライアントのセキュリティ管理
従業員が利用するクライアントPCは、標的型攻撃など玄関口となり、危険性の高い領域でもあります。クライアントのセキュリティ基準を明確に定め、ライセンス管理なども含め漏れのない対策を講じていきましょう。
業務委託先のセキュリティ管理
業務委託先は監視の目が届かないところにあることが多いので、セキュリティルールを明確にした上で委託契約を結びましょう。
バックアップデータの管理方法
バックアップデータは企業の機密情報そのものです。従って保管場所、保管方法、移動方法などのルールを明確にする必要があります。
物理的な対策が重要な“システムセキュリティ”
システムセキュリティはマネジメントセキュリティの下流に位置し、サーバ/OS/ミドルウェア/ソフトウェア/Webアプリケーションなど物理的なセキュリティ対策を体系的に示すための対策です。
パスワードなどの設定をデフォルトのままにしない
ネットワーク機器などが出荷状態で設定しているID(Adminなど)を使用している場合、非常に危険な状態だと言えます。その他システムに関してもデフォルトでのID設定は必ず変更し、また定期的なパスワード変更などをルール化していきましょう。
ファイル改ざんを検知する仕組み
サイバー攻撃とはつまるところファイルの改ざんですので、ファイル改ざんを検知する仕組みがあると効果的に不正通信などを検出できます。
セキュリティパッチを適用し脆弱性を保護
セキュリティパッチが配信される都度、適用することは脆弱性を保護するための基本的なセキュリティ対策です。しかしその他業務でなかなか手が回らないことも多いので、別視点からの対策も考慮していきましょう。
ログ情報の確認
ログ情報は自社Webサイト/Webサービスに向けたサイバー攻撃の傾向や、不正通信の有無を確認する上で重要な情報源です。定期的な確認と、情報漏洩が起こった際の被害規模特定を迅速に行うためルールを明確にしておきましょう。
SSL通信など暗号化による情報の保護
SSL通信などの暗号化は、通信過程での盗聴を防ぐために効果的な対策です。また、SEOなどマーケティング的にも重要なケースが増加しています。
基本的なセキュリティ製品の導入
IPS/IDS(不正通信防御/検知システム)で内部ネットワークを監視したり、ネットワーク間にファイアウォールを設置するのは基本的なセキュリティ対策であり、重要度の高いので必ず行いましょう。
ストアドプロージャで処理を固定化
データベースに対する一連の処理を、一つのプログラムとしてまとめたストアドプロージャは、処理を固定化することで不正通信による情報漏洩を効果的に防御します。
サーバ/サーバルームへのアクセス管理
サーバや各種システムへアクセスする際や、サーバルームへ入室する際の身元各員とアクセス検査を強化し、内部不正を含め物理的なセキュリティ対策を強化しましょう。
まとめ
いかがでしょうか?今回はマネジメントセキュリティとシステムセキュリティ、2つの観点からWebサイト/Webサービスにおける情報漏洩対策について紹介しました。各項目と自社Webサイト/Webサービスの現状を照らし合わせ、しっかりと対策が取れているかを見直していただければと思います。
構築が完了した環境の保守運用に当たっては、ファイル改ざんを検知する仕掛けや脆弱性を管理するツールを使用することで、システム全体を俯瞰して管理することが可能になります。
トリップワイヤ・ジャパンでは、経済産業省の情報処理推進機構 (IPA) において、改ざん検知のソフトウェアとしてTripwire Enterpriseの採用が推奨されるなど、日本国内で1,000 社近くの導入実績を誇っています。
