「セキュアな運用」を考える

第2回 「セキュリティマネジメント」を考える

概要

ここ近年、サイバー攻撃の巧妙化やセキュリティインシデントの複雑化が進み、その発生を完全に防ぐことはほぼ不可能となってきたと言われています。 企業や組織も従来とは「セキュリティ」の考え方を根本から改めることが求められており、「インシデントは起こるもの」という事故前提での業務設計が必要になってくると考えられます。 本コラムでは、今後求められる「セキュアな運用」について、現場の視点を中心に考察していきたいと考えています。

前回は「セキュアな運用」とは何か、セキュリティインシデント発生の要件にはどんなものがあるか、について考察してきました。
今回は、引き続きセキュリティインシデントを抑制する上で必要な「セキュリティマネジメント」について考えていきたいと思います。

目次
セキュリティマネジメントの3要素
「把握」「判断」「制御
リソース保有三原則
リソース利用における3つの制約
まとめ

セキュリティマネジメントの3要素
「把握」「判断」「制御」

「セキュリティマネジメント」とは
前回説明した3つのセキュリティインシデント要件について、全ての可能性を把握し対応することは事実上不可能です。 何らかの方法で優先順位を付けて、その優先順位に従って把握し対応することが必要になります。 ここでは、「セキュリティマネジメント」とは、「セキュリティインシデントの要因(セキュリティインシデント要件を満たすような事象)やその発生に対して、適切にマネジメントを行うこと」とします。
「マネジメント」というと、日本の職場では「統制すること」や「人事評価すること」という側面が強く、そのようなマネジメントを得意とするマネージャが多い印象が個人的にありますが、本来のマネジメントは「ものごとを把握して、判断して、(自力、他力で)それらを制御すること」であり、今後の「マネージャ」という職種はこれら「把握、判断、制御」を実践する専門職としての能力が求められていくと筆者は考えています。
 
この観点から「セキュリティマネジメント」を考察した場合、その実体は「セキュリティインシデントの要因 (もしセキュリティインシデントが発生した場合はその状況)を適切に把握し、判断し、制御していくこと」となります。
 
セキュリティマネジメントの要素1: 把握
セキュリティマネジメント最初の要素である「把握」については、リソースを適切に管理し、脅威や脆弱性の情報収集を行うなど、日々の業務において実現していく必要があります。
「把握」は、他の2つの要素である「判断」「制御」の大前提となるため、極めて重要となります。 把握できていないものを判断し制御することは重大な過ちを生み、大きな事故を招きかねません。 必ず定期的な業務の棚卸し(自己監査)を行い、管理漏れリソースが無いことの確認、不要になったリソースの廃棄、把握体制の改善などを行い、可能であれば専門家による第三者監査を併用することが望ましいでしょう。
 
セキュリティマネジメントの要素2: 判断
セキュリティマネジメント2つ目の要素である「判断」については、「把握」によって蓄積したデータに基づいた客観的なリスク評価の実施、経営判断を伴うリスク戦略の選択を定期的もしくは日常的に行うことで実現していく必要があります。
「セキュリティ攻撃の商業化や分業化」が進む昨今の状況から、全てのリソース、脅威、脆弱性について自分達で判断することは現実的ではなくなっていくでしょう。 今後は、リスクマネジメントの技法を活用した「リスクの客観化」を行い、「自力」で行うことが見合わない部分についてはマネージドサービスなどの「他力」を活用する視点を持つことが重要となっていくと考えられます。
 
セキュリティマネジメントの要素3: 制御
セキュリティマネジメント3つ目の要素である「制御」については、「把握」と「判断」の結果に従い、運用設計や運用基盤の実装により実現していくことになるでしょう。
 

リソース保有三原則

ここまで「セキュリティマネジメント」について考えてきましたが、いくらきちんと「セキュリティマネジメント」を実践しても、前回述べたセキュリティインシデント発生3要件のうち「脅威」や「脆弱性」の2要件について完全に把握して適切なコントロール下に置くことは容易ではありません。
 
しかし、セキュリティインシデント発生3要件の3つ目である「リソース」については、それらを保持している状態は自分達の経営判断の結果生じているものであり、他の2要件に比べれば制御は容易なはずです。 もし仮に、何の判断基準も持たずに漫然と個人情報や他者に影響する機密情報などの「リソース」を保持しているのであれば、将来的にセキュリティインシデントを惹起するリスクを抱え込んでいる可能性があります。
 
現状保持しているリソースを整理する場合や、新規にリソースを獲得する場合に、まずそのリソースの全容を適切に把握し、例えば以下のような原則と照らしあわせて取捨選択していくことで、必要なリソースを適切な形で制御することが可能になっていくでしょう。
 
第一原則: リソースを持たない
セキュリティインシデント発生の要件1で説明したように、リソースを持っていなければそのリソースに関する「脅威」や「脆弱性」は存在せず事故は起きません。 セキュリティインシデントの発生を抑制するためには、常にこの観点を意識することが重要でしょう。
逆に、リソースを持つことは何らかのリスクを伴うものであり、そのリスクをコントロールするためには相応のコストが発生することを認識しておく必要があります。
 
この第一原則では、リソースを保有しないため、そのコントロールコストをゼロであると考えられます。
また、リソースにはライフサイクルが存在します。 その組織にとって利用価値が低下したリソースを適切なタイミングで破棄することにより、セキュリティインシデントの発生可能性を大きく下げることが可能になることを常に意識しておくべきでしょう。
 
第二原則: リソースを置かない
リソースを持たないことでセキュリティインシデントの発生可能性を抑制できると言われても、全く持たないというのは経済活動をする上で現実的ではありません。 第一原則に照らし合わせた上で「ある程度のリスクを許容した上で、保有することが必要」と判断された場合は、次のステップとしてリソースを脅威から隔離することを考えます。
一番安全なのは人の手が届くところにリソースを置かない、つまり誰にも手が出せないところに保存することでしょう。 保有する必要はあるものの当面利用する機会が無い場合などは、アクセスを完全に遮断することでセキュリティインシデントの発生可能性を大きく下げることが可能になることを意識しておきましょう。
 
この第二原則では、リソースの「保有」に伴うリスクと、そのコントロールコストをどのように最小限に抑えるかを常に考える必要があります。
 
第三原則: リソースに触らせない
保有するリソースを誰も手を出せない場所に置くことで脅威から守ることができると言われても、そのような状態ではリソースを活用することができません。 第二原則に照らし合わせた上で「ある程度のリスクとコストを許容した上で、活用することが必要」と判断された場合は、次のステップとしてリソースを一定の制約下で利用できるようにすることを考えます。
原則はあくまでも「リソースに触らせない」こととし、一定の制約下でのみリソースへのアクセスを認める、というスタンスで考えることが、セキュリティインシデントを抑制する上で重要となります。
 
この第三原則では、リソースの「利用」に伴うリスクと、そのコントロールコストをどのように最小限に抑えるかを常に考える必要があります。
 

リソース利用における3つの制約

前述の第三原則に従ってリソースを利用する際に必要な「一定の制約」については、「利用者の制約」、「利用対象の制約」、「利用条件の制約」の3種類の制約を設計する必要があります。
 
「利用者の制約」では、利用者の身元を確認し、物理的なアクセス元を極力限定することが望ましいでしょう。
 
「利用対象の制約」では、利用者の属性に従ってアクセス先や権限を限定します。
 
利用者と利用対象の制約だけでは実現できないきめ細かい対応は、「利用条件の制約」により実現することになります。 例えば、アクセスできる手段の制限(データベースへの直接的なアクセスを認めず、Webアプリケーションからアクセスさせるなど)、アクセスできる時間的な制限(時間帯や1日あたりの総利用時間など)、アクセスできる量的な制限(1回あたりの検索件数や転送データ量など)が「利用条件の制約」としてよく使われるものでしょう。
 
リソース利用における3つの制約の例
企業の公式サイトについてこれらの制約を考えた場合、そのコンテンツに対する「利用者の制約」については、例えば「インターネットに接続している全ての人」になります。
「利用対象の制約」については、「公開コンテンツとしてアクセスが許可されているデータ」となります。 この場合、「問い合わせフォームから入力されたデータ」は利用対象には含まるべきではありません。
「利用条件の制約」については、「公式サイト内部で処理を完結すること」や「データベースのうち特定のデータを閲覧、更新できること」かもしれません。 仮にそのサイトでXSSやSQLインジェクションが可能になっていると、この制約を満たしていないことになります。
 
「制約」設計の重要性
これら3つの「制約」を緩くするか強くするかは、そのリソースの利用目的とリスク許容度に大きく依存します。 しかしその制約設計を誤ると、そこに「脆弱性」が発生することは常に意識しておく必要があります。
上記の「リソース保有三原則」や「リソース利用における3つの制約」はあくまでも一つの例に過ぎませんが、利害関係者全体でリソース保有の判断基準を持つことが、セキュリティインシデントの発生を抑止する上で重要なポイントとなるでしょう。
 

まとめ

まとめ
今回のコラムでは、「セキュリティマネジメント」とはどういうものか、「セキュリティマネジメント」を実践する上で必要な要素はどういったものかというお話をさせていただきました。 また、今後は「リソースを持つこと」よりも「リソースを持たない」判断が重要になってくるというお話もさせていただきました。 やや理想論に近い内容ですが、現場でセキュリティインシデントと関わっているみなさんのご意見を伺えれば幸いです。
 
次回は、セキュアな運用を実現するために必要な「運用設計」の考え方について考察していきたいと思います。

連載一覧

コメント

筆者紹介

筆者紹介
波田野 裕一 (はたの ひろかず)
運用設計ラボ合同会社
シニアアーキテクト

キャリア、ISP、ASPにてネットワーク運用管理およびサーバ、ミドルウェア、障害監視センタの構築や運用に従事。
システム運用の苦労がなぜ軽減されていかないのか?という疑問をきっかけに2009年より運用業務に関する研究活動を開始し、エンジニア向けイベントでの講演や各種媒体での執筆の他、情報関連の学会や研究会などにおける論文発表なども行っている。

バックナンバー