« セキュリティ投資を考える(3) 等セキュア曲線 | Main | TORONTO »

2005.07.06

セキュリティ投資を考える(4) セキュリティ対策の定石

 こんにちは、丸山満彦です。さて実務的な話に戻します。セキュリティ対策として何をしなければならないのか?「リスクアセスメントをしてリスクに応じて対策を考えるべきでしょう」なんて教科書的ですよね・・・

 
 リスクアセスメントをするまでもなく実施すべき対策というのはあります。いわゆるセキュリティ対策の定石というものです。運用面における技術的な対策(機密性、完全性に関する事項)にしぼって話をすると

①本人の真正性の確認
②認証
③業務上の必要性に応じたアクセス権の付与
④ログの検査
⑤権限付与の最小限化
⑥脆弱性の管理

ですね。考え方としての定石ですね。①~③はアクセス管理ですね。④を含める場合もあります。

 どこかで、見た事がある?。経済産業省の個人情報保護法のガイドラインの安全管理措置の部分ですね。経済産業省のガイドラインは小さな事業者が利用することも考えて最低限しなければならない項目を定めたものなので、実施しなければならない対策に書かれていることは、どんな小さな事業者でも実施できる項目だと思っています(なんらかの形で・・・)。

 どのような手段で実現するか、どの程度厳格に運用するか、どの程度の頻度で実施するのか、どこまで投資をして行うのか?というのは、リスクアセスメント次第かもしれませんが、最低限しなければならないことだと思いますね。

 この考え方、ルータの設定でも、ファイアウォールの設定でも、データベースの設定でもOSの設定でも全部考え方は同じです。いったんすべてのサービスを止めて必要なサービスのみを立ち上げる・・・というのが本来の姿でしょう。ただし、実際は、システムがどのような振る舞いをするのかが分からないため、全てのサービスを停止してから必要なサービスを立ち上げるというやり方はサービスの継続性の観点から怖くてできないということでしょう。


 手段の部分にも定石というものはありますね。例えば、rootを封印(長いパスワードをつけて金庫にパスワードを書いた紙を保管)してrootにはSUコマンドでなるとか・・・。Shadowパスワードファイルを使うとか・・・。

 このような定石は各種解説書に書かれていることが多いし、ウェブでも検索すればでてきますね。
 ただ、定石を高めに設定しすぎると過剰なセキュリティ対策になります。定石はあくまでも最低限ラインとして考えるべきものです。「およそどのようなシステムでも、これはしておかないと・・・」というものです。

 セキュリティ対策の定石集とかどこかにデータベースないかなぁ・・・


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。  

|

« セキュリティ投資を考える(3) 等セキュア曲線 | Main | TORONTO »

Comments

ちゃちゃを入れるわけではないのですが、
①~⑥以外に、「インシデントレスポンス」って入りませんか?
金融庁GL(安全管理措置)にはそれらしきものが安全管理措置にありますよね。(4-4-2かな)
インシデントレスポンスで目指す「被害の最小化」は、カカクコムの放置プレイによるメルアド流出の通り、機密性に関係するし。。。

Posted by: (-M-) | 2005.07.07 at 03:47

(-M-)さん、コメントありがとうございます。

インシデントレスポンス含まれます。

 インシデントレスポンスといっても、機能復旧の面から考えるインシデントレスポンスと、レピュテーション・ブランドマネジメントの観点から考えるインシデントレスポンスの2つがありますね。

 インシデントレスポンスといえば、これはするやろ・・・という定石の対策を整理しておかねば・・・

Posted by: 丸山満彦 | 2005.07.07 at 13:04

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/4811455

Listed below are links to weblogs that reference セキュリティ投資を考える(4) セキュリティ対策の定石:

« セキュリティ投資を考える(3) 等セキュア曲線 | Main | TORONTO »