セキュリティ対策における基本的な考え方（２/２）

前回に続き、本記事では、セキュリティ対策実施における基本的な考え方について見ていきたいと思います。

●最小権限の原則を徹底する

自組織の情報資産にアクセスする人やプロセス、プログラム等に対して、常に必要最小限の権限のみを付与するように徹底します。これを「最小権限の原則」といいます。権限は通常、対象となるシステムを利用する際に使用するユーザID等のアカウントに対して付与されます。

原則に沿わない場合、例えば、ある組織では本来必要がないのにもかかわらず、一般ユーザのアカウントにシステム管理者の権限（特権）を付与していたとします。この場合、サイバー攻撃によって一般ユーザのPCにマルウェアが感染し、アカウントを不正利用したとすれば、攻撃者はシステム管理者として全ての機能が使えるため、より甚大な被害を及ぼすことができてしまいます。また、サイバー攻撃が発生しなくとも、正規のユーザがPCで常時動作しているセキュリティ対策ツールを勝手に停止させたり、無効化したりする可能性もあります。

このように、必要以上の権限を付与することはセキュリティリスクを高めることになりますので、そうならないためには最小権限の原則を徹底していただくことが必要です。 特にシステムの特権アカウントの発行及び管理については細心の注意を払い、付与する権限の有効期間も必要最小限とするように徹底する必要があります。

●責務の分離の原則を徹底する

同一の者に関連する複数の業務を行う権限を与えると、他者のチェック等が入ることなく単独で一連の業務を行うことができるため、当人の確認不足によるミスが発生したり、権限を悪用した不正行為等を発生させたりする原因となります。そうした問題の発生を防ぐためには、一つの業務フローに複数の担当者が関わるよう分離するのが有効であり、これを「責務の分離（職務分離）の原則」といいます。単に分離するだけでなく、各業務の実施状況について、別の担当者や第三者に監視・監査させる等して牽制機能を働かせるとより効果が高まります。

●重要な情報を取り扱うシステムとインターネット接続環境を分離する

企業において、ウェブ、電子メールを中心としたインターネット接続は業務において必須となっていることでしょう。その一方で、そうしたインターネット接続がマルウェア感染の大きな原因となっています。企業の基幹業務システムや個人情報、機密情報を取り扱うシステムとインターネット接続環境が接続されていると、マルウェアによって当該システムにまで被害が及び、情報が流出したり、暗号化されたりする可能性があります（例：従業員のウェブ・電子メール利用により端末がマルウェア感染し、重要システムにまで被害が拡大）。 そうしたリスクを低減するには、重要な情報を取り扱うシステムとインターネット接続環境を分離するのが有効です。物理的に分離するのが望ましいのですが、それが難しい場合には、VLAN（Virtual Local Area Network）やVDI（Virtual Desktop Infrastructure）等の技術を活用して論理的に分離します。

●フェールセーフを考慮してシステムを設計・構築する

フェールセーフとは、システムに何らかの障害が発生した場合に安全な方向に向かうように設計・構築しておくことで、被害を最小限にする方法です。
例えば、ファイアウォールに障害が発生した場合に全ての通信が通過できてしまうと大変危険であるため、全ての通信をできないように設計することがフェールセーフとなります。

●システムの構成や機能を単純にする

ネットワーク構成、サーバの構成や機能などが単純であるほどセキュリティを確保しやすくなります。例えば、1台のサーバにウェブ、メール、ドメインコントローラ等の複数の役割を兼ねさせると、設定が複雑になり、障害発生時の原因究明が困難になったり、特定のソフトウェアの障害が他のソフトウェアにも影響を及ぼしたりするなどの問題が発生する可能性が高まります。そのため、システムの構成はできる限り単純にし、1台のサーバには一つの機能だけを実装するようにします。

●システムや設備の重要な機能を分散化する

システムや設備の重要な機能を1箇所に集中させてしまうと、そこがダウンするとシステム全体が停止状態となってしまうおそれがあります。そうした事態を防ぐためには、システムの重要な機能は適切に分散化させる必要があります。

近年ランサムウェアによって本番データとバックアップデータが全て侵害され、業務復旧に多大な時間を要するインシデントが発生しています。そうしたことから、事業継続において重要な機器やシステムを複数台構成にして冗長化するとともに、バックアップデータを同一ネットワーク上のバックアップサーバ等には保存せず、本番システムからアクセスできないオフサイトや、オフライン媒体に分散して保存するのが有効な対策となります。

●二重・三重の対策を施す（多層防御）

単一の対策ではなく、二重・三重の対策を施すことにより、セキュリティは格段に高まります。例えば、まず公開ウェブサーバのOS、ミドルウェア、アプリケーション等の脆弱性に対処し、堅牢な状態を確保・維持します。その上でファイアウォール、IPS（Intrusion Prevention System）、Webアプリケーションファイアウォール（WAF）を実装し、公開ウェブサーバへの不正アクセスを遮断するのは有効な対策です。また、決済処理を行うシステム等において、まず端末レベルの認証を経た後にユーザの本人認証を行い、最終的な決済処理の直前に再度本人認証を行うのも、二重・三重の対策によってセキュリティを高めている例です。

なお、経済産業省が発行するサイバーセキュリティ経営ガイドラインでは、「サイバーセキュリティ経営の重要10項目」の「指示5：サイバーセキュリティリスクに効果的に対応する仕組みの構築」として、次のような対策例が挙げられています。

＜サイバーセキュリティリスクに効果的に対応する仕組みの構築における対策例＞

①重要業務を行う端末、ネットワーク、システム又はサービス（クラウドサービスを含む）には、多層防御を実施する。
　・必要に応じてスイッチやファイアウォールなどでネットワークセグメントを分離し、別のポリシーで運用する。
　・脆弱性診断等の検査を実施して、システム等の脆弱性の検出、及び対処を行う。
　・営業秘密や機微性の高い技術情報、個人情報などの重要な情報については暗号化やバックアップなど、情報を保護する仕組みや、改ざん検知の仕組みを導入する。
　・ゼロトラストモデルに基づく対策を講じる際には、境界防御の効果が期待できないことを踏まえた認証等の強化を図るとともに、インシデントの予兆の段階で即時の検知と対処ができるような仕組みや体制を整備する。
　・クラウドサービスを利用する際には、クラウドサービスにおいて提供されるセキュリティ機能を考慮した選定を行い、それらの機能を活用するとともに、アクセス制限などの設定やアカウントの管理などが適切に維持・管理されるようにする。

②自社内で対策実施に必要なスキルを有する人材を確保できない場合は、専門の情報セキュリティサービス等を提供する外部事業者を活用する。
　・一定の品質を備えたサービスの選定には、IPA が公表している「情報セキュリティサービス基準適合サービスリスト」を利用することができる。
　・サービスを外部委託する場合でも、脆弱性診断や監視サービス等の提供事業者からの報告内容を適切に理解し、対策に反映するスキルを備えた人材が必要となることを認識し、必要な人材の確保・育成に取り組む必要がある。

③サイバーセキュリティリスクによりシステムが停止した場合に、業務を止めないための計画（BCP）を策定し、バックアップの取得や代替手段の整備等を行う。

④従業員に対する教育を定期的に行い、適切な対応が行えるよう日頃から備える。

●利用者等を一意に識別し、事象の追跡・検証を可能とする

組織内やシステムで発生する様々な事象について、それを発生させた主体（利用者、端末、プロセス、プログラム等）を一意に識別・特定し、追跡・検証できるようにします。そのためには、ユーザアカウント等の識別情報を複数人で共用せず、ユーザごとに固有とする必要があります。また、発生した事象をログ等に確実に記録するとともに、ログの改ざん、滅失等が発生しないよう対策を施す必要があります。


ここまで2回にわたり、セキュリティ対策実施における基本的な考え方について解説してきました。これらはいずれもセキュリティ対策のセオリーとも言えるものであるため、認識しておいていただきたいと思います。