なんとなく綴ってみた

アクセスカウンタ

zoom RSS 組織のセキュリティはどうすれば高まるのか?

<<   作成日時 : 2016/06/28 10:11   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

JTBの漏洩問題の後に、佐賀の教育システムによる情報漏洩が起きたことで、再びセキュリティが取り沙汰される。IoTやICTという言葉が世間ではこれからの成長に必要と踊るが、現状で日本はそれを語れるほど、セキュリティが充実していないのが現実である。

事態が起きていないから、大丈夫ではなく、事態が起きることを想定して置くことが常日頃から大事である。


ここでは、どうすればセキュリティを高めることが出来るかを考える。一般に出来ることから、エンタープライズでしか出来ないこともあるが、ここで書くことは、一人一人の意識である程度守れることである。

1.パスワードやIDを書き起こさない。書き起こす場合は、別のパスワードで保護し、セキュアなネットワーク上に保管する。パスワードを設定している個人にもそれを徹底する。

まず、これは絶対的なルールである。よく、パスワードを忘れるからと、書き出して張り出す人もいるが、パスワードはその人にしか分からないからこそパスワードとして機能するのだ。その人が、管理者だったら尚のことで、パスワードは張り出してはいけない。況してや管理者が、パスワードの入った資料を、誰でも見える場所に置いたり、人に配ったりしたら、それは管理責任を問われる。

どうしても、パスワード管理が必要なら、ファイルシステムをBitLocker等で丸ごとロックし、インターネットとは隔絶された環境を一つ作り、管理者だけの端末として保管しておくことをお薦めする。もちろん、その端末は、管理者や管理者を補佐する人以外のものがアクセス出来ないようにパスワードを設定しておくのが妥当だ。(通常は、こういう管理端末は休暇などが重ならない二人か三人がパスを知っておけば良い。)ちなみに、こういう端末は、減価償却済みの旧機種でも良い。ただし、持ち去られないような設置の仕方と、セキュリティソフトの更新(インターネットには繋がず、手作業でDATを入手してアップデートすること)は心がけておく必要がある。


2.メールは迷惑メール対策機能付きのウィルス対策ソフトでスキャンし、自動分類させる。また、仕分け、フィルタリングの設定を行う。
http://powerpro.at.webry.info/201606/article_26.html


3.無線LANにWEP暗号鍵やWPA-TKIPは絶対に使わない。利用する場合は、MACアドレスをアクセスポイント側で縛る。
http://powerpro.at.webry.info/201507/article_2.html

無線は使い勝手が良いが、法定出力の範囲で電波は同心円状に広がる。即ち、有線のように家の中のケーブルが届く範囲で済むようなものではない。家の外や建物の外、事務所の下の階に届いてしまうこともある。もし、その電波を傍受され、暗号鍵が漏れれば、内側から攻撃を仕掛けられ情報が漏洩する恐れもある。

そのため、その施設内などでサーバーが設置されているなら、RADIUS認証サーバーを構築し、WPA2-EAPに対応した無線LANアクセスポイント(業務用アクセスポイント)を設置し、認証を機器毎に払い出すようにすることが妥当である。

もし出来ないら、無線LANの名前であるSSIDを隠蔽すると共に、WPA2-PSK(AES)にて暗号化すること。さらに、それぞれの無線LAN親機に利用するコンピュータ、スマートフォン、タブレット機器のMACアドレスを登録することをお勧めする。学校などの場合は、WPA2-EAPを使うのが最善である。

正直、そろそろ家庭用の無線でもWPA2-EAPが普及しても良いと思うのだが・・・。


4.スクリーンセーバー(パスワード付き)やロックスクリーンパスワードの設定をする。
個人情報が多い企業では普通に1分〜10分でパスワード付きスクリーンセーバーの設定を義務付けていたりするが、今ではディスプレイの焼き付きも液晶になりなくなったことで、離席中もデスクトップが表示されたままの端末が見られることがある。これが自宅なら別にどちらでも良いが、職場などでは、これはやってはいけない対応の上位に入る。通常は、1〜2分遅くても10分以内にパスワード付きのスクリーンセーバーが掛かるように設定しておくのがベストである。

5.IPアドレスの自動払い出し(DHCP)は使わない。まあ、ダミーでそれを使うところもあるが、基本的に決まった端末しか使わない構内ネットワークでは、管理者による手動割り当てを使うのがベストである。その理由は、自動払い出しを有効にしていると、誰でも繋がるネットワークに何もしなくとも参加できるからだ。
自宅で使うには確かにそれで良いが、仕事で使うネットワークの場合は、絶対にDHCPを使ってはいけない。場合によっては、資産の監視やセキュリティ上の監視と特定(不正なコンピュータの判別)に影響を与えるので気をつけて欲しい。


6.セキュリティソフトのログは定期的に確認する。
見ても結果は、0件だし・・・という人は多いが、本当にそうかは分からない。まあ、会社のセキュリティソフトの場合は、管理者側のコンソールやサーバーで詳細を見ることが多いため、結果はほとんど見ることが出来ないが、過程などで使うセキュリティソフトなら、以下の画像のように、スキャン内容毎に違う結果が出ていることがある。これらは、警告を発するわけではない。勝手に危険だから消してくれるわけでもなく、潜在的なリスクだけを示してくれることもある。こういう部分を未然に知っておくこと、定期的にログで状況を把握することは、自宅でも職場でも努めて起きたい部分である。

画像



7.職場では、勝手にソフトを入れない。家庭では使わないソフトウェア(アプリ)は削除する。
これは、一般的な企業では勝手にソフトをインストールすることは出来ない場合が多いため、無関係な場合も多いが。環境によって社用のPCにフリーソフトを入れて使い勝手を良くしてという人もいる。それは、管理者の許可なく行ってはいけない。それが、ライセンスの問題や脆弱性に繋がることがあるからだ。

特にライセンスフリーは商用ではお金が掛かるものもある。また、個人では影響ない程度の位置や利用情報を貰って生計を立てる危険なソフトもあるため、絶対に管理者の許可なくインストールは避けて欲しい。最初から購入したソフトの場合でも、職場の管理下にある場合、ライセンスは個人ではなく会社の所有物に対して会社に付与しなければいけないケースがあり、さらに保守が終わってしまったりすればそれが脆弱性に繋がる。
気をつけて欲しい。

尚、家庭で使わないのに便利そうなソフトを入れるのは、脆弱性を増やす行動に繋がる。基本的に、使わなくなったら、削除することが大事である。


8.スマートフォン連携には気をつけろ。
今一番怖いのは、スマートフォンと連携するクラウドサービスである。会社などであれば、スマホを会社から支給し、アップデートまで面倒見れば良いが、組織によってはそこまでせず、自己管理でありながら、スマホ連携で自分のスマホからクラウドのデータを見られますということは多い。
実はこれが、穴になる可能性は年々高まっている。

簡単に言えば、保守が完了した(セキュリティフィックスの提供が終わった)OSは、ウィルスに感染しやすい。例え、通信やプログラムの設計上暗号化が優秀なアプリでも、見る端末がキー操作傍受やスナップショットなどの機能を備えたウィルスに感染していれば、そこから情報が漏れ出す可能性がある。

IoTで社会が豊かになるとか言うが・・・使いやすさだけで、考えると後で墓穴を掘ることになる。
もし、それが業務上必要なら、仕事用の端末を用意するか、または個人端末なら1ライセンス分のセキュリティソフトをセットで供給し、導入されていることを確認して動くアプリの開発をした方がよい。


9.守らなければならない情報を置く場所を皆が理解すること。これはとても大事なことだが、例えば顧客情報は絶対に漏れてはいけない。というのは、誰もが職場で学ぶだろう。しかし、じゃあどこに置くと危険かというと、多くの人は理解出来ない。
画像


例えばこれが、紙の資料なら受付の出入り口の誰もが通るような場所に置いていたら、危険であると、分かるだろう。しかし、システムならどうだろうか?上の図にあるように、暗号化しなければいけないデータが、例えば、参照データのフォルダに置かれたら・・・漏れ出すリスクは高くなる。

しかし、その場所が高いリスクがあると教わっていなければ、きっとここに置いても、簡単なパスワードがあるし大丈夫さと思う人もいるかもしれない。

昨日の資料を流用すると、本当なら以下のように分かれている場所の、参照DBに大事なデータを置けば、当然誰でも参照できるようになるのだ。その階層の違いは皆が理解しなければいけない。

画像



10.教育する大切さ・・・攻撃する側は、自分で勉強してどんどん新しい攻撃をしてくるだろう。システムを使うだけの利用者は、安全だと思って使うものだ。即ち、新しい攻撃が増えていく中で、攻撃者の力は増加し、使う側は安全だと思って使う。そこに人による運用の誤りという脆弱性が生まれる。まあ、人の場合は隙というが、ここをなるべく減らすには、定期的に全体に対して、一定の教育を施すしかない。

また、新しいシステムに変わるから安全安心ではなく、実は新しいシステムほどセキュリティエリアの変更などを確実に皆に理解して貰わないと、結果的に墓穴を掘ることを、知って貰う必要がある。今やそこに力を注げる人材が、足りないため、内側から侵食される攻撃が後を絶たないのである。


まあ、どんなに優れたセキュリティ製品を入れようが、どんなに優秀なOSを使おうがそれに脆弱性はつきものである。これまでは、そこを狙うというのが、一つの手段として定着してきた。しかし、今攻撃者が見つけたのは、それよりも個性があり、多様性が豊富な人の行動をピンポイントで狙う手段である。

たった一人が犯した間違いや、安全性の意識の違い。場合によってはコンピュータが苦手という意識を活用して、その人が犯したミスから、内側を攻撃するというのが、今のやり方である。これが当たり前になった今、本当にすべきは、セキュリティの専門家を育てる云々よりも、まずは研修と運用において機密データを、暗号化ブロック外に置いていないかどうか総点検することが、求められている。




テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
組織のセキュリティはどうすれば高まるのか? なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる