企業にとって情報セキュリティ対策は、リスクマネジメントの観点でも必須なものとなってきています。しかし、対策には費用や時間が必要、かつ「100%大丈夫」という指標が存在しないことも事実であり、「守るべき部分をきちんと守る」効果的な対策が必要です。今回はシステム管理者自らがまず実施すべき対策と、より高度な対策に分けて紹介させて頂きます。
インターネット不正アクセスとは
まずは代表的なものを紹介します。これらの被害にあった場合、ビジネスを進めるに必須である社会的信用を失ってしまうことにつながります。
- ホームページ改ざん
企業の公開ホームページのサーバに侵入し、データを書き換えてしまうことを言います。誤った情報やわいせつな画像等が「不特定多数」の目に触れることで信用失墜等ビジネスに大きな影響を与えることになります。
- ウイルス
一般的には「感染」「潜伏」「発病」の経緯を踏む不正なプログラムをいいます。ウイルスがコンピュータの中に入り込み、正常なファイルに取りつき、潜伏期間を経て発病します。最近では他のプログラムに感染(寄生)する習性を持たず、プログラム自身がユーザの意図しない行動をする「ワーム」「トロイの木馬」等と呼ばれるものもあります。
- 情報漏洩
お客様の個人情報等守るべき情報が、対策の甘さや不正な手段によって外部に漏れてしまうことを言います。
「社内規則に違反し、データを外部に持ち出した」、「セキュリティ未対策のWebサーバを放置し、誰でも情報が閲覧可能となっていた」等、多くは重要なデータをいかに守るかの意識の甘さにより起こります。
- 踏み台(業務妨害)
不正アクセスの多くは「犯人の特定をしにくくする」、「より大きなダメージを与える」ため、対策の甘いサーバを乗っ取ったうえ、間接的に攻撃を仕掛けてきます。「乗っ取られたサーバ」は「踏み台」と呼ばれ、最終的な被害者からは、攻撃者は「踏み台」となったサーバとなり、「加害者」として扱われる可能性があります。
情報セキュリティ対策とは
ではこれらの被害にあわないためにどのように対策を実施していけば良いのでしょうか。まずは「自ら実施しなくてはならない対策」から説明していきます。
■まず自ら実施すべき対策
- ファイアウォール(以下F/W)の設置と適切な設定
F/Wとは内部ネットワークと外部ネットワークの安全な接続を目的に、不正なアクセスを遮断する仕組み
(システム)です。F/Wを有効に活用するには例えば、「ホームページによる情報公開のため、httpは通すがftpやtelnetは不正アクセスの原因となるため通さない」等といった適切な設定を行う必要があります。この他、F/Wにはきめ細かなアクセス制御を行うための機能や暗号化等様々な役割があります。
- システムのV/Lアップやセキュリティパッチ適用
F/Wを導入し、適切な設定をしても、それを通過する(設定上、通過させる)ものについては防げません。例えば不正アクセスの中にはホームページを公開するために必要なhttpを通じて行われるものもあります。ただし、不正アクセスの多くは既知のセキュリティホールをついたものであり、予め対処していれば、そのほとんどが防止可能です。利用者は既知のセキュリティホールに対して、OS/ソフトのメーカやベンダから提供される修正プログラム(パッチ)の適用や、V/Lのアップ等、自らの責任で対応していく必要があります。
- ウイルス対策ソフトの導入と運用
多くのウイルスは、メール、ホームページデータ等インターネット経由で感染します。F/Wの防御と同様に、ウイルスに関してもインターネットの出入り口にウイルス対策ソフトを導入することが効果的な対策となります。他にも会社と自宅でのデータ共有、個人ノートパソコン経由、フロッピィディスク等ウイルスが侵入する可能性がある全ての経路において対策が必要です。ただしウイルス対策ソフトは導入だけではなく、最新のウイルスに対応させるために対策ソフトも常に最新の状態にする必要があります
(目安としてパターンファイル:1回/1週、検索エンジン:1回/1〜3ヶ月)。
- その他(チェックの実施)
その他、いくつかのチェックすべき事項について代表的なものを以下に示します。
- telnet、ftp等の管理/更新の機能(サービス)について、社外からの受付を阻止していますか。
- 外部と通信をしているサーバにて、不要なサービス(機能)を止めていますか。
- 組織内でセキュリティに関する責任者が選任されていますか。
■より高度な対策
セキュリティ対策に「100%大丈夫」ということはありません。前項にて説明した「自ら実施すべき対策」で約80%大丈夫ではないかといわれていますが、100%に近づけるために、より高度な対策を検討する必要があります。
- 24時間365日の監視
不正アクセス被害を受けた企業の中には、「顧客や他企業のクレーム(踏み台)等により初めてその事実を
知った」ことも少なくありません。外部からのアクセスを24時間365日監視し、不正アクセスをタイムリーに検出し早期対策を打つことで、被害を未然、もしくは最小限に抑えることが可能になります。
- システムや組織/運用面の定期的診断
システムのセキュリティホールを診断する場合、自動的に診断するツールの使用により、短時間かつ、効果的に診断結果を得ることが可能となります。また内部からの情報漏洩等、システムの対策だけでは万全とはいえません。組織面や運用面についてもセキュリティ上問題となる部分を洗い出し、対策につなげることが重要です。
- セキュリティポリシー策定と徹底
セキュリティ対策はその指針や責任部門、対象部門等が不明確ではセキュリティの弱い部分から侵入を受け企業全体に被害が及びます。全社的(網羅的)にセキュリティの統一ルール(セキュリティポリシー)を明文化し、組織全体に徹底することが必要です。
富士通のセキュリティソリューション
■情報システムに必要なソリューションを
企業の情報セキュリティ確保には、不正アクセス等特定の対策だけではなく、全社的方針に基づく総合的な対策が必要です。富士通では、独自規準セキュリティポリシーに基づき、企業で必要な情報セキュリティ対策を3つのレイヤ、11のソリューションに体系化し、強固な情報セキュリティを実現しています。また、お客様の情報システムに最適なセキュリティソリューションを、富士通製品はもとより、他社製品も含めた最適なインテグレーションにより提供いたします。
個々のソリューションの紹介は以下のホームページをご覧ください。
http://segroup.fujitsu.com/secure/
おわりに
今回は「自ら実施すべき対策」と「より高度な対策」に分けて紹介いたしました。しかし重要な点は「1回限り」ではなく「継続して実施」することです。その意味では最初から完全を目指すのではなく、「継続的に改善する」という意識が必要となります。リスクマネジメントの一環として、継続的に取り組んで頂けますようお願いします。
今回ご紹介した内容については、セキュリティ対策小冊子(*)やWebからも詳しく紹介しております。
http://segroup.fujitsu.com/secure/topics/index.html
(*)弊社担当営業、もしくはお問合せ先までご連絡ください。
●お問合せ先
富士通株式会社 システムサポート本部
セキュリティサービス統括部
Tel:044−754−3442
E-mail:info@security.support.fujitsu.com
(監修:編集委員 淵上 和子 (学)文化学園)
|