【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第1回脆弱性検査［前編］

（2005年05月23日）

　企業コンピューティングにおけるセキュリティ対策の重要性は高まる一方である。今、企業に求められているのは、各種インシデント（事故・事件）に見舞われる前に、“Proactive”（先を見越した）な対策を講じることである。インシデントへの対応に要するコスト、そして企業としての「信頼の失墜」は、時に企業経営を揺るがしかねないダメージとなる。実際に被害を受けてからでは遅いのだ。本連載では、セキュアなシステム／ネットワークの構築に不可欠な各種のセキュリティ対策について解説していく。今回は、システムのセキュリティ・ホールを調査する「脆弱性検査」を取り上げる。

小川孝
ネットワンシステムズ

IPセキュリティ対策の有効性を検証する脆弱性検査

　企業における情報セキュリティ対策の重要性は増す一方である。ビジネスにおけるインターネットの利用が当たり前となった今、システムの不備や不適切な利用によって発生したネットワーク・セキュリティのインシデント（事故・事件）は、組織内のみならず社会へも大きな影響を与えるようになった。例えば、最近では、不正アクセスや情報漏洩が社会的な信用問題や法的な責任問題へ発展したり、新種のコンピュータ・ウイルスやワームに対する注意喚起がテレビや新聞のニュースとして取り上げられたりしている。

　情報セキュリティ対策には、インシデントの発生を防ぐために行う事前対策と、インシデントが発生した後に被害を最小限に抑えるために行う事後対策がある。インシデントの発生によって生じるリスクを考えると、事前対策、つまり「プロアクティブ」な対策はもはや必須だと言えよう。すなわち、プロアクティブなセキュリティ対策によって自社システムの弱点を知り、その弱点を解決して、セキュアな情報システムを構築していく必要があるのだ。そこで、本連載では、ネットワーク・セキュリティのインシデントを未然に防ぐプロアクティブな対策を中心に解説を行う。

　さて、技術的なセキュリティ対策は大きく、ファイアウォールのような境界で実施するものと、ネットワーク上の個々のホストや機器上で実施するものに分けられる。この2つは車の両輪のようなもので、両者が連係することで初めて、有効なセキュリティ対策が実現する。しかし、最近は、境界上のセキュリティ対策ではどうにもならないウイルスやワームによる被害が著しいこともあり、ホストのセキュリティ対策や管理の重要性が特に注目を集めている。そのため、ネットワーク上のホストや機器にセキュリティ対策を実施しているところは多くなった。

　しかし、それらの対策が脆弱性に対して本当に有効なのか、そして現時点で自身のシステムにどのような脆弱性が存在するのかを、定期的に確認しているところはまだ少ないようである。いかなる情報セキュリティ対策や管理を行っても、現状を正しく把握することなくしては十分な効果を上げることはできない。

　そこで、まず、システム／ネットワークにおけるセキュリティ上の脆弱性を調べる「脆弱性検査」の解説から始めることにする。前編となる本稿では、脆弱性検査の概要を、後編では、検査を実施するうえでの要点を説明する。なお、脆弱性検査はペネトレーション・テスト（疑似侵入検査）とも呼ばれ、企業の情報セキュリティ管理における技術的対策の一環として実施される（図1）。

　脆弱性検査では、ネットワークを構成するサーバやルータ、ファイアウォールなどの機器を調べて、セキュリティ上の脆弱性を見つけることができる。一般に、脆弱性検査と言うと、クラッカーなどが外部ネットワークから内部に対して行う不正アクセスや侵害行為の可能性を検査するというイメージを持たれるかもしれない。しかし、実際には、内部からの侵害行為や不正アクセスが発生することを想定して検査を行うケースも少なくない。というのも、不正利用や情報漏洩は外部に比べて内部からのほうが起こりやすく、情報漏洩の原因の大半が内部からのものという調査結果も出ているためである。なお、内部ネットワークを対象とした検査では、外部からの検査では見つけにくいOSやアプリケーションの不適切な設定による脆弱性を発見することができる。例えば、内部が原因の情報漏洩を防ぐために施されたアクセス制御の有効性を調べたり、設定内容を直接精査したりすることで、外部からの検査では調査に時間のかかる脆弱性を効率よく発見できる。

図1：情報セキュリティ管理における脆弱性検査の位置づけ