【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第2回脆弱性検査［後編］

（2005年06月13日）

　本連載では、セキュアなシステム／ネットワークを構築するうえで必要不可欠な各種セキュリティ対策について解説する。前回は、システム／ネットワークのセキュリティ・ホールを調査する「脆弱性検査」を取り上げ、具体的な検査の種類／項目／方法などについて説明した。今回は、その後編として、脆弱性検査を実施する際の留意点と同検査の最新動向を紹介する。

小川孝
ネットワンシステムズ

脆弱性検査前のポイント

　脆弱性検査の実施によって、システム／ネットワークにおける脆弱性の有無を調べることができるが、それと併せて、既存のセキュリティ対策が有効かどうかも明らかにできる。つまり、適切なセキュリティ対策を講じ、その効果を評価するためにも、脆弱性検査は必要不可欠な取り組みだと言うことができるのである。

　前回は、脆弱性検査と情報セキュリティ監査制度の関連性、脆弱性検査のタイプ／検査項目／方法について解説した。今回は、これらを踏まえたうえで、脆弱性検査の実施にあたって押さえておくべきポイントと、同検査の最新動向を紹介する。

　なお、2003年の4月から経済産業省が実施している情報セキュリティ監査制度では、監査を実施する際の検討事項、外部委託を行う際の注意事項、監査の仕様例などが定められている。そして、脆弱性検査は、同制度の基準である「情報セキュリティ監査基準」の構成要素の1つでもある。したがって、脆弱性検査を実施する際の参考のためにも、同制度に一度は目を通しておくことをお勧めする。

　以下では、脆弱性検査の実施前、実施時、実施後の3つの段階に分けて、脆弱性検査のポイントを説明する。まず、脆弱性検査を実施する前にやるべきことはプランニングである。システムやネットワークにおける脆弱性はウイルスと同様なくなることがない。したがって、セキュアなシステム／ネットワークを維持するには、脆弱性への対策を継続的に行う必要がある。それに伴い、脆弱性検査もできるかぎり短い周期で、かつ定期的に行うのが理想である。

　そこで、脆弱性検査を検討する際は、中長期にわたって継続的に実施するという前提の下、項目別に検査を計画していく。その際にポイントとなるのが検査の分類、実施体制、検査を依頼する業者の選び方である。以下、これらについて見ていこう。

検査の分類

　検査は簡易的なものと本格的なものに分けるとよい。簡易的な検査は、ツールを用いて短い周期で繰り返し実施する。この検査では、ホストやネットワークに過大な負荷を与える検査項目を除外したほうがよい。一方、本格的な検査はある一定期間を置いて集中的かつ定期的に検査ツールと手作業によって行う。簡易的な検査と本格的な検査の運用例を表1に示した。ただし、これらはあくまでも一例にすぎない。実際には、セキュリティ・ポリシー、検査作業にかかる負荷、検査対象となるホストの持つ情報価値などを基に検査項目、頻度、検査対象を見直す必要がある。

　検査には、ひととおりの検査項目を備えるオールインワン型のツールを利用するとよい。このようなツールは通常、バージョンアップすることで新しく発見された脆弱性を対象に加えて、検査を行えるようになっている。また、検査ツールの中にはスケジュール機能を備えているものが多いので、この機能を有効にして、定期的な検査を自動的に行うと作業が軽減できる。

　なお、検査によっては、実行する時間帯を考慮する必要がある。例えば、実際に攻撃や妨害行為を試す検査では、対象のネットワークや機器に障害が発生する可能性があるため、業務への影響が少ない時間帯や休日に行うようにするべきである。

　ただし、通常の検査でも回線速度や機器の動作状態により、まれに障害が発生する。したがって、発生が予測される障害への対応手順を確認し、検査作業中の各管理者への連絡手段を確保しておくことが、最低限の準備として必要になる。そのほか、検査によって発生する大量のログの格納場所を確保し、外部から検査を行う場合にはISPへ事前に連絡しておくことも忘れないようにしたい。

表1：簡易的な検査と本格的な検査の運用例