はじめに
ここでは、セキュリティ対策を導入する際にどのようなプロセスを踏めば効果的か記載していきます。セキュリティ製品ベンダのカタログに記載されている謳い文句だけをみて導入すると「全く効果が無かった」、「費用に見合った効果を得られなかった」等、悲しい結果となってしまいます。
このようなことにならないためにも、適切なプロセスを踏んでセキュリティ対策を導入しましょう。セキュリティ製品は経験的に下記のプロセスによって導入することが多いです。
1.現状調査
2.リスク分析
3.セキュリティ要件の策定
4.セキュリティ製品の選定~実装
5.セキュリティ運用
上記について詳しく見ていきましょう。
1.現状調査
まずは、自組織を取り巻く環境や保有する情報システムについて調査するところから始めます。孫氏の有名な言葉である、「彼を知り己を知れば百戦殆からず」(敵と自分について知っているなら100回戦っても負けない、という意味)のうち「己を知れば」に該当します。
・情報システムの構成
特に外部インターネットとの境界やUSBメモリ等の外部デバイスを利用するポイント等、悪
意のある攻撃者(内部不正含む)の攻撃の入口に着目しましょう。
・資産(ハードウェア、ソフトウェア、データ)
特に「データ」については重要度毎に分類しておくことが重要です。データの重要度とは、
データが漏洩した場合に組織が被る被害や影響度合いによって決められます。
・利用者
利用者のITリテラシーや自組織、他組織等の利用者の組織に着目します。
・法令や準拠すべきセキュリティポリシー
自組織が営む事業に関連する法令やセキュリティポリシーがあるなら内容をチェックしま
す。
2.リスク分析
「1.現状調査」の調査結果をもとにリスク分析を実施します。リスク分析とは、自組織に関連する「脅威」と「脆弱性」を洗い出し、自組織を取り巻く「リスク」の大きさを分析することです。「彼を知り己を知れば百戦殆からず」のうちの「彼を知り」に該当します。
①脅威の識別
攻撃者・ソフトウェア・データに着目し、自組織を取り巻く脅威を洗い出します。
脅威を洗い出す際は、脅威モデル(※)を利用することもあります。
※脅威モデル
代表的な脅威モデルとしてSTRIDEモデルがあります。STRIDEモデルについての記事は
こちらから
②脆弱性の洗い出し
脆弱性スキャンやペネトレーションテスト、自組織の情報システムのマネジメント状況から
脆弱性を洗い出します。
ここで、脆弱性とはソフトウェアやハードウェアの脆弱性に留まりません。
例えば教育されていないシステム利用者や暗号化されていない通信も脆弱性になりえます。
③リスク分析
洗い出した脅威や脆弱性からリスク分析を実施します。
リスクの影響度は「脅威 × 脆弱性」と「発生頻度」で計算します。
また、リスク分析モデル(※)を利用してリスクを分析する場合もあります。
※リスク分析モデル
代表的なリスク分析モデルとしてDREADモデルがあります。こちらについては別途紹介し
たいと思います
④リスクへの対応
リスク分析の結果に基づいて、リスクをどこまで低減するかを決める。
※リスクはゼロにはならないと考えた方が賢明です。
また、リスクをゼロに近づければ近づけるほど、多大な費用がかかります。
どの程度のリスクなら許容できるのか決めましょう。
次に、リスクの低減方法を決めます。
対応方法には、大きく「低減」、「保有」、「回避」、「移転」の4つがあります。
詳細については下記を参照して下さい。
3.セキュリティ要件の策定
「2.リスク分析」での結果に基づいて、セキュリティ要件を抽出します。セキュリティ要件では、具体的に「どのような脅威から」「何を」「どのように」守るのかを考える必要があります。例えば、簡単に書くと下記のような要件が挙げられます(かなり大雑把に書いてます)。
・通信の盗聴を防ぐために全ての通信は暗号化する
・全てのログは5年間保存する。改竄防止のため、ログは暗号化すること
要件策定プロセスについては、こちらの記事も参考になるかと思います。
4.セキュリティ製品の選定~実装
「3.セキュリティ要件の策定」で策定した要件に基づいて、要件を満たすセキュリティ製品を選定します。ベンダの謳い文句を鵜呑みにするのはやめましょう。
確認ポイントは別途記事にしたいと思います。
5.セキュリティ運用
セキュリティ製品は導入してからが本番です。
設計・テスト時には見えてこなかったチューニングが必要になることがほとんどです。
FW、IDS/IPS、WAF、DLP等の検知・遮断関連の製品であれば誤検知を減らすための、チューニングが必要です。あまりに誤検知が多いと運用がまわらなくなってしまい、インシデントの見逃しにつながります。
ちなみにセキュリティ製品の監視はSOCにて行うことが多いです。SOCについてご存知ない方ははこちらから。