私は会社でセキュリティ・ソフトウェア製品の主にサポートをしています。そこで先日から近所の図書館でセキュリティ関連の本を読んで勉強しています。
この本の構成について
1章では全体的な設計を書いています。2章では具体的な脅威を想定した設計を行っています。
第1章 上流工程で作り込むセキュリティ設計の進め方
1-1 セキュリティ事故は防げた
1-2 まずは俯瞰する視点を持つ
1-3 要件を漏れなく言語化する
1-4 アクセス制御と認証の設計
1-5 セキュリティの運用設計
1-6 効果的なレビューの観点
第2章 脅威別に見たセキュリティ設計の実践
2-1 やってはいけない場当たり対策
2-2 標的型攻撃とランサムウエア
2-3 内部不正
2-4 Webサイトへの攻撃
2-5 IoTシステムへの攻撃
2-6 情報セキュリティ負債の返し方
付録 上流工程で定義する主なセキュリティ要求事項
この本通りにすれば大抵の問題は解決するのでは?
セキュリティ関連の製品を売っている立場で言うと丁寧に書かれています。最近話題のランサムウェアでもこの本を読んで対策をすれば、完全に防げるとは断言できませんが、根こそぎデータを取られたり、システムを無効化されたりすることは防げることができるのでないかと思います。
この本であまり論じていないこと
セキュリティ対策というと具体的な対策の提案を確認したいと考えますが、この本ではそのような解説にはあまり紙面を割いていません。攻撃手段は年々変わるのでそれに対応するためには問題に起こるたびにその場しのぎの対策をするのではなく、俯瞰的にシステムをみることに重きを置いていると思います。
この本をみて学べること
この本では何かしらの答えが書いているわけではないです。題名にもある通り組織の中でセキュリティを考える上でのノウハウを提供しています。
そのため、この本に書いていることだけでなく、さまざまな情報、特にオープンになっているセキュリティガイドラインを参考にすることを提案しています。
この本の最後にある、「付録 上流工程で定義する主なセキュリティ要求事項」はそれらの情報を整理していあります。
また、想定されている読者層を考えると「情報セキュリティってお金と手間がかかる」ということはよくわかると思います。
この本の読む対象者
この本はNRIセキュアテクノロジーズの方々が作っています。したがってNRIセキュアテクノロジーズが対象にしているエンタープライズ・システムを対象に書かれています。また上流工程について論じているので、エンジニアというよりはマネージメント層でも理解できるように書かれていると感じます。
エンタープライズを対象にしているということは、この本に書かれていることを実行するのであれば、それなりに予算とマンパワーが必要になります。
したがって、この本を読んだからといって具体的な対策がわかるわけではないです。
あとは私のように情報セキュリティを仕事にしている人にとっては読む価値はあります。どのように自分たちの
それでも、悲惨なセキュリティ・インシデントは起こるのか?
したがって、ここに書かれている内容は特別なことはなく調べようと思えば調べることができる情報を整理したものです。しかしながら、最近でもだれもがしる有名企業がこっぴどくランサムウェアにやられたという事例が発生しています。またその有名企業はある程度のセキュリティ対策はしていたはずですが、それでも悲惨なセキュリティ・インシデントは起こっていしまいました。
原因は断言できませんんが、セキュリティ対策が何重にもあったわけでなかったからと、その場しのぎの対策に終始していたからだと思います。
具体的な対策はどうしよう?
予算があれば、NRIセキュアテクノロジーズのようなセキュリティ対策をしてくれる会社にお願いするのがいいと思います。本書を読んで担当者と話をすればきっといい解決方法を提案してくれると思います。実際にあとがきにもこのようなことが書いてありました。
そのためには、発注側であるユーザーがこれまで以上にセキュリティの重要性を理解し、明確に開発ベンダー側にセキュリティ要件を提示する必要があります。 セキュリティ要件が曖昧なままベンダーに開発を依頼してしまうと、セキュリティ機能や運用がキチンと実装されないままシステムがリリースされ、脅威に耐えられずセキュリティ事故が起こる可能性が高くなってしまいます。
P.156-157 「おわりに」
そうでない場合でも将来どのようにセキュリティ対策を行っていくか考察するにはとてもいい本だと思います。「付録 上流工程で定義する主なセキュリティ要求事項」を参考にいろいろ考察したらいいと思いました。
クラウドサービスの利用も視野に
オンプレミスでシステムを構築する場合は、セキュリティ対策もある程度自前でする必要があります。ファイアウォールからIDS/ IPF、WAF、バックアップなどを用意しかつ運用をする必要があります。
例えば、MicrosoftのクラウドストレージであるOneDriveでは、ファイルサーバーをオンプレミスで利用するよりもセキュリティ対策がされていると考えていいと思います。
主なポイントをあげると
- 2要素認証への対応
- モバイル デバイスで暗号化
- ファイルバックアップ
- ランサムウェア対応
他にも様々なことに対応しています。オンプレミスですべて対応するよりもクラウドサービスを利用するとクラウドサービス側である程度の対策をするのでそれを利用するのもありだと思います。
最近話題のランサムウェアの事例でもパブリッククラウドでは被害を被害を受けなかったということがありました。
KADOKAWA、ランサムウェアなどで攻撃 ニコニコは「1から作り直すような規模の作業が必要」
システムとしては、ニコニコ動画のシステムと、投稿された動画データはパブリッククラウド上にあるため、被害を受けていない。そのため過去の動画は安全に保存されているが、生放送の映像配信システムはプライベートクラウド上にあるため、使えなくなっている。データのバックアップは取られているものの、一部が暗号化されている可能性もあるという。
パブリッククラウドでもちゃんと運用していなければ問題がおこると思いますが、ある程度クラウドサービス側でも対応できることをこの事例は示していると思います。
本書で解説している通りするのはシステム全体で行うのは大変なので、いまや一般的になったクラウドサービスの利用を検討するのは悪い選択ではないと思います。
最後に
いろいろ書きましたが、本書は大変良くできた本だと思います。エンタープライズ・システムのセキュリティ対策を考える立場になくても、情報セキュリティのことについて考える意味でも必読書だと思います。
これからもさまざまな攻撃手法で情報セキュリティを脅かす事例は出てくると思いますが、本書で書かれている基本的なことを抑えていれば大抵のことは対応できると感じています。
コメント