ネットワークの脆弱性評価に計画性が必要な8つの理由：Column

ネットワークの脆弱性評価は、やみくもにやっただけでうまくいくとは思わない方がいい。

[Kevin Beaver，TechTarget]

　Windowsネットワークの脆弱性評価プロセスは、それだけで十分複雑だ。セキュリティは常に差し迫った課題であり、診断では直ちに脆弱性を発見し、修正することが求められる。しかし、うまく事を運ぼうとするなら、確実なセキュリティ診断戦略を立て、秩序立ったやり方で実行する必要がある。

　ソフト開発者が、計画−設計−開発−診断−導入−メンテナンスという基本的な手順を踏まなかったとしたら（確かにそういう者もいるが、その話はまた別の機会に）どうだろう。あるいは橋の設計者やビルの建築家が性急にやっつけ仕事をしてしまったら何が起こるか考えてほしい。それが効率的と言えるだろうか。今後も仕事が来るだろうか。セキュリティ脆弱性診断も同じことだ。うまくやろうと思うなら計画を立てなければならない。やみくもにやっただけですべてを把握でき、どんなセキュリティ問題にも対処できるなどと思わない方がいい。以下にその理由を8つ挙げる。

1. システムやアプリケーションの幾つか（例えば古いファイルサーバ、ランダムなWebアプリやデータベースなど）で診断を忘れたり、特定のシステムへのアプローチ方法（認証ありか認証なしかなど）が分からない、といった事態は避けられない。そうなると後戻りして対策を立てなければならず、順調にいった場合の2倍の時間を簡単にとられてしまう。
2. 経営側やプロジェクトのスポンサーからきちんと許可を取らないと面倒なことになりかねず、関係者全員の面汚しになる。
3. 時間管理と達成のエキスパートがたどり着いた結論として、計画に1分かければ実行段階で5分の時間を節約できる。これ以上言うことがあるだろうか。
4. 計画を立てないと全員の考え方が一致せず、想定がまとまらない。こうなると、何か問題が起きた場合（大方が思い浮かべるのはシステムのクラッシュだ）の影響ははるかに大きくなる。説明にも大きく時間をとられる。
5. 自分が使うつもりでいる市販のツールをすぐに利用できない場合があるかもしれない。この事態は私も1度ならず経験している。手持ちのライセンスの有効期限が切れていたり、アップデートしなければならないと分かっていながら、ほんの短時間で更新できるだろうと思っていたのだ。直前まで手を付けなかったため、私の診断は遅れ、時には数日もずれ込んだ。ベンダーは、いつもライセンス更新にすぐ対応してくれるわけではないのだ。
6. 診断のタイミングが悪くなるのは確実だ。セキュリティ脆弱性診断にうってつけの時間などそもそも存在しないが、日時を計画しなければ、バッチジョブや大量のトラフィック、バックアップ実行などとぶつかってしまう公算が大きい。そのせいで診断が遅れるだけでなく、システムのクラッシュを引き起こすかもしれない。
7. ITで時に必要な重要リソース、プロジェクト管理者、製品管理者、エグゼクティブスポンサーなどが、質問に答えてほしい時やシステムの仕組みを説明してほしい時、そしてシステムを深く調べる時に間違いなく必要なその他の事項について手助けが必要な時に、そこにいないかもしれない。
8. 実際に診断の方法論を確立しておくことは、計画立案プロセスの一環だ（例えば予備調査、要素列挙、脆弱性発見、脆弱性悪用、発見内容の報告、脆弱性が修正されたことを確認するためのフォローアップなど）。一部にはISO/IEC 17799:2005フレームワークのようなレベルの高いものが利用できる。このほかチェックすべき2つのリソースとして、OCTAVEメソドロジーとOpen Source Security Testing Methodology Manual（OSSTMM）をお勧めする。

　自分が何をするつもりなのか、それを実行するためにどうすべきかを自分に問いかけ、やるべきことに優先順位を付けて、緊急かつ重要な分野にしっかりと照準を合わせるようにすれば、時間を賢く使い、セキュリティ診断で望ましい結果を出せるようになるだろう。

本稿筆者のケビン・ビーバー氏は、米アトランタにあるプリンシプルロジックの独立系情報セキュリティコンサルタントで、文筆、講演を手掛ける。IT分野で18年以上の経験を持ち、専門は情報セキュリティ評価。「Hacking For Dummies」、「Hacking Wireless Networks For Dummies」（以上Wiley刊）、「The Practical Guide to HIPAA Privacy and Security Compliance」（Auerbach刊）など5冊の著書がある。