ネットワークの脆弱性評価に計画性が必要な8つの理由Column

ネットワークの脆弱性評価は、やみくもにやっただけでうまくいくとは思わない方がいい。

2006年12月18日 07時00分 公開
[Kevin Beaver,TechTarget]

 Windowsネットワークの脆弱性評価プロセスは、それだけで十分複雑だ。セキュリティは常に差し迫った課題であり、診断では直ちに脆弱性を発見し、修正することが求められる。しかし、うまく事を運ぼうとするなら、確実なセキュリティ診断戦略を立て、秩序立ったやり方で実行する必要がある。

 ソフト開発者が、計画-設計-開発-診断-導入-メンテナンスという基本的な手順を踏まなかったとしたら(確かにそういう者もいるが、その話はまた別の機会に)どうだろう。あるいは橋の設計者やビルの建築家が性急にやっつけ仕事をしてしまったら何が起こるか考えてほしい。それが効率的と言えるだろうか。今後も仕事が来るだろうか。セキュリティ脆弱性診断も同じことだ。うまくやろうと思うなら計画を立てなければならない。やみくもにやっただけですべてを把握でき、どんなセキュリティ問題にも対処できるなどと思わない方がいい。以下にその理由を8つ挙げる。

  1. システムやアプリケーションの幾つか(例えば古いファイルサーバ、ランダムなWebアプリやデータベースなど)で診断を忘れたり、特定のシステムへのアプローチ方法(認証ありか認証なしかなど)が分からない、といった事態は避けられない。そうなると後戻りして対策を立てなければならず、順調にいった場合の2倍の時間を簡単にとられてしまう。
  2. 経営側やプロジェクトのスポンサーからきちんと許可を取らないと面倒なことになりかねず、関係者全員の面汚しになる。
  3. 時間管理と達成のエキスパートがたどり着いた結論として、計画に1分かければ実行段階で5分の時間を節約できる。これ以上言うことがあるだろうか。
  4. 計画を立てないと全員の考え方が一致せず、想定がまとまらない。こうなると、何か問題が起きた場合(大方が思い浮かべるのはシステムのクラッシュだ)の影響ははるかに大きくなる。説明にも大きく時間をとられる。
  5. 自分が使うつもりでいる市販のツールをすぐに利用できない場合があるかもしれない。この事態は私も1度ならず経験している。手持ちのライセンスの有効期限が切れていたり、アップデートしなければならないと分かっていながら、ほんの短時間で更新できるだろうと思っていたのだ。直前まで手を付けなかったため、私の診断は遅れ、時には数日もずれ込んだ。ベンダーは、いつもライセンス更新にすぐ対応してくれるわけではないのだ。
  6. 診断のタイミングが悪くなるのは確実だ。セキュリティ脆弱性診断にうってつけの時間などそもそも存在しないが、日時を計画しなければ、バッチジョブや大量のトラフィック、バックアップ実行などとぶつかってしまう公算が大きい。そのせいで診断が遅れるだけでなく、システムのクラッシュを引き起こすかもしれない。
  7. ITで時に必要な重要リソース、プロジェクト管理者、製品管理者、エグゼクティブスポンサーなどが、質問に答えてほしい時やシステムの仕組みを説明してほしい時、そしてシステムを深く調べる時に間違いなく必要なその他の事項について手助けが必要な時に、そこにいないかもしれない。
  8. 実際に診断の方法論を確立しておくことは、計画立案プロセスの一環だ(例えば予備調査、要素列挙、脆弱性発見、脆弱性悪用、発見内容の報告、脆弱性が修正されたことを確認するためのフォローアップなど)。一部にはISO/IEC 17799:2005フレームワークのようなレベルの高いものが利用できる。このほかチェックすべき2つのリソースとして、OCTAVEメソドロジーとOpen Source Security Testing Methodology Manual(OSSTMM)をお勧めする。

 自分が何をするつもりなのか、それを実行するためにどうすべきかを自分に問いかけ、やるべきことに優先順位を付けて、緊急かつ重要な分野にしっかりと照準を合わせるようにすれば、時間を賢く使い、セキュリティ診断で望ましい結果を出せるようになるだろう。

本稿筆者のケビン・ビーバー氏は、米アトランタにあるプリンシプルロジックの独立系情報セキュリティコンサルタントで、文筆、講演を手掛ける。IT分野で18年以上の経験を持ち、専門は情報セキュリティ評価。「Hacking For Dummies」「Hacking Wireless Networks For Dummies」(以上Wiley刊)、「The Practical Guide to HIPAA Privacy and Security Compliance」(Auerbach刊)など5冊の著書がある。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

事例 HENNGE株式会社

脱PPAPやパスワードレスの実現でDXを加速、事例に学ぶセキュリティ戦略の勘所

レストランチェーンとして国内外で事業を展開するGenki Global Dining Concepts(旧:元気寿司)。同社の情報システム部門は、PPAPの利用やパスワードの問い合わせ増加などさまざまな問題を抱えていた。同社の解決方法を紹介する。

製品レビュー HENNGE株式会社

企業の防御力は万全? ペネトレーションテストで見直すセキュリティ戦略

企業のセキュリティ対策において重要なのは、組織やシステムのセキュリティが「総合的」に機能しているかどうかだ。この総合力を確かめる方法が「ペネトレーションテスト」だ。本動画では、専門家がこのテストの重要性について解説する。

製品資料 LRM株式会社

セキュリティ教育のマンネリ化を防ぎ、従業員の意識向上を図るには?

サイバー攻撃が高度化する中、従業員のセキュリティ意識を高めるための教育や訓練の重要性が高まっている。しかし、訓練するだけで終わってしまっている企業も少なくない。効果的なセキュリティ教育を実施するにはどうすればよいのか。

製品資料 LRM株式会社

基礎から分かる「セキュリティ教育」、4つのアプローチはどれが最適か?

ISMSやPマークといった認証を取得している企業はもちろん、取得していない企業にとっても情報セキュリティ教育が重要であることは変わらない。その方法には、eラーニングや外部セミナー、集合研修などがあるが、どう選べばよいのか。

製品資料 INFINIDAT JAPAN合同会社

ストレージ×バックアップソフトでランサムウェア対策、事例で学ぶ効果の実態

ランサムウェアの脅威に対処するには、攻撃を受けた際、信頼できるバックアップデータを迅速にリストアできる環境が不可欠だ。定番バックアップソフトとあるストレージの組み合わせに注目し、その導入事例を紹介する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。