2008年セキュリティ展望──SMBにとっては厳しい年に：苦労しそうな3つの分野とは

2008年はセキュリティの3つの分野が緊密に絡み合い、SMBのITセキュリティ担当者にとって厳しい1年になりそうだ。だが、このチャレンジは克服不可能ではない。

[Joel Dubin，TechTarget]

　中堅・中小企業（SMB）にとって、2008年にITセキュリティをめぐって苦労しそうな分野が3つある――コンプライアンス、アプリケーション／Webサイトのセキュリティ、そしてエンドポイントセキュリティだ。これら3つの分野は2007年よりも一層緊密に絡み合うだろう。

コンプライアンス

　SMB、特に株式未公開企業では、政府の法規制が株式公開企業（主として大企業）だけを対象にしていると考えているかもしれない。しかしそれは必ずしも真実ではない。公開企業と取引のあるSMBであれば、下請け工程に目を向ける規制当局や監査人の立ち入り検査を受ける可能性があるのだ。公開企業を対象としたSOX法（サーベンス・オクスリー法）、ヘルスケアプロバイダーを対象としたHIPAA（医療保険の相互運用性と説明責任に関する法律）、クレジットカードでの支払いを受け付ける企業を対象としPCI DSS（Payment Card Industryデータセキュリティ標準）へのコンプライアンス義務は、今後も大企業だけでなくSMBにとっても頭痛の種になりそうだ。

　コンプライアンスを構成する主な要素としては、アクセス管理やアプリケーション／ネットワークシステムのセキュリティなどがある。これらは互いに切り離された個別の要素として扱うことはできない。SMBがコンプライアンスを実現するには、これらすべての要件を満たす必要があるのだ。

　各法令にはそれぞれ独自性がある。SOX法およびHIPAAへのコンプライアンスは今後も重要な課題だが、2008年にSMBにとって警戒を要するのはPCI DSSだ。政府法令のSOX法やHIPAAとは異なり、PCIは業界標準だ。PCIを管理しているのは、5社の大手クレジットカード会社（Visa International、MasterCard International、American Express、Discover Financial Services、JCB）で構成されるコンソーシアムだ。PCIに準拠していない企業は罰金を科せられるか、コンソーシアムのメンバーによるカードの処理を拒否される可能性がある。

　PCI DSSにはSMBに直接影響する部分が多いが、2008年に特に苦労の種になりそうなのが、アプリケーションのセキュリティを規定した第6.6節だ。現時点では同節の規定は推奨要件にすぎないが、2008年6月には必須要件に格上げされる。

アプリケーション／Webサイトのセキュリティ

　PCI DSSの第6.6節は、Web上で運用されているすべてのアプリケーションを2つの方法のいずれかによって攻撃から防御することを義務付けている。だが、どちらの方法もSMBにとって大きなコスト負担になる可能性がある。1番目の方法は、アプリケーションのセキュリティを専門とする組織が、すべてのカスタムアプリケーションのコードについて一般的な脆弱性の有無を検査するというもの。もう1つの方法は、単にWebアプリケーションの周囲にアプリケーションレベルのファイアウォールをインストールするというものだ。最初の方法はスタッフの労力という点でコストが掛かり、2番目の方法は金銭的なコストが掛かる。

　しかしPCI委員会が、Webアプリケーションコードのすべての行に対する全面的な検査を義務付けない可能性もある。その場合は、SMBにも手が届くポピュラーなWebスキャニングツール（SPI Dynamicsの「WebInspect」やWatchfireの「AppScan」など）でも間に合うかもしれない。これらのツールはアプリケーションのコードの検査は行わないが、アプリケーション／Webサイトの一般的な脆弱性を検出できる。これらのツールで検出された脆弱性を修正できることをSMBが示せれば、高い費用を払ってコンサルタントに何十万行ものコードをチェックさせなくても検査に合格できるかもしれない。

　アクセス管理もコンプライアンス要件の1つだ。PCI DSSだけでなく、SOX法およびHIPAAでも同じことだ。これらの法規制はいずれも、誰がシステムにアクセスするかに関する完全な記録（使用されなくなったアカウントの定期的な削除の証明を含む）を義務付けている。このため、定期的にリポートを作成し、要求に応じて監査人や規制当局に提出できるようにする必要がある。資金的にゆとりのないSMBの場合は、ポピュラーなディレクトリ管理システムであるMicrosoftのActive Directoryに組み込まれたリポーティングツールでもコンプライアンスに十分対応できる。

エンドポイントセキュリティ

　在宅ワーカー、ノートPCを持ち歩く外勤スタッフ、BlackBerryを活用するマネジャーが増えるのに伴い、SMBにとってエンドポイントセキュリティが極めて重要になってきた。また、社外で仕事を行うために、プレゼンテーションなどのデータを入れて持ち歩けるUSBメモリなどのコンパクトなポータブルストレージデバイスの利用も広がっている。こういったデバイスは、SMBにとって大きなコスト削減につながる。従業員が社外で働けるようにすることで、高価なオフィススペースを確保する必要性が少なくなるからだ。

　しかし、この自由にはネットワークセキュリティに対する深刻なリスクも伴う。これらのデバイスが適切に設定されていなければ、ネットワークに直接接続し、従来型のファイアウォールを迂回できてしまうからだ。その結果、ネットワークにマルウェアが持ち込まれたり、機密情報や顧客データがネットワークの外に流出する恐れがある。

　リモートデバイスを適切に設定し、ファイアウォールあるいは専用のゲートウェイ経由でしかネットワークにアクセスできないようにしておくだけでなく、デバイスに十分なセキュリティ対策を施し、マルウェアが入っていないことを確認する必要がある。言い換えれば、パッチおよびウイルス対策ソフトウェアが最新状態になっているデバイス以外にはネットワークへの接続を許可すべきでないということだ。USBメモリなどの外部ストレージデバイスに関しては、業務目的で必要なユーザーだけにその使用を限定するか、社内ネットワークから完全に遮断する必要がある。

　エンドポイントセキュリティ分野のSMB向け製品としては、Safendの「Safend Protector」やCentennial Softwareの「DeviceWall」などがある。両製品ともインストールが簡単で、ネットワーク上でエンドポイントやデバイスを監視・管理するための使いやすいWebベースのインタフェースを備えている。

サイトの防御

　2008年もWebとアプリケーションのセキュリティは、SMBにとって重要な関心事になるだろう。2007年と同様、ハッカーは今後も「スケールダウン」を進め、より小規模な企業をターゲットにするだろう。スタッフが充実したセキュリティ部門がある大手企業よりも防御が甘いと考えられているのだ。SMBのWebサイトは大企業のWebサイトと同様、クロスサイトスクリプティング（XSS）、SQLインジェクション、セッション乗っ取りなどによる攻撃にさらされる恐れがある。

　Web攻撃に対する最善の防御は、Open Web Application Security Project（OWASP）が紹介している安全なコーディング手法に従うことだ。Webセキュリティの業界標準であるOWASPへの準拠は、PCI DSSのコンプライアンス要件にもなっている。OWASPでは安全なコーディング手法に加え、セキュアなWebデザインのベストプラクティス（Webサーバ構成など）も紹介している。

　2008年はSMBのITセキュリティ担当者にとって厳しい1年になりそうだが、このチャレンジは克服不可能ではない。

本稿筆者のジョエル・デュビン氏はCISSP（公認情報システムセキュリティ専門家）資格を持つ独立系コンピュータセキュリティコンサルタント。Microsoft MVPに選ばれ、Web／アプリケーションセキュリティを専門とする。著書に「The Little Black Book of Computer Security」（29th Street Press）があり、シカゴのラジオ局WIITでコンピュータセキュリティの番組を担当。「IT Security Guy」ブログも運営している。

関連ホワイトペーパー

SMB | コンプライアンス | 情報漏洩 | セキュリティ対策