多重防御により組織のデータ資産を保護するべきだといわれるが、具体的にはどのような対策が必要なのか?
従来の安全なネットワーク境界モデルは今や意味を成さなくなり、部外者は既に会社のネットワークに侵入していると想定すべきだ。そう話すセキュリティの専門家は増えている。
この数カ月、認証情報を盗む能力が攻撃者たちにあることを示す事件が実際に起きている。今や、攻撃者は既にネットワークに侵入し、正体を隠し、機密情報に近づける状態だと考えるしかない。これは防御戦略を考える上で何を意味するのか? 悪意を持つ部内者、そして既に企業ネットワークに入り込んでいる部外者から組織を守るにはどうすべきか?
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年10月9日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
対策の1つとして、とにかく攻撃者の進攻を遅らせることを業界のエキスパートは推奨する。不正行為を突き止め、対応できる時間を稼ぐのだ。監視システムとリスク評価システムを導入し、不審な行動を特定して対応するか、少なくともITセキュリティチームに警告が送られるようにしなければならない。
そして、特権ユーザーによる重要なデータへのアクセスを制限し、監視する仕組みを用意して制御することが特に重要だ。特権ユーザーは、ネットワークとネットワークに接続しているシステムに自由にアクセスできる場合が多い。そのため、攻撃者は特権ユーザーに協力するよう誘いをかけるか、強制的に仲間に引き込もうとする。または、特権ユーザーの認証情報を付け狙う。アクセス制御がなければ、攻撃者が特権ユーザーの認証情報を手に入れた時点で、大手を振って会社の最も重要な機密情報にアクセスし、盗み出すことができる。
しかし、このようなアクセス制御を準備し始めている組織は比較的少ない。米国の国家安全保障局(NSA)でさえ、内部告発者のエドワード・スノーデン氏を止めることはできなかった。もしNSAが特権ユーザーのアクセス制御を用意していたら、スノーデン氏は機密データにアクセスし、コピーすることはできなかっただろう。
米データセキュリティ企業Vormetricのアラン・ケスラーCEOは、「銀行は、監視なしに清掃員が貸金庫ルームへ入室することを許可したりはしないだろう。しかし、システム管理者に会社のあらゆるデータへの自由なアクセスを許している企業は多い」と指摘する。
正規の部内者を装うか、特権的アクセス権を持つ部内者を操り巧妙な攻撃を仕掛ける敵を前にして、データを保護できる唯一の手段は、攻撃対象領域を可能な限り縮小する戦略を採用することだ、とケスラー氏は言う。
そこで欠かせない要素が、疑わしい行動を素早く検知し、手遅れにならないうちに対処できるセキュリティインテリジェンスだ。これには、データアクセスの制御および監視機能も含まれる。この機能によって、正規ユーザーを装った攻撃者が、検知されずにデータにアクセスするリスクを低減する。
アクセス制御の具体策としては、特権ユーザーが各自の職務に関係のあるシステムやデータにしかアクセスできないようにすることが挙げられる。また、データに対して、承認された操作以外を実行不能にする。
ユーザーIDを切り替えるコマンドを特権ユーザーが実行できないようにするのも有効だ。これなら、システム管理者がデータベースユーザーを偽装し、機密データにアクセスすることはできない。さらに、システム管理者が試みたID変更イベントをログに記録して、リスク管理およびセキュリティシステムによる分析と関連付けをするとよいだろう。
データベースからコピーまたは移動される全てのデータを暗号化することも、データのセキュリティ対策になる。権限のないユーザーがデータにアクセスし、データを盗み出したとしてもデータは判読できない。
しかし、協力会社やサプライヤーとデータを共有しなければならないケースが増えている。その場合、データのセキュリティを確保するにはどうすればよいのか?
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
レストランチェーンとして国内外で事業を展開するGenki Global Dining Concepts(旧:元気寿司)。同社の情報システム部門は、PPAPの利用やパスワードの問い合わせ増加などさまざまな問題を抱えていた。同社の解決方法を紹介する。
企業のセキュリティ対策において重要なのは、組織やシステムのセキュリティが「総合的」に機能しているかどうかだ。この総合力を確かめる方法が「ペネトレーションテスト」だ。本動画では、専門家がこのテストの重要性について解説する。
サイバー攻撃が高度化する中、従業員のセキュリティ意識を高めるための教育や訓練の重要性が高まっている。しかし、訓練するだけで終わってしまっている企業も少なくない。効果的なセキュリティ教育を実施するにはどうすればよいのか。
ISMSやPマークといった認証を取得している企業はもちろん、取得していない企業にとっても情報セキュリティ教育が重要であることは変わらない。その方法には、eラーニングや外部セミナー、集合研修などがあるが、どう選べばよいのか。
ランサムウェアの脅威に対処するには、攻撃を受けた際、信頼できるバックアップデータを迅速にリストアできる環境が不可欠だ。定番バックアップソフトとあるストレージの組み合わせに注目し、その導入事例を紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
