進化する攻撃… セキュリティ技術者が習得すべき 普...
TRANSCRIPT
CISSP meets Microsoft セキュリティプロフェッショナルセミナー
進化する攻撃…セキュリティ技術者が習得すべき普遍的知識とは?
セキュリティプロフェッショナルセミナー・レポート
本コンテンツは、キーマンズネットに 2016/01/27より掲載されているコンテンツになります。
1
昨年 12月に CISSP meets Microsoftと題された、セキュリティプロフェッショナルむけのセミナーが開催された。情報セキ
ュリティ専門家資格のグローバルスタンダード「CISSP」を展開する(ISC)2※の主任講師、日本マイクロソフトの CISSP資格
保有者など、セキュリティのプロフェッショナルが一同に介し、CISSPにおけるセキュリティの普遍的な考え方や、製品/サー
ビスとしての実装例などを解説するという内容だ。今回の記事では、同セミナーを紹介しつつ、高度化を続ける攻撃に対応す
るために、Security as a Serviceとしてクラウドを有効活用するなど、効率的に企業のセキュリティを実現するための取り
組み方を確認していく。 ※アイエスシー・スクエア(「2」は上付き文字)
今後増加が見込まれる、企業に従事するセキュリティ人材。
求められる役割も変わりつつあるが、それに応えるためには…。
情報セキュリティ専門家の認定・教育活動を展開する(ISC)2
昨年末にはコンピュータ専門誌で「セキュリティ 24万人不足」という特集が組ま
れるなど、国内でのセキュリティ人材の枯渇は深刻な状況になりつつある。そのニ
ーズの高まりを受けて、ユーザ企業で働く情報セキュリティのプロフェッショナル
は今後増加していくことは間違いない。しかし、そもそも、情報セキュリティのプ
ロフェッショナルとは何なのか。どのような要件が求められ、どのように評価され
るべきなのか?
その 1つの答えとなりうるのが、今回のセミナーの主なテーマである「CISSP」
だ。(ISC)2 Japanで Director of Business Developmentを務める小熊慶一郎氏
によれば、CISSP有資格者は世界全体では 10万人を超えたものの、日本国内では
1500人以下にとどまっており、やはり、「まだまだ足りない」「拡大の余地があ
る」状況だと感じているという。
“今後のセキュリティ人材のあるべき姿”とは?
もちろん、簡単に増えるものではないことも確かだ。しかも、CISSPの合格率は決して高くはない。なぜなら、「単純に技術
を知っているだけではなく、企業や組織の中でセキュリティをどのように運用し、維持していくのかを理解していることを求
める資格」だからだ。その意識は、昨年 4月に変更された CISSPのドメインにも色濃く反映されている。つまり、技術中心で
はなく、職務や組織という観点がいっそう重要となっているというわけだ。
そして、これは現在のセキュリティ業界全体の方向性とも一致すると言えるだろう。これまでの情報セキュリティ専門家は 1
人、もしくは少ない人数で目前の作業を 1つずつこなしていくという取り組み方が主体だったかもしれない。しかし、今後は
よりマネージメント的な役割が求められるとともに、1つの分野に特化するよりは、むしろ、巨視的にセキュリティのファン
クションを見なければならない位置づけに変わっていくというわけだ。
2
セキュリティを社内できちんと回せているか?
人間に頼るのではなく、科学的な取り組み方を。
セキュリティサービスの企画や提案に役立つセキュリティ知識とは
セキュリティ人材不足と言っても、単純に各企業で増員を図ればいいわけではない
ことも確かだ。ディアイティ クラウドセキュリティ研究所 所長で、(ISC)2 認定
主任講師も務めている河野省二氏は、そうした現状に触れた上で、「情報セキュリ
ティは科学」と強調した。どのような組織でも、たった 1人の不正やミスで情報漏
洩が起きてしまう。だからこそ、科学的、つまり「用意された手順を踏めば、誰も
が同じ結果が出る」ような取り組みが必要というわけだ。
ただ、そこで問題となるのが、脅威などのセキュリティ知識はどんどん変化してい
くこと。そのため、「誰も失敗しない環境構築には、正しいルールと手順の確立に
加えて、それを可能な限り、システムに落とし込むことが不可欠」と河野氏は語っ
た。
そもそも、CISSPは Certified Information Systems Security Professionalの略
であり、「システムを理解しているセキュリティ専門家」を指しているのだ。
セキュリティとセーフティの違いを理解しているか?
つまり、知識とスキルをシステムとして実装できる人材こそ、社内でセキュリティを円滑に回せるというわけだ。CISSPでは
セキュリティエンジニアリングとセキュリティガバナンスを重視し、河野氏も CISSPの講師として、「システムに落とせない
ような対策は、よい対策ではない」「エビデンスが残らないセキュリティ対策では、やっていることにならない」ということ
を一貫して伝えてきたという。
3
また、河野氏は「セーフティとセキュリティに分けて考えることも重要」と強調した。例えば、ファイアウォールを設置する
ことは「セーフティ」であり、それがきちんと動き続けるようにすることが「セキュリティ」というわけだ。サービスを提供
する側はもちろん、サービスを利用する側も、セーフティとセキュリティの違いを理解した上で、「機能を提供して利用者に
セキュリティをさせるのではなく、それをサービスに含めているベンダ」を見極めてほしいと締め括った。
攻撃側は既にトータルレイヤで攻めを展開しているため
もはや単層での防御では防げない。だからこそ、必要なのは…。
クラウドでセキュリティをどう担保するのか ~クラウドセキュリティと CISSP の実装アーキテクチャ~
マイクロソフトテクノロジーセンターでセキュリティアーキテクトを務める蔵本雄一
氏は、CISSP有資格者であり、クラウド系セキュリティに従事する立場として、「自
分の得意分野に軸足を置きつつ、その知識を周辺へと波及させ、“トータルでセキュリ
ティ対策を考える”ことがより重要だ」と述べた。
セキュリティを「ネットワーク」「アプリケーション」などの層に分けて、段階的に
リスク低減を行うことを考えた場合でも、攻撃側は既にトータルレイヤでの攻撃手順
を踏むようになっているため、細分化された防御では対応できなくなっている。各層
のプロがいるだけではなく、すべての層の役割や機能を理解し、互いに連携すること
が必要というわけだ。
更に、現在では“侵入されることを前提とした対策”も不可欠となっている。管理者の
権限分離においても、「更なる細分化や時間単位での権限付与など、より緻密なコン
トロールが必要だ」と蔵本氏は指摘した。
常に最新の対策が施される環境は意図的脅威に対して非常に強い
こうした考え方は CISSPでも提示されているものだが、クラウドの実装に関しても同様の事が言える。
4
蔵本氏は「脅威は人為的ミスなどの偶発的脅威とハッキングなどの意図的脅威に分けて考えることができるが、クラウドは常
に最新の脆弱性パッチが当たっていることはもちろん、最新のセキュリティ対策が施されている状況であり、意図的脅威に対
して非常に強い。また、偶発的脅威に関しても権限の細やかな分離やオペレーションにおける安全性の確保等、多くの対策が
取られているため安心して欲しい。そのためデータの可用性の確保を目的にオンプレミスに置くという判断はありうるが、機
密性を理由にオンプレミス選択することはもはや賢明とは言えない」とクラウドのセキュリティの強さを強調。
意図的脅威、偶発的脅威の双方に対して強いマイクロソフトのクラウドをうまく活用して欲しいと蔵本氏は語った。
アクセス制御の「認証」に用いられる
3 つの認証方式における問題点と解決のための考え方とは?
CISSP から見る理想の認証方式と Windows 10
CISSPでは、「識別」「認証」「認可」「(3要素を説明する)説明責任」の
4つの要素に分けて、アクセス制御をとらえている。日本マイクロソフトのセ
キュリティコンサルタントである渡辺清氏は、そのうちの「認証」にフォーカ
スを当て、現在生じている問題、理想の認証方式、そして、それをいかに実現
するかという点を説明した。
認証方式は、Something you know(本人が知っていること=パスワードな
ど)、Something you have(本人が持っているもの=スマートカード、USB
トークンなど)、Something you are(本人の特徴=生体認証など)という 3
つに分類され、CISSPではこの 3つのうちの 2つを組み合わせることを推奨と
している。
Windows 10 で理想の認証方式をより容易に実現できる時代に
5
また、現在よく使われているパスワードを用いた認証は、ユーザにとって管理が面倒で、使い回しされがちという点は以前か
ら不安要素であった。ウイルス攻撃などによって、いったん ID/パスワードが盗まれてしまうと、それだけで不正利用につな
がってしまうことも大きな問題だ。そのため、「ユーザのパスワード利用からの解放」も理想の認証方式の条件の 1つと言え
るだろう。
では、それをどのように実現していくか。実はWindows 10では、FIDO Alliance標準を利用したパスワードレス認証の仕組
みとして「Windows Passport」を提供しており、生体認証機能を提供する「Windows Hello」などによって多要素認証にも
対応する。従来からある TPM(セキュリティチップ)を搭載した PCとWindows 10を組み合わせることで、より確実なデ
バイス認証をベースとした、「パスワードレスによる理想の認証方式が容易に実現できる時代が既に到来している」と渡辺氏
は語った。
「必要と分かってはいるけど、なかなかできない」。
本当はとても重要なアクセス制御の「説明責任」を実現するには?
クラウドで実現する“ID とデバイス管理の融合”
日本マイクロソフトのプレミアフィールドエンジニアを務める小町紘之氏は、アク
セス制御のうち、非常に重要だが、最も難しいのが「説明責任」だと語った。ま
ず、小町氏は自身のとらえ方として、セキュリティの 5大要素は Identify=計画、
Protect=対策、Detect=評価及び検出、Respond=早期反応、Recover=改善で
あり、Detectの部分に相当する説明責任が欠落すると、実施した対策の有効性や正
当性の評価、無駄な対策の排除などができないことが問題だと語った。
説明責任を困難にしているのは、業務アプリの増加による ID管理の複雑化やログ
の膨大化が主な要因と言えるが、最近では、ワークスタイル変革にともなうマルチ
デバイス利用や BYOD導入も拍車をかけている。ただ、だからといって、例えば B
YODを全面禁止しても「説明責任の見地からすれば何の意味もない」と小町氏は指
6
摘する。“誰も勝手に個人端末を接続していない”という説明責任が発生するため
だ。
禁止ベースではなく、管理ベースによる説明責任の確保を
いずれにせよ、説明責任を負わなければならないのであれば、「禁止ベースではなく、管理ベースによる説明責任の確保によ
って、セキュリティレベルを担保したほうがより前向き」と言えそうだ。しかし、人力でログ収集・分析などを行うのは負荷
が高すぎるため、「システムとして、いかに管理するか」という点がポイントとなる。
オンプレミスですべてを実施することが困難であれば、Security as a Serviceという考え方、つまり、クラウドの活用も検
討すべきだろう。例えば、「Azure Active Directory」では、ログの集約・分析をクラウド上で実現できるほか、特権アカウ
ントの管理では有効期間の設定や多要素認証の要否なども設定可能だ。「マイクロソフトでは、CISSPの考え方をベースに
様々なプロダクトやサービスを作り出しており、それらを活用すれば、説明責任という困難なタスクもより容易に実行でき
る」と小町氏は強調した。