脆弱性対策、インフラによるセキュリティについて<セキュリティ> | システム導入検討のエッセンス（１１）

イントロダクション

RFI・RFPについての第１１回、非機能要件詳細についての第８回目になります。
今回はセキュリティについての２回目です。

前回は権限制御やシステム監視についての話をしました。
システムのセキュリティ要件には様々な要素があります。
権限やログ以外にもログイン管理やデータ暗号化といった業務要件ではないまでも機能として実装されるべきものもありますが、今回は直接機能として実装するものではないものに言及していきたいと思います。

情報セキュリティの３要素

本来説明の順番としてはこちらが先なのですが、情報セキュリティに求められる３つの要素を紹介します。

機密性

簡単に言うと、「機密情報へのアクセスが正しく制限されていること」です。
ログイン管理や前回お話した権限管理が機密性を保持するための仕組みです。
もちろんパスワードが予測可能だったり、部門の誰でも知っていたり、パソコンに付箋で貼っていたりしたら元も子もありません。
それらは運用として予防する部分として、システムがそれを制御する仕組みを持っているかどうかは調達時に確認する必要があります。

完全性

「情報が改変された履歴が管理され、不正な改変が行われないこと」です。
完全性が保障されていないデータは信憑性が下がります。誰がいつデータにアクセスして、改変を行ったかが管理されなければいけません。
共同編集しているExcelで何度直しても誰かがデータを変更したり、いつまでたっても情報が確定しなかったりという経験はないでしょうか。機密性と合わせてセキュリティ面でExcel管理の欠点として挙げられるポイントです。誰が何時編集したデータかわからないと、悪意を持った改変に気づくことができません。
前回お話したシステム監視が必要となるのは完全性の確保のためでもあります。

可用性

「情報に必要な人が必要なタイミングでアクセスできること」です。
機密性、完全性が確保されていることが前提ではありますが、セキュリティレベルが高すぎてデータ利用に支障をきたさないよう、適切な管理ができるように考慮する必要があります。
適切な権限管理を行うことで、可用性を確保することができるようになります。

これらの要素を踏まえた上で、今回のセキュリティに関する要件をお話していきたいと思います。

脆弱性対策について

エクスプロイトとは

エクスプロイトとはソフトやハードの脆弱性を利用して悪意を持った攻撃を行うこと、もしくはそのために作成されたスクリプトやプログラムのことです。

セキュリティソフトによってはマルウェアに分類される場合もありますが、単体では自己増殖する機能をもつことを意味しないため、狭義にはコンピューターウィルスとは分けて分類されます。

エクスプロイトの攻撃は、対象とするソフト／ハードそのものの機能を妨害する「DoS攻撃」と、ソフトの定義する権限の範囲を利用した「権限昇格攻撃」の２つに分類されます。

前者の代表的なものとしてはインジェクション攻撃によるデータの改変・損失があります。セキュリティ３要素でいう「完全性」が保てなくなる状態になる攻撃です。
後者の場合アクセス制御が効かなくなる意味で「機密性」が確保できなくなります。

脆弱性対策について

これらの攻撃が狙う脆弱性は、ソースコードの脆弱性診断により防ぎえるものもあります。また脆弱性は新たに発見される場合もありますが、パッチプログラムやオーバーライトによって対策を行うことができます。

システム選定において、対象のソフトがどのような脆弱性対策を行っているか、適切なセキュリティが確保できるか確認するようにしましょう。

インフラによるセキュリティ

ファイアーウォールの設置だけではない

インフラによるセキュリティで最も代表的なものはファイアーウォールの設置ではないかと思います。
しかしファイアーウォールさえ設置できればセキュリティが全て確保できるわけではありません。
所謂物理的なセキュリティ全般についても、どこまで検討しなければいけないか考えなければいけません。

これらはシステムが取り扱う情報の機密性のレベルによって検討レベルが変わってきます。顧客情報、人事情報などの個人情報を取り扱う場合には特に注意が必要です。

顧客情報漏えいによって社会的信用が失墜した事例は数多くあります。
可用性を重視するあまりセキュリティが軽視されていないか、この視点でブレーキを掛けるのは企業において情シスが担う重要な役割です。

あとがき

セキュリティと可用性のバランス

セキュリティの重要性を否定する人はもはやほとんどいないでしょう。
しかし概念としてはわかっていても、実際の現場において可用性が優先されてしまっていることはないでしょうか。
それを「セキュリティ上の問題」の一点張りで全て規制してしまうだけでは不十分でしょう。

もちろんセキュリティは重要です。しかしセキュリティの３要素にも可用性が挙げられているよう、セキュリティを確保した前提ではあるとはいえ可用性を全く考慮に入れないシステムは利便性に欠けてしまい、本来の目的である業務の効率化が達成できなくなる恐れがあります。

適切なセキュリティを実現した上で、どのように可用性を確保するのか。
RFIでの情報収集、RFPでの要件作成において検討すべき重要な要素になります。

RFI・RFP／プロジェクト管理関連の記事を纏めています。

ＲＦＩ・ＲＦＰ／プロジェクト管理特集ページ

https://jyosys-hack.info/page-767

 「情シスHack」で紹介したRFI・RFP及びプロジェクト管理関連の記事を纏めました。 システム導入検討のエッセンス第１回：RFI・RFPとは何か、何故必要なのか第２回：RFIに記述すべき内容について第３回：RFPに記述すべき非機能要件の範囲について第４回：非機能要件詳細：可用性について（１）SLAや稼働率について第５回：非機能要件詳細：可用性について（２）バックアップについて第６回：非機能要件詳細：性能・拡張性について（１）性能要件について第７回：非機能要件詳細：性能・拡張性について（２）拡張性について第８回...