ネットワークセキュリティの技術と監査ポイント

河端宇一郎　情報システムコントロール協会(ISACA) 東京支部 CISM 担当理事
　　　　　　新日本監査法人 アドバイザリサービス本部システム監査

2005/10/08 11:00-

企業個々に定めなければダメ．自身のことを書いてある企業は少ない．
リスク：BS7799 の式では，リスク＝ビジネスインパクト×発生率まちまち．固有のリスク
リスクとして残っていく財務のリスクを調べることが脆弱性．セキュリティが利便性とのトレードオフと言われているがこれは全く違い．
セキュリティの一つの要件に過ぎない．いろいろなシステムの要件をとる．0 か1というものではない．
ポリシーがないのに対策を行うというのはよくない．免震構造は投資の金額がかかる．免震であるかどうでもよく，地震に耐えられるかどうかが問題．震度 5 に耐えられるものではなかった．

コモンクライテリアでは，Identification, AUthentification．まず，個人識別．操作者権限のランク．カードのみで，個人識別がないものもある．全くのナンセンス．管理者に許可を得て使うようにし，普段は使わないということが必要．

本人確認(authentication)．一般にはパスワード，カード持ってる，バイオメトリックス．
他人受け入れ率
本人拒否率
他人受け入れ率が上がってしまう調節ができる製品がある．信じられない．

スタンダードがない．メーカーが発表したものを信頼しなければならない．
暗号による認証．ネットワークでは相手を認証．パケットについては，鍵の交換とパケットの認証．
クローズドシステム：VPNや閉域接続．
アクセスコントロール
ファイアウォール：米国はファイアウォールを設置しているところで，40% が破られ，70% にセキュリティホール．
メッセージの暗号化

ネットワークセキュリティ技術．ファイアウォール．サーキットゲートウェイというのもあった．

・Packet Filtering
・Application Gateway
管理が大変．知識が必要．
・UDPアプリ対応
・VPN, DMZ 対応

リモートアクセス
ユーザ認証
・PPP

• PAP
• CHAP

・ワンタイムパスワード

• チャレンジレスポンス方式
• カウンタ同期方式
• タイム同期方式

暗号・認証製品
・製品の多様化
・問題点

• インタオペラビリティがなかなか実現できない．
• DES(56bit)をEFFが22 時間で破った(PC, 解読ソフト，64ASIC)
• 2Key3DES(112bit), 3Key3DES(168bit)の輸出規制

PKI
デジタル証明書：公開鍵，所有者情報，CA 情報，CA の署名
認証局(CA)，発行局(IA)，登録局(RA)
証明書失効リスト(CRL)，認証局失効リスト(ARL)
証明書ポリシ(CP)：X.509 V3
認証局運用規定(CPS)： ABA1 "Digital Signature Guideline"
監査基準：
AICPA/CICA "WebTrust Program for CA"
ABA2 "PKI Assesment Guideline" 膨大な資料

侵入検知システム(IDS)
・ネットワークベース
・ホストベース
ファイルの変更検知など

IDS のタイプ

侵入予防システム(IPS)

「通常，シャニングの形で IDS に組み込まれている」

その他のネットワークセキュリティ製品：トレンドは，ASIC 化による高速化，各種機能の統合化

Ⅱ．インターネットセキュリティ監査のポイント
接続，ネットワーク．まず，ポート．調査に行くと，使っていないポートがたくさん開いている．業務上要らないポートは閉める．攻撃方法がわからないものは仕方がないが，既知の物は攻撃される．セグメンテイションを行う．ペリメータをしっかりチェック管理する．ファイアウォール，ルータ，ログ自身のアクセスコントロール

OS，プラットフォール．事務室からサーバにアクセスできるということがよくあるが，システムコンソールについては十分なアクセスコントロールが必要．
ある銀行ではパスワードは暗号化．．．(何言ってんのかわからない)

サービス，アプリケーション．付いてきたもので，不要な CGI は全部消す．

＜記録中断＞(聞きづらくて疲れたし，書いてあることしか話していない)

以上

質疑応答
Q. 一番のレポーティングの形式．
A. 監査において，○×ということはない．やってる，やってないは関係ない．リスクがあるかどうかが基準．特定認証業務．監視カメラはけん制機能と記録機能．死角がないように 24 時間．．．ということよりも，リスクがあるかないかをしっかり把握して対応を決めることが大切．

Q. 監査のオーダーをかけたほうが，リスク分析を行っていない場合には，クライアントには監査人から出すのか，まず，クライアントに作らせるのか．
A. 立場による．内部監査人として会社のシステムを監査する場合は．．．監査人は見つけた問題点を残らず報告すべきだろうと思う．保証型監査は，見ていないコントロールについては知りませんということ．助言型監査は，コンサルと同じ．見つけたものは残らず報告．

Q. PKI のスライドで CP と CPS が電子政府では，一つという話があったが，一冊に書かれているだけで，両方ともある．
A. 誤解されるのでまずいだろう．

Q. 分冊であるべきであるということか？
A. そう思う．RFC 3647 では，内容の目的は違う．雛形として出すのであれば，CP と CPS とは別に出すべきである．官庁はそういうことを意識して出した方が良い．

Q. 日本においては，システム監査，情報セキュリティ監査などがあるが，中堅以下クラスがどこまでやるべきなのか，実施できるお金，体制がない．事例はあるか．
A. Sox 404 条があって内部統制をきちんと，．．．これからますますスキルを持った人が増えてく．

Q. 企業の基準．どこまでやればよいのか．
A. ＜回答が意味不明＞リスク分析をやって，優先順位をつけて，何に投資していくのかを決めていかなければならない．それしかない．

Q. 確認．内部統制とその正しさの代表取締役の宣誓．404 などが財務諸表対象とネットワークセキュリティの関係．コントロールをする場合，リスクについてコントロールを考えると思う．
A. 内部統制は自分自身のために整備すべきもの．一般的には，これでいいというのは難しい．監査人が経営者が内部統制するための整備状況，コントロールがあるかどうか，それが有効に効いているかどうか，それを確認するしか方法がない．今日の監査は IT とは切り離せない．システムと人間の接点がエラーが発生するポイント．監査人のコンピュータを利用した監査でも検査する．システムの周りの業務ありき，システムだけがあるわけではない．

閉会挨拶

須川 賢洋 ネットワーク・セキュリティワークショップ in 越後湯沢実行委員会

2005/10/08 12:05

三日間お疲れ様でした．今年は「今，私について考える」として開催したが，ネットワークの「私」を考えられたのではないかと思う．職場に持って行っていただければと思う．この後，和歌山，南紀白浜 5/18-20 で行われる．10 周年記念．ナイトセッションのダースIT は12月のデジタルフォレンジックで．

中越地震の直後の映像をお目にかけたいと思う．

三日間ありがとうございました．
12:09

中越地震被災直後の記録＜上映＞

以上．