先日、あるミーティングで、長く情報セキュリティの第一線で活躍されている方達と、ネットワークセキュリティーの基本ともいえる境界領域防御の有効性について議論をする機会がありました。標的型攻撃などの最近の攻撃の多くは、従来のワームなどの動作と異なり、ファイアウォールなどの境界領域を突破して、内部ネットワークに直接入ってくるわけですが、このような攻撃に対して、境界領域防御の位置づけを、どのように考えたらよいだろうという議論です。メモを取っていたわけではないので、不正確かもしれませんが、結論は以下のようなものです。

• 　境界領域防御は、即効性があり内部対策の負担の少ない有効な対策である
• 　しかし、昨今の攻撃手法の変化に対しては、内部対策も必要になってきている

 　当然といえば当然ですが、境界領域防御がダメになったわけではなく、境界領域防御だけでは対策ができない攻撃が顕著化しているという事だと思います。単に「境界領域防御の限界」というと、境界領域防御が必要ないというニュアンスでとられてしまうのかもしれませんが、境界領域+αが求められているのだと思います。

　同様の論理的な飛躍が、「出口対策」という言葉の使い方にも見られるように思います。IPAから出ている“「新しいタイプの攻撃」の対策に向けた設計・運用ガイドライン[1]“を根拠として、「出口対策」の必要性だけが強調される事があります。このガイドラインでは「入り口対策（基本的な対策）」をとった上で、そこで防げないものについては、被害が発生・拡大しないように「出口対策」が必要だということを指摘したもので、従来の対策が無力だと言っているわけではありません。当たり前なのですが、「出口対策」だけでは対策になりません。

　なお、このガイドラインでは、ネットワーク対策が中心とされており、PCやサーバーといったホスト対策については、ほとんど触れていません。この点については、ずいぶんと議論させていただいたのですが、ホスト対策は環境依存が大きく、ガイドラインに実効性を持たせることが難しいとの判断になりました。現状では難しいとしても、新しく導入するシステムや、重要性の高いシステムについては、ホストレベルの対策を導入していく事が重要だと考えていますので、次回以降では、こちらのガイドラインでは割愛されているホスト対策についても取り上げていこうと考えています。

まずは現状の確認から始めよう

 　公開セグメントの対策において、以下の二つの視点から現状を確認する。まずは、ログやコンテンツからシステムが置かれている状況を調査し、次にネットワークセキュリティ対策の視点から、必要な対策が取られているか、また、早急に対応すべきところがないかを調査する。

 　ログやコンテンツの確認

①   コンテンツの確認

②   公開サーバーのログの確認

 　セキュリティ対策状況の確認

③   ノードの洗い出し（ホスト、PC、ネットワークデバイスなど）

④   アクセスコントロールの確認

⑤   アカウント（パスワード）の確認

⑥   脆弱性の確認

ログとコンテンツの調査: Log Parser

　ログやコンテンツの確認のための方法は色々とあるのだが、今回は、マイクロソフトが無償で公開しているツールLog Parserを使った調査方法を紹介する。

　Log Parserは、SQLに似た構文を使って、汎用性の高いログ分析を行うことが出来るツール。基本的な入力として、Webサーバーのログ（IIS, W3C, NCSA等）、イベントログ、ファイルシステム、NETMON, CSV, TSVなどが用意されており、出力は、CSV,TSV, XML, グラフ(CHART)、SYSLOGなどが用意されている。入力、出力とも拡張が可能で、たとえばPCAPの分析や、snortのログも扱うことができる。
　Log Parserは、任意のフォルダーで実行できるので、USBメディアや、ネットワーク共有を使って実行出来る点も、使いやすいと考えている。 

Log Parser 2.2 日本語版
http://technet.microsoft.com/ja-jp/scriptcenter/dd919274

 　Log Parserがグラフ（CHART）を出力するためには、”Office 2003 アドイン : Office Web Components”が必要となる。これも合わせてインストールする。なお、OfficeWeb
Componentsには、既知の脆弱性があるので、忘れずにセキュリティ更新も行う。 

Office 2003 アドイン :Office Web Components
http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=7287252C-402E-4F72-97A5-E0FD290D4B76&displaylang=ja

 　Log Parserの使い方は、パラメーターなしでlogparser.exeを実行するとことで確認出来る。詳しく取り上げたいところだが、今回は、コマンドの説明は割愛させていただく。logparser –h EXAMPLES と入力することで、豊富な使用例を見る事も出来るのでこちらも参考にしていただきたい。

　また、洋書ではあるが、”LOGParser Toolkit[2]” という書籍が出版されている。こちらの書籍も大変参考になる。目的に応じた多数の例示があるため、英語が苦手な方でも、理解しやすい内容になっていると思う。このBLOGの中で紹介している使用例も、この書籍で紹介されている使い方をベースとしている。

 　以下、Log Parserを使った分析例をいくつか紹介したい。

イベントログ：システムイベントの推移

　このグラフは、Log Parserを使って イベントログのSystemイベントの総数を日次で集計しグラフ化したもの。3/12にイベントが極端に増えているが、これは東日本大震災の影響による電波時計の停止、停電に備えた電源対策作業が主要なイベントとなっている。この例のように、システムの環境を大局的に見ることに加えて、日時や、イベントの種類、成功・失敗などを使った、詳細な分析を行うこともできる。

　このグラフは、この連載でも取り上げている標的型攻撃の検出にも有効かもしれないと考えている。MVP Open Dayで、MVPの方と標的型攻撃の見つけ方を議論させていただいたのだが、侵入に成功した際に、Active　Directory等の認証サーバーが攻撃されることが多い事から、認証サーバーのSYSTEMイベントの総数の変化が、侵入をみつけるヒントとして有力ではないかという考えの方が少なくなかった。検証を行ったわけではないので効果のほどは分からないが、以下のコマンドを認証サーバーで実施するだけなので簡単なコマンドで分析が行えるので、試してみる価値はあるように思う。もっとも、認証サーバーにOffice Web Componentsを入れるの無理があるので、リモートで実施するか、いったんCSV等に出力して、EXCEL等でグラフ化するのが現実的かもしれない。

グラフを生成したコマンド

ファイルシステム：ファイル拡張子の調査

この表は、試験的に稼働させたIISのinetpub\webroot以下のファイルの拡張子を集計したもの。この例では、’.txt’,　‘xlsx’という公開情報として見つかっている。もちろん、これ等のファイルを公開することもあるのだが、個人情報を含むファイルをうかつにおかれている可能性もある。webroot以下の全てのファイルを確認するのが理想ではあるが、ファイル数が多いと現実的ではないので、このような手法で、確認すべきファイルを絞り込んでいく事も、有効な手法と考えている。

上記集計は、以下のSQL文とコマンドを使って実行している。

このような集計が出たなら、問題となりそうな拡張子を持つファイルを特定する必要がある。Log Parserでは、以下のようなSQL文を��って、特定の拡張子を持つファイルを検索することも出来る。

まとめ

　今回は、ログやコンテンツを調査するためのツールとして、Log Parserを紹介させていただきました。コンテンツの調査については、今回紹介した内容だけでも、試してみる価値があるように思います。

　次回は、Log Parserを使った、ファイルシステム、ログ、イベントログの調査について紹介をする予定です。

一昔前であれば、ウイルス対策ソフトとファイアウォールを導入していればセキュリティの脅威からシステムを守れると考えられていましたが、最近増加している APT (Advanced Persistent Threat)、標的型攻撃の脅威に対しては、これらのソリューションだけでは不十分と感じ、自社のセキュリティ対策を見直している方もいらっしゃるかと思います。例えば、クライアントやサーバーのセキュリティ設定の強化、ネットワーク セキュリティの見直し、マイクロソフト製品であれば Active Directory のグループ ポリシーの見直しといった対策です。

マイクロソフトは、お客様の対策実施を支援する多くのドキュメントとツールを提供しているのですが、あまり知られていないものも多いように思います。このブログでは、その一部を紹介したいと思います。

• Windows Server® 2008 セキュリティ ガイド
  
  Windows Server 2008 を実行するコンピューターのセキュリティを強化する手順と推奨事項について説明しています。このガイドの良いところは、単にセキュリティの設定が書かれているだけでなく、セキュリティ コンプライアンス マネージャーというマイクロソフトが提供する無償のソフトを使ってベストプラクティスのセキュリティ設定を簡単に実現できる方法が書かれていることです。

図1. セキュリティ コンプライアンス マネージャーの設定画面

• Internet Explorer® 8 セキュリティ ガイド
  
  Internet Explorer 8 や Internet Explorer 9 は、SmartScreen フィルターやクロスサイト スクリプト フィルターなど多くのセキュリティ機能を実装しています。最新のセキュリティ更新プログラムを適用していれば、そのまま使っても十分安全なのですが、さらにシステム管理者によってセキュリティ強化をすることができます。例えば、「[ファイル ダウンロードの制限] 設定の有効化」 や 「Temporary Internet Files フォルダーの内容の自動削除」 などです。このガイドには、気を付けるべきポイントと設定方法が書かれています。
   
• MAP (Microsoft Assessment and Planning) ツール
  
  現在の IT インフラストラクチャを評価するツールです。このツールを使うと、ハードウェア評価、インストールされている OS、アプリケーションが確認できるだけでなく、管理されていない隠れた PC やサーバーなども WMI や SSH を通じたポートスキャンを行うことで見つけ出すことができます。勝手にドメインに参加していない脆弱性なサーバーを立てたなどという問題も見つけ出します。

図2. MAP ツールのレポート画面

今回は Windows Server® 2008 セキュリティ ガイド、Internet Explorer® 8 セキュリティ ガイド、MAP (Microsoft Assessment and Planning) ツールについて紹介しました。今後も、よいセキュリティの資料やツールを発掘し紹介していきたいと思います。 

マイクロソフトの無料マルウェア対策ソフト Microsoft Security Essentials (通称 MSE) が 2009 年 9 月に一般にご利用可能になってから早くも丸 2 年が経ちました。

この MSE の次期バージョンのベータ版が今年の年末を目途にご利用可能になる予定で、現在ベータ版を評価していただける方々を募集中です。MSE 次期バージョンのベータ版では、ユーザー操作不要のより強化されたマルウェア駆除、パフォーマンスの改善、より使いやすいシンプルな UI や改善された保護エンジンが搭載されています。

なお、ベータ プログラムにご参加いただける方の数には限りがございますので、ご参加希望の方は、早めにこちらの登録サイトよりサインアップしてください (ご参加いただくには Live ID が必要です)。ご参加が確定した方には、後日ベータ版ダウンロードのご案内が届きます。次期バージョンの MSE をいち早く試してみたい方、是非ご参加ください。

現在の最新版 MSE は Microsoft Security Essentials のサイトから無料でインストール可能です。一般のご家庭はもちろん、PC が 10 台までの小規模ビジネス環境でもお使いいただけます。PC が 10 台以上のビジネス環境へは、Microsoft Forefront 製品 の導入をご検討ください。

[2011/12/6 追記]
MSE 次期バージョンのベータ版がご利用可能になりました。なお、ベータ版をご利用いただく注意点として、MSE ベータ版は英語版のみの提供となり、技術サポートは提供しておりませんので、ご自身の検証環境において、自己責任にてお試しいただけますようお願いします。

みなさんも、友人とのコミュニケーションやプレゼントの応募などにフリーメール (Hotmail や Gmail、Yahoo メールなどの無料 Web メール) を利用していることと思います。

先日「Hotmail: 改良された新セキュリティ機能について」という記事を公開したのですが、その中で、これは使えるなぁーと思った機能があったのでご紹介します。

まず、「エイリアス」機能です。

１ つの Hotmail アカウントで毎年最大 5 つまでのエイリアス (メール アドレス) を作成でき、そのエイリアス宛のメールは別のフォルダーに仕訳されるようになるというものです。

プレゼントの応募などでメール アドレスを提供すると、以後広告メールが届くなど煩わしい場合があるため、これまではいわゆる「捨てアドレス」を別途作成して利用していたのですが、アカウントが複数あることで管理が面倒だな…と感じていました。

エイリアスを利用することで、本当の (メインの) メール アドレスを知らせる必要もなくなり、メール チェックはフォルダーをチェックするだけで済み、アカウントやパスワードを複数持つ必要はありません。

次に「サインインするための一時使用コード」機能です。

これまで、空港やネットカフェなどの公共のコンピューターや友人や親戚のコンピューターを利用する際、パスワードを入力するのに抵抗を感じていました。そんな時、これからは「サインインするための一時使用コード」が使えます。

以下はサインインの際に表示されるスクリーン ショットの一部です。パスワードを入力したくない場合、赤枠で囲んだ「サインインするための一時使用コードを取得します」をクリックします。

事前に登録してある携帯電話のメール アドレスに一時使用コードが送られてくるので、それを入力してサインインすることができます。

他にもスパムや迷惑メールの除去やアカウント回復などのセキュリティ機能について紹介しているので、Hotmail を利用している方はぜひ確認してみてください。

▼ Hotmail: 改良された新セキュリティ機能について

　前回のBLOG更新以降も、新たなセキュリティ事件が次々と報道されています。「どうしてしまったのだろう」と思う一方で、潜在化していた問題が表面化しただけだとも思います。例えば、Verizon社の「2011年度　データ漏洩/侵害　調査報告書[1]」によれば、86%の事案が第三者による発見とされています。つまり、自ら侵入等を発見した例は、わずか14%にすぎません。この調査は、世界的な調査ですが、もしかすると日本では、よりこの傾向が強いのではないかと考えています。
　このように考えるには理由があります。日本におけるセキュリティ対策は、ISMS(Information　Security Management System)、個人情報保護法対策、J-SOX対策など、セキュリティマネージメントを中心に進められてきたと思います。これらの取り組みでは、PDCAの重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実（Fact）に基づいてCheckが実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、技術的なFactの確認が行われていません。これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。
　運用や、受発注に絡んだ「止むを得ない」事情があることもわからないではないですが、どこか表面的な気がしてしまいます。

　さて、本題に戻りましょう。前回は、盗難・紛失対策を行う前に考えるべきことについて紹介させていただきました。今回は、マイクロソフトが社内で実施している対策から、盗難・紛失対策に相当する対策をご紹介します。

ドメイン管理と持ち込み（私物PC等）

　マイクロソフトの社内ネットワークに接続するためには、ドメイン参加する必要がある。PCがドメインに参加すると、自動的にグループポリシーが適用され、既定のセキュリティポリシー（PCの設定）が保証（強制）され、IPsecを使って社内ネットワークに接続をする。この仕組みを使うことで、ドメインに参加していないPCを遮断し、セキュリティポリシーを遵守しているPCだけが、社内ネットワークへの接続できるようになっている。

　具体的な内容については、少々古い内容になるが、「ITショーケース」で紹介しているので、合わせて参照していただきたい[2]。

　私物のPCを持ち込んだ場合は、ドメインに参加しない限り社内ネットワークは利用できない。そして、ドメインに参加した場合は、前述のようにグループポリシーが強制的に適用されることになる。これにより、会社支給のPCであるか、私物のPCであるかに係わらず、社内ネットワークに接続するPCが一定のセキュリティレベルを満たしている事を保証する仕組みになっている。

 　Wireless Networkについても、証明書をベースにした802.1XとIPsecによる保護を行っている。有線LANの場合は、コンプライアンス違反があった場合に、LANの接続ポートを無効にすることで、コンプライアンスに違反したPCを強制的に排除することができるのだが、Wireless Networkの場合は、このような対策ができない。このため、社内ネットワークに接続するための証明書に加えて、Wireless Network接続用の証明書を発行し、コンプライアンス違反があった場合は、この証明書を無効にすることで対処している。

ディスクの暗号化(Bitlocker)

 　ドメインに参加したPCには、Bitlockerによるディスクボリュームの暗号化が強制される。Bitlockerは、Windows Vistaから導入されているディスクボリュームを暗号化する仕組みで、Windows 7からは容易にマルチボリュームの暗号化も行えるようになっている。

　例えば、指紋認証や二要素認証によるユーザー認証を行っているPCであっても、ディスクを取り出して、他のPCに接続することで、認証を回避しデータにアクセスすることが出来てしまう。Bitlockerはこの問題を解決するもので、TPMと暗号を使うことで、ディスクを抜き出して他のPCに接続しても、データを保護することができる。

　Bitlockerで暗号化されたデータは、個人情報保護法に対する経済産業省のガイドラインにおける「高度な暗号化等の秘匿化が施されている場合」に該当すると考えている。一方で、紛失後に、紛失したPCが実際にBitlockerで保護されていたことを確認することは出来ない。このため、マイクロソフトが行っているような、グループポリシーによる強制的にBitlockerを適用する等の方法で、紛失したPCが保護されている事を確実にすることが重要となる。

　具体的なBitlockerの技術的な内容に関しては、以下の技術資料を参照いただきたい。　また、日経BP社のITproに連載をさせて頂いた中で、小野寺がBitlockerの詳細に加えて、グループポリシーを使った鍵管理の運用面についても解説をさせて頂いている。

Bitlocker ドライブ暗号化
http://technet.microsoft.com/ja-jp/windows/aa905065.aspx

ボリューム・レベルの暗号化機能「Bitlocker」の仕組みを知る　Windows Vista Security IN　& OUT
事件と課題から考えるWindows　Vistaのセキュリティ（第4回）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274342/

 　なお、Bitlockerで保護していても、全ての場合にデータが保護されるわけではない。誤ってメールの添付してしまった場合や、P2Pなどで流失した場合にはB itlockerではデータは保護されない。複数のユーザーが利用している場合、他のユーザーからのアクセスも保護することが出来ない。

　これらの脅威については、EFS, RMSという暗号化の仕組みが用意されているので、目的や情報の重要さに応じて、これらを組み合わせて利用する必要がある。

Bitlocker to GoによるUSBメディア等の保護

　Windows 7では、USBメディアに対する暗号化手法として、Bitlocker　to Goが用意されている。Windows Vistaでも、USBメディアをNTFSでフォーマットすることで、Bitlockerを利用することが出来たのだが、メディアを抜く際にマウントを解除しないと、ファイルシステムが壊れる懸念があった。Bitlocker　to Goでは、FATのままで適用できるため、このような懸念は少ない（いずれにしても、マウントを解除してから抜いていただきたい）。

　Bitlocker to Goは、パスワードによる保護と、スマートカードによる保護が選択できる。

　また、マイクロソフトでは実施していないが、グループポリシーを使って、USBメディアにBitlocker to Gで保護されていないリムーバブルメディアへのアクセスを禁止することも出来る。USBメディアの利用が多い場合は、このような運用形態も検討の価値がある。

Directaccessによるドメイン管理

　最後に、DirectAccessによる社外からの接続について紹介する。

　マイクロソフトでは、Windows 7が標準のOSとなってから、DirectAccessという技術を使って、外部からの接続を行うようになっている。以前はVPNを使って社外から社内ネットワークへの接続を行っていたが、クライアントVPNで接続しているPCは、ドメインによる管理ができないため、VPN接続時にセキュリティ設定の確認に時間がかかるなどの課題があった。

　DirectAccessを使った場合、社内ネットワークの外であっても、ドメインに参加した状態が維持できるため、社内ネットワークにある場合と同様にグループポリシーの適用等を行い、セキュリティレベルを保証することが出来る。これにより、出張先や自宅にいても、社内にいる時と同じように社内ネットワークを利用することが可能となっている。

　このようなITの利用形態は、子育てや介護などによるワークスタイルの多様化や、東日本大震災のように出社が難しい状況に対応していく上でも、有効な技術と考えている。