ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
2020年に新卒入社し、現在に至るまで脆弱性診断やペネトレーションテストを主に担当。技術分野以外にも営業、コンサルティングなど幅広い業務に従事。ユービーセキュアの部活動では「日本伝統文化部」に所属し、日本文化を学びながら楽しい日々を過ごしている。
石塚さんこんにちは!今日のテーマは「プラットフォーム診断の準備」ですね。プラットフォーム診断の重要性については、前にじっくり教わったミア。いや~あのときは怖かったミア!
石塚さん
そんなに怖がらなくても、きちんと対策していれば大丈夫ですよ(笑)。プラットフォーム診断は、顧客からの信頼損失を防ぐだけでなく、安全な企業活動を営むために必要不可欠な手段です。ネットワークやシステム基盤の安全性を網羅的に評価することにより、不正アクセスなどの脅威リスクを軽減できます。
重要な診断だから、きっと準備もすご~く大事ミア。
石塚さん
だいぶセキュリティのことがわかってきましたね!プラットフォーム診断の事前準備には、対象機器の明確化が必要ですし、診断実施によるビジネスへの影響も考慮する必要があります。適切な事前準備を行うことで、システムのセキュリティリスクを低減し、安全なプラットフォームを実現しましょう!
石塚さん
まずは、プラットフォーム診断を行うための基本的なフローと方法を詳しく見ていきましょう。
石塚さん
診断を行う前に、目的と範囲を明確にします。例えば診断を実施する目的は、「新たにネットワーク基盤を構築した際に、安全にリリースするために診断を行う」、「社内規定や国際的なセキュリティ基準に則るために定期的に外部公開システムへの診断を行う」など多岐にわたります。
まず、「どのような問題を特定したいか」などの目的を明確にしたうえで、その目的に沿って、所有しているサーバー群やネットワーク機器から診断対象を選定しましょう。
また、診断によって、システム障害やデータ破損などが発生する可能性もあります。ビジネスへの影響を最小化するためには、データのバックアップや人員の確保などをして備える必要があります。
セキュリティベンダーは、事前準備で用意した情報を基に診断を実施します。対象機器にアクセスし、サービスの稼働状況やバージョンなどの基本的な情報に加え、稼働サービスの設定確認やSSL/TLS調査などといった、セキュリティ上の問題となる脆弱性を特定するための詳細な調査が行われます。
診断結果を基に、発見された脆弱性、確認方法と推奨される改善策を含む報告書とともに報告を受けます。報告書は、技術チームだけでなく、専門知識を持たない経営層にも理解できる形で作成されることもあります。
報告書の推奨事項に基づき、問題点の修正を計画し、対処していきます。対処完了後、再度セキュリティベンダーにて診断を行うことで、「問題が解決している」状況を確認することもできます。
なるほど。事前準備ではまず「目的と範囲をはっきりさせる」と、それによって「診断対象の選定」がしやすくなるミア。目的と範囲がはっきりしていることで「データのバックアップや人員の確保」にも納得しながら取り組めて、スムーズに進みそうミア!
石塚さん
そういうことなんです!「目的と範囲」はとても重要なポイントなんですよ。
社内の準備は万端でも、サービスベンダーさんとうまく連携できていないと診断を実施するときに困りそう……。どのベンダーさんに診断を実施してもらうか、チェックするべきポイントを教えてほしいミア。
石塚さん
そうですね。ベンダーを探す際には以下のような内容を重視するとよいかもしれません。
たしかに、報告書の作り方が上手で、わかりやすいベンダーさんなら信頼できそうミア!それにサポートの手厚さや実績も見逃せない……お値段だけで決めずに、じっくり検討するミア💰️
いろいろ大事なことがわかってきたところで、プラットフォーム診断の準備について、もう少し具体的に教えてほしいミア。
石塚さん
わかりました。プラットフォーム診断の事前準備には、対象機器の明確化、IPアドレスリストの準備など多くの要素が含まれます。一つずつ見ていきましょう。
プラットフォーム診断を行うためには、まず対象となる機器を明確にする必要があります。例えば、診断の目的が「新規構築した外部公開システムを安全にリリースするため」であれば、その「外部公開予定のシステムで利用している機器」を診断対象とするなど、目的に沿って診断対象機器を選定し、確定します。
また、正確にリスクを把握するためには「本番稼働中の機器」を対象とすることが望ましいとされています。ただし、対象機器が特に重要な役割を持つ場合や負荷に弱い場合は、影響を避けるため「本番稼働中の機器と同構成である開発環境、もしくは検証環境」にて実施したほうがよいとされています。
対象機器のIPアドレスをすべてリストアップし、セキュリティベンダーに連携します。診断実施者が正確に診断対象機器を認識できていないと、想定外の対象へ診断行為を行ってしまい、トラブルが生じる可能性があります。また、動的IPアドレスを使用している場合や、IPアドレスを設定していない場合は、FQDN(Fully Qualified Domain Name/完全修飾ドメイン名、絶対ドメイン名:各階層を省略せずにすべて指定したドメイン名) にて診断を実施するため、FQDNをIPアドレスリストに含める必要があります。
社内の体制を整備することも重要です。診断を実施した際にセキュリティ機器によって診断行為が攻撃行為だと認識され、通信が遮断される可能性があります。通信が遮断されてしまうと、対象システムを正しく評価できず、診断を中断せざるを得ない場合もあります。そこで、セキュリティ機器の設定を通信が遮断されないように変更する必要があります。
また、診断によりシステム障害やデータ破損などが発生する可能性もあります。影響を最小化するために、事前にシステムのバックアップを作成しておくことや、復旧作業のための人員を確保するなど、万が一の事態に備える必要があります。
クラウドネイティブの時代を迎え、近年多くの企業で物理環境からクラウド環境への移行が進んでいます。利用するクラウドサービスによって、サービス利用者とサービス事業者の責任範囲が大きく異なるため、責任範囲を正しく理解したうえで診断を実施する必要があります。
またクラウドサービスによっては、診断行為を禁止している場合もあります。診断実施の際は、サービス事業者へ事前に実施可否を確認する必要があります。
プラットフォーム診断はさまざまなところに影響する可能性があるミア。それを考慮して、しっかり準備を進めなきゃ……!
石塚さん
そうなんです。特に、対象の明確化や体制の整備などの事前準備が、プラットフォーム診断を成功させるための鍵をにぎります。
日々新たな脆弱性が発見され、サイバー攻撃の事件が多発している中で、安全な企業活動を営むためにはプラットフォーム診断は必要不可欠です。対象システムの明確化から始まり、診断実施と報告、そして問題の修正に至るまで、多くのステップが含まれていることは一見面倒にも思えますが、これを定期的に実施することで、常に安全なプラットフォームを保てるんですよ。
学問に近道なし、セキュリティにも近道なしミア!今日はいろいろ教えてくれてありがとミア!
石塚さん
みなさんも適切な事前準備を行って、システムのセキュリティリスクを低減し、安全なプラットフォームを実現してくださいね。