- 「セキュリティ」という分野は破茶滅茶に広いが、この文書ではサイバーセキュリティ(主にコンピュータのソフトウェア、ネットワークを中心としたセキュリティ)について述べる
- セキュリティ対策は大別すると「防止」と「検出・対応」になる
- 定義は規格や人によってブレるがそれぞれが大きくずれているわけではない
- 例えばNISTのサイバーセキュリティフレームワークではでは「識別」「防御」「検知」「対応」「復旧」の5つに分類されている
- 防止:予防・抑止に分かれる
- 予防:あらかじめ脆弱性をなる部分を潰しておいて攻撃されても被害がでないようにする対策
- 抑止:攻撃者を牽制して攻撃をさせないようにする対策。サイバーセキュリティだと個人や一組織でできる対策はあまり多くない
- 検出と対応(あるいは復旧)
- 検出:セキュリティに影響があると思われる事象を見つけるための対策
- 対応:セキュリティ上影響を及ぼす事象が確定した場合に影響範囲を把握し、被害を極小化する。さらには事後報告や法執行機関
- 「検出・対応」の対策はそれぞれが密接に絡み合っているものが多い。
- また、検出と対応ははっきりとした区切りがあるわけではなく、現実には徐々に対応へと移行していくイメージになる
- セキュリティ侵害の可能性がある事象が検出されても、それが誤検知であったり、実際には影響のない事象の可能性もあるので調査が必要
- この調査は一部のセキュリティ侵害が確定しても、影響範囲などを改めて把握するために継続することになる
- よってここで説明する「監視」は検出を中心とするが、一部対応の話も含む
- 定義は規格や人によってブレるがそれぞれが大きくずれているわけではない
- 防御は完璧ではないことが近年知られている
- 0 day 攻撃
- 脆弱性公表から攻撃が発生するまでの時間の短縮
- 人間を騙す攻撃
セキュリティ侵害を事前に防ぐ「防止」は高めるほどトレードオフが厳しくなる
- 「防止」の方が安心感はあるが、現実には防止だけに頼ると運用のコストが無視できなくなってくる
- 最も導入が簡単な防止(予防)策のは「できることを制限する」こと
- アクセスできるリソースの種類を制限する
- アクセスできるネットワークを限定する
- アクセスできる人を制限する
- チェックを厳しくする
- これは導入は楽だが運用のコストは少なくない
- はじめる分には「やるぞ!」と言うだけ
- 実際には完全な定型業務でない限り不便が発生しがち。利便性の低下
- 事業の視点で言えばビジネスのスピードを低下させる
- 制限できるものを管理するためのコストも考える必要がある
- 対象となるリソースや人、組織は常に入れ替わるのでルールなどを継続的に見直さないといけない
- strictなルールを運用すればするほど複雑化して大変なだけではなくミスも発生しがち
- 検出を絡めたほうがトータルのコストは安くなりがち
- 問題が発生したときにそれを発見し、速やかに対応に繋げられる体制を整えておく
- そのためセキュリティ対策は防止と検出を両輪で考え、実装できるとバランスが良くなりやすい
詳しくはBruce Schneier先生の「セキュリティはなぜやぶられたのか」を読んでくれよな