セキュリティ・ポリシーと その実施方法 2001.10.01(MON) 富山大学総合情報処理センター Computing and Network Services Toyama University 高井正三(Shoso Takai) Ⅰ.セキュリティ・ポリシー を策定する前に我々が日常し ていることを整理しよう. 1.緊急事態(不測事態)とその対応 2.不正アクセス,コンピュータ・ウィルス による被害発生など緊急時の連絡体制 3.端末室の入退室管理システムと 記録の採取 4.端末室の防犯カメラと記録, ネットワーク監視 2015/9/30 Computing and Network Services 2 Ⅰ.セキュリティ・ポリシーを策定する前に 我々が日常していることを整理しよう. 5.DHCP情報コンセントの運用 6.無線LANの運用 7.情報システムのセキュリティ管理 8.対外接続 9.ネットワーク・セキュリティ 10.アカウントの管理 2015/9/30 Computing and Network Services 3 1.緊急事態(不測事態)とその対応 ( 1 ) 緊 急 事 態 と は 何 か ? そして,その 緊急事態(不測 事態)にどのように対処するか. (2)その他の緊急対応 (3)バックアップ計画 (4)復旧計画 (5)不測事態計画の文書化 2015/9/30 Computing and Network Services 4 (1)緊急事態とは何か?そして,その緊急事態にどのように対処するか 1)計算機室用空調機の異常停止, 水漏れ 2)ネットワークの異常停止 3)情報システムの異常停止 4)停電 5)盗難 6)不正アクセス 7)火災 8)不法侵入 2015/9/30 Computing and Network Services 5 2.不正アクセス,コンピュータ・ウィルスによる被害発生など 緊急時の連絡体制 2015/9/30 Computing and Network Services 6 3.端末室の入退室管理シス テムと記録の採取 2015/9/30 Computing and Network Services 7 2015/9/30 Computing and Network Services 8 2015/9/30 Computing and Network Services 9 4.端末室の防犯カメラと記 録,ネットワーク監視 防犯カメラの設置 2015/9/30 Computing and Network Services 10 2015/9/30 Computing and Network Services 11 このディジタル ビデオ・システム の背後に カメラ・サーバー を設置して LANに接続して いる 2015/9/30 Computing and Network Services 12 人文学部1F情報処理教育室 2015/9/30 Computing and Network Services 13 附属図書館6F マルチメディア研修室 2015/9/30 Computing and Network Services 14 5.DHCP情報コンセントの運用 プライベート・アドレスの採用 クラスB クラスC 172.16.0.0~172.31.255.255 192.168.0.0~192.168.255.255 NAT(Network Address Translator) 160.26.xxx.yyy 192.168.xxx.yyy Watch GuardⅡ 100Mbpsのスピードを提供 2015/9/30 Computing and Network Services 15 6.無線LANの運用 プライベート・アドレスの採用 クラスC 192.168.0.0~192.168.255.255 NAT(Network Address Translator) 160.26.xxx.yyy 192.168.xxx.yyy Micro FireWall + Air Station 11Mbpsのスピードを共有 附属図書館,経済学部/教育/工学部大講義室 2015/9/30 Computing and Network Services 16 7.情報システムのセキュリティ管理 学務情報システムUniversal Passport センター統合利用者管理システム プリント管理システム PC端末とSambaによるファイル 管理 図書館情報システム 物品管理システム その他の業務情報システム 2015/9/30 Computing and Network Services 17 7.情報システムのセキュリティ管理 ログオン・ユーザIDとパスワードによ るユーザ認証 各業務情報システム毎のユーザIDとパ スワードによるユーザ認証 Webサーバーのセキュリティ・ホールに 対する修正プログラムの適用/バー ジョン・アップ/バグの修正 WebでのSSL(Secure Socket Layer) の使用 (暗号化の採用) 2015/9/30 Computing and Network Services 18 8.対外接続 SINET(FireWallシステム×2台) 地域IX 電話回線(INS1500×3,MAX6000) PHS(PIAFS) DHCP情報コンセント,無線LAN 対策 TTSSH(Tera Term ProのSSH Secure Shell版) 外部からのFTPの禁止 プライベート・アドレスの採用 DMZ(Demilitalized Zone:非武装地帯)の設定 2015/9/30 Computing and Network Services 19 9.ネットワーク・セキュリ ティ (1)ファイア・ウォール・システム (FireWall) (2)経路制御(Routing) (3)ウィルス対策システムVirusWall (4)ネットワーク構成管理システム (What’s Up Gold) (5)不正侵入検知・防衛システム (Cisco Intrusion Detection System) 2015/9/30 Computing and Network Services 20 (1)ファイア・ウォール・システム (FireWall=Cyber Guard) (1) 最 後 は , 「 疑 わ し き は 通 さ な い ( ALL DENY)と設定」する. (2) 既に解っているものについては,明示的 に穴を開ける. (3) 申請ベースで,個々のプロトコル/IPア ドレス/アプリケーション・ポート(実験で 使用するもの)に対して許可(PERMIT)する. (4)telnet(sshのみ)は指定のtelnet gateway 経由とする. 2015/9/30 Computing and Network Services 21 Security Policy (5) rlogin等のr系コマンド(rlogin, rexec, rsh.)は許可しない. (6) ftpは外部からのやり取りは禁止し,内 部からのやり取りのみをサービスする. (7) httpはProxy(内→外)経由とし,外か らは特定のWEBサーバーのIPアドレス指定で PERMITし,サービスする. (8) smtp,nntpはIPアドレス指定(1対1) でPERMITする. 2015/9/30 Computing and Network Services 22 (2)経路制御(Routing) 総てルーティングはスタティック・ ルーティングを実施 ル ー テ ィ ン グ は OSPF(Open Shortest Path First)を使用 IPv6はBGP-4でルーティング を実施 内部はIpv6 over Ipv4 2015/9/30 Computing and Network Services 23 (3)ウィルス対策システムVirusWall ◇設定 現在は内部から外部へ出るとき,内部から内部へ送 るときにこのサーバーを経由するので,Virusを検出 できるが,外部から内部へのメールは量が多すぎて, 現在のサーバーのパワーでは対応が不可能であり,外 部からのメールに対しては何も効力がない. Virus 検 出 用 の ウ ィ ル ス ・ パ タ ー ン ・ フ ァ イ ル (テーブル)は毎日更新している. ◇効果 現在は内部から外部へ出るとき,内部から内部へ送 るときにこのサーバーを経由するので,Code Red Ⅱ やSircamは検出できた.しかしながら,外部から直接 メール・サーバーにメールが届くので危険が大きく, 早急の対策が必要. 2015/9/30 Computing and Network Services 24 (3-2)ウィルス対策システム:教育用端末室PC ◇設定 Norton Anti Virus のキャンパス・ライセンス(PC 1000台分)を所有しているので,その台数分を総合情 報処理センター管理PC端末及びセンター内業務用PC端 末に導入して,管理者のVirus検出用のウィルス・パ ターン・ファイルは毎日更新しているが,利用者PCの ウィルス・パターン・ファイルは定期的(10日間サイ クル)で更新をかけている. ウィルス感染が発見されるとセンター宛に除去した 旨の電子メールが届くようにしている. ◇効果 電子メールの大部分は特定の利用者(自分の感染して いることを知らない学生)からの分であり,効果はあ る. 2015/9/30 Computing and Network Services 25 (3-3) VirusWallを入れて効果を上げている機能 マクロ・ウィルスを含んだ添付ファイルの削除機能 感染メールのアウト・バウンド・ブロック機能 HTTP Trickle機能によるタイムアウト回避機能 ウィルス・パターン・ファイル自動更新機能 不正アプレット・ブロック機能 ウィルス発見時の電子メールでの通知機能 コンテンツ指定スキップ機能 ログ管理機能 添付ファイルの拡張子指定検索 アンチ・サード・パーティ・リレー機能 2015/9/30 Computing and Network Services 26 (4)ネットワーク構成管理システム (What’s Up Gold) 2015/9/30 Computing and Network Services 27 (5)不正侵入検知・防衛システム (Cisco Intrusion Detection System) 2015/9/30 Computing and Network Services 28 IDSシステムの目的 IDSは,ネットワークのパケット・ トラフィックを検査するセンサー 機器を配置し,ソフトウェアに よって分析・監視を行い,ファイ ア・ウォールやルーターに対して 防衛指示を行うシステムで,必要 な場合はルーター/コネクショ ン・セッションを遮断する. 2015/9/30 Computing and Network Services 29 Sensor IDSシステムの構成 ネットワーク上に配置し,ルール・ベースのエンジンを使用 して,膨大な量のIPネットワーク・トラフィックの中から意 味のあるセキュリティ・イベントを抽出し,Directorに転送 する機能を有す他,セキュリティ・データのログ,TCPセッ ションの切断,ルーターのアクセス制御リストの動的な管理 を行って,不正侵入者を排除する機能を有する. Director 集中Graphic Interfaceであり,分散ネットワーク全体にわ た る セ キ ュ リ テ ィ 管 理 に 使 用 す る . こ の 他 , Network Security Databaseへのアクセス,Remote Sensorの監視と管 理,Security Eventが発生した場合のE-mailによる管理者へ の通知機能を有する. Post Office 通信バックボーンで,IDSサービスとホストが相互に通信で きるようにする.通信はコネクション型Protocolによってサ ポートされ,このProtocolは,代替ルート間で切り替えを 行って,Point to Point接続を維持する. 2015/9/30 Computing and Network Services 30 IDSの運用 アラーム発生時のアッタクの確認 定期的なログ解析,アラームの種 類,不正アクセスの分析 対策の考案,検討 システム設定の更新 更新したシステム設定による運用 2015/9/30 Computing and Network Services 31 (6-1)セキュリティ・システム構築の手順 1.要件を明確にする 1.1 システムの目的 1.2 システムの構成 1.3 利用者の構成 1.4 運用・保守体制 1.5 将来計画/拡張計画 2.セキュリティ・システムを構築する 2.1ポリシーの決定 2.2 対策の検討 2.3 対策の評価 2.4 システムの構築 2.5 運用体制の構築 3.セキュリティ・システムを運用管理する 3.1 システム監視,監査 3.2 2.1へフィードバック 2015/9/30 Computing and Network Services 32 (6-2)セキュリティ・システム予防技術 (1)予防技術 ・アカウントの管理 ・アクセス権の管理 (2)監査技術 (3)認証技術 (4)暗号化技術 (5)運用技術 ・監視手法 ・防御手法 ・監査手法 (6)事後処理 ・事後処理技術 2015/9/30 Computing and Network Services 33 10.アカウントの管理 ユーザーID パスワード 2015/9/30 Computing and Network Services 34 ユーザーID (1)IDは1個/人とし,組織IDは可能な限り発行しない (2)センター管轄の総てのユーザーIDは,40台以上の サー バーで重複なし (3)学生用IDは学生通番(8桁)のうち,真ん中6桁に,s, m,dをつけていて,学籍番号とは関連が無く,ユー ザーを同定できないようにしている (4)ユーザーIDは,入学時に登録され,卒業後1か月で 削除している. (5)過年度生については,毎年登録し直し,ホーム・ディ レクトリを過年度生専用ディレクトリに移す .ファイル の移行はしない (6)職員につては,移動後速やかに削除する (7)教官については,移籍後の一定の期間を経て,削除 する 2015/9/30 Computing and Network Services 35 パスワード (1)初期パスワードは変更しないと使用できない (2)長さ6文字以上で英数字を1文字以上を推奨していたが, 現在は制限なし (3)複数のパスワードを極力持たせないようにする(最大 2つまで) (4)メール・サーバー,計算サーバー,コミュニケーション・ サーバー等1つ(NIS) 学務情報システム(Universal Passport)など,学内情報システムに1つ (5)パスワードの有効期限は1年前までは30日間としていた が,現在は制限なし (6)Windows 2000で変更するとサーバーのパスワードも変更 されるように設定 (7)自己管理して,定期的に変更するように推奨 (8)盗難,忘却は自己責任とする 2015/9/30 Computing and Network Services 36 Ⅱ.セキュリティ・ポリシーの 策定とその実施方法 11.使い易さとセキュリティのバランス 12.運用方法(ログの管理,解析と注意/ 処分の実施) 13.インターネット利用ガイドの発行と 周知徹底,ネットワーク利用誓約書の提出 14.記録実行と採取,保存 15.隘路の発見と形骸化した組織の排除 16.教育・研修の徹底と意識の向上 2015/9/30 Computing and Network Services 37 Ⅱ.セキュリティ・ポリシーの策定とその実施方法 17.セキュリティ・ホールなど最新 情報の収集と障害対策の実施 18.予算の確保 19.スタッフの作業分担 20.リスク分析 21.セキュリティ・ポリシーの策定 22.セキュリティ・ポリシーの運用 2015/9/30 Computing and Network Services 38 11.使い易さとセキュリ ティのバランス (1)情報システムの設置目的 (2)運用管理者の使命 (3)利用者サービスの使命 (4)セキュリティ・チェック (5)ユーザー認証,暗号化技術 (6)使い易さとのバランス 2015/9/30 Computing and Network Services 39 12.運用方法(ログの管理,解析と注意/処分の実 施) FireWall , Cisco Secure IDS,その他のログの収集 1日当たりの容量をみて,バックアップ時刻を設定 その他のネットワーク・サーバーのログ収集 ログ解析専用サーバーの設置 定期的なログ解析の実行と不正アッタクの実状調査 不正使用者への呼び出し,注意 現場のデータを採取=証拠として残す ファイル容量違反 公序良俗に反するもの多し 1回目は注意 2回目以降は罰則の適用 違反者への処分(IDの利用停止) 2015/9/30 例年3人程度 ID停止は1週間 Computing and Network Services 40 13.インターネット利用ガ イドの発行と周知徹底,ネッ トワーク利用誓約書の提出 富山大学の例 (1)インターネット利用ガイド (2)ネットワーク利用誓約書への署 名と提出 2015/9/30 Computing and Network Services 41 14.記録実行と採取,保存 (1)業務日誌への記録の励行(稼動記録, 障害記録,対応措置など) (2)サーバーのログの定期採取,分析 (3)ログのアーカイブと大規模保存ファイ ルへの退避,保管 (4)ログ解析の実施と,アタックへの対策 の立案 (5)解析結果を報告書として,セキュリ ティ委員会への提出 2015/9/30 Computing and Network Services 42 15.隘路の発見と形骸化し た組織の排除 (1)セキュリティ管理上の隘路を探す 外部からのftpの使いにくさ (2)形骸化した組織の排除 ○○委員会の構成は必ず学部から均等な人数の委 員が選出される それらの委員は専門性もなければ,勉強もせず, 委員会に出てくる かくして,ちんぷんかんぷんな議論が蔓延 リーダーシップを採れる人は何時も同じ人 2015/9/30 Computing and Network Services 43 16.教育・研修の徹底と 意識の向上 (1)セキュリティ管理意識の向上 教職員・学生のセキュリティ管理教育・研修の定 期的な実施 インターネット利用ガイドや教育訓練プログラム で自習を徹底 セキュリティ管理に貢献したユーザーの表彰,安 全管理意識の啓発 (2)セキュリティ管理は自己責任 2015/9/30 IDの乗っ取りや不正アタックの遭遇は自己責任と いうことを徹底 ただし,セキュリティ・ホールや不正アタック, ウィルスなどの情報は提供 Computing and Network Services 44 17.セキュリティ・ホールなど 最新情報の収集と障害対策の実施 (1)最新情報の収集と通知 セキュリティ・ホールとその対策情報の常時調査 (MLの活用) 不正アクセス情報の収集,影響範囲,対策情報 コンピューター・ウィルス情報,ワクチン,感染 時の対応策 ユーザーへの警告,被害状況の通知 (2)サーバーへの対策の実施 2015/9/30 セキュリティ・ホールに対するパッチの適用 システムのバージョン・アップ Computing and Network Services 45 セキュリティ・ホールに対するパッチ を確実にするポイント セキュリティ・ホールの情報源を押さえる ソフト・ベンダーとのルートえお確保し,素速く確実な情報が手に入る ようにする 「ここをチェックちておけば大丈夫」というWebサイトを見つけておく セキュリティ・ホールの重要度を見極めて迅速に対 処する 稼動させているソフトの種類を把握しておく 優先度の高いシステムから迅速にパッチを適用する パッチを入念に検証するための体制を整える 本番と同様のシステムを準備し,すぐに検証できるようにしておく ベンダーに依頼したり,ツールを使って,パッチの適用状況をチェック する 2015/9/30 Computing and Network Services 46 18.予算の確保 (1)恒常的なセキュリティ対策予算の確保 Anti Virusプログラム・ライセンス料(全学分) システムのバージョン・アップ料金 セキュリティ管理関連雑誌や図書,マニュアルの 購入費 スタッフのセキュリティ管理研修の受講費,旅費 サーバーやハブ等の更新費用 (2)外部委託の費用 セキュリティ管理を保守の一部に盛り込む ネットワーク機器の保守を外部し,監視,解析, 報告を含める 2015/9/30 Computing and Network Services 47 19.スタッフの作業分担 (1)スタッフの確保 情報システムのセキュリティ管理を担当す るスタッフ ネットワーク・セキュリティ管理を担当す るスタッフ システム監査技術を持つ技術者 ネットワーク管理技術者 2015/9/30 Computing and Network Services 48 (2)作業分担と技術の習得 ・既存の組織で,限られたスタッフで作業を 分担 ・定期的なログ解析や最新技術の勉強会 ・雑誌やセキュリティ管理関係論文の輪読会 ・セミナーや研修会への出席と勉強 ・技術の共有を図るシステムを確保し,必 ず2名以上が分担できるようにする 2015/9/30 Computing and Network Services 49 20.リスク分析 (1)セキュリティ・リスク (2)情報資産とは (3)セキュリティ・レベル (4)情報資産の調査 (5)リスク評価 (6)リスクに対する対策 (7)リスク分析のプロセス 2015/9/30 Computing and Network Services 50 (1)セキュリティ・リスク セキュリティ・リスク(Security Risk)とは, 情報化に伴うビジネス・リスクで,インター ネットから受ける様々な攻撃,脅威が現実化 したときに,営業損失や社会的信用失墜とい うビジネス損失を被るなどのリスクを指す. 大学では,情報資産の漏洩,窃盗,改ざん等 により社会的信用の失墜やプライバシー侵害, 行政事務の執行妨害を及ぼすような脅威さら されるリスクを指す. 2015/9/30 Computing and Network Services 51 (2)情報資産とは 1)情報・・・ ホームページ,メール,事務文書,学生・教職員 の個人情報 (記録媒体:MT,HDD,FD,CD-R,等も含む) 2)情報システムのハードウェア・ソフトウェア (コンピューター,ネットワーク・システムなど) 3)情報システムの管理情報(各種設定値) 2015/9/30 Computing and Network Services 52 (3)セキュリティ・レベル 重要性Ⅰ:セキュリティ侵害が,国民の生命, 財産,プライバシー等へ重大な影響を及ぼす (研究・教育活動が麻痺するほどの影響を及ぼす) 重要性Ⅱ:セキュリティ侵害が,行政事務の 執行に重大な影響を及ぼす. (研究・教育環境への重大な影響を及ぼす) 重要性Ⅲ:セキュリティ侵害が,行政事務の 執行に軽微な影響を及ぼす. (研究・教育環境への軽微な影響を及ぼす) 重要性Ⅳ:セキュリティ侵害が,行政事務の 執行に殆ど影響を及ぼさない. (研究・教育環境への殆ど影響を及ぼさない) 2015/9/30 Computing and Network Services 53 (4)情報資産の調査 情報がどこにあり,だれが管理し,ど のような状況で扱われているか調査す る. 情報資産の重要性は,機密性,完全性, 可用性に基づき,セキュリティ・レベ ルを設定する. 大学は純粋なリスク 2015/9/30 Computing and Network Services 54 (5)リスク評価 情報資産を取り巻く物理的,技術的, 人的環境における脅威を調べる 情報資産が直面する脅威の発生頻度, 発生時の被害の大きさを調べる A.かなりの頻度で発生する B.時々発生する C.偶発的に発生する D.殆ど発生しない 2015/9/30 Computing and Network Services 55 (6)リスクに対する対策 リスクの被害の大きさを低減させる方 法 リスクの発生頻度を小さくして,リス クの大きさを低減させる方法 リスクの被害の大きさと発生頻度の両 方を小さくして,リスクの大きさを低 減させる方法 2015/9/30 Computing and Network Services 56 (7)リスク分析のプロセス 2015/9/30 Computing and Network Services 57 21.セキュリティ・ポリ シーの策定 セキュリティ・ポリシーの構成 1 ) 基 本 ポ リ シ ー ( Elementary Policy) ・・・方針 2 ) ス タ ン ダ ー ド ( Standard : 標準)・・・・・規約 3 ) プ ロ シ ー ジ ャ ー ( Procedure : 手順)・・・具体的な操作マニュアル 2015/9/30 Computing and Network Services 58 (1)基本ポリシーの構成 経営者の情報セキュリティ管理 に関する基本方針を宣言したも の 規定と言うよりは宣言書,声明 書の形式で記載する 2015/9/30 Computing and Network Services 59 基本ポリシーの記載項目例 1. 基本方針(目的) 2. セキュリティ・ポリシーの定義と役割 3. セキュリティ・ポリシーの適用範囲 4. セキュリティ・ポリシーの構成 5. セキュリティ・ポリシーの管理体制と 責任 6. セキュリティ・ポリシーの教育管理体 制 2015/9/30 Computing and Network Services 60 基本ポリシーの記載項目例 7. 業務継続計画 8. 遵守義務と罰則 1. 2. セキュリティ・ポリシーの遵守事項や履 行すべき義務を明確化 セキュリティ・ポリシー違反に対して罰 則規定を設けることを宣言する 9. 例外事項 2015/9/30 Computing and Network Services 61 (2)スタンダード (Standard:標準) スタンダードは,基本ポリシーに記載 された情報セキュリティ管理方針に基 づき,セキュリティ管理責任を具体的 に割り当てるものであり,遵守すべき セキュリティ規定項目について具体的 に記載するもの. 2015/9/30 Computing and Network Services 62 スタンダードの記載項目例 1.スタンダードの目的 2.スタンダードの適用範囲 3.セキュリティ管理責任 4.基本ポリシー及びプロシージャー との関係 5.セキュリティ項目の規定 6.関連ドキュメント 7.変更履歴 2015/9/30 Computing and Network Services 63 (3)プロシージャprocedure 組織の特性や業務特性に応じた 部門や業務個別の規定書 プロシージャ(手順書) プロダクト・ポリシー 運用規定 =>詳細に記述したマニュアル 2015/9/30 Computing and Network Services 64 22.セキュリティ・ポリシーの運用 (1) 運用組織 情報セキュリティ委員会のメンバー 情報セキュリティ管理最高責任者 (CISO:Chief Information Security Officer) 情報セキュリティ詳しい副学長/副学長補佐(IT担当) 法律部門責任者 法規部門の事務官 総務部門責任者 2015/9/30 総務部長/総務課長 Computing and Network Services 65 ・情報システム技術者 事務系の情報処理担当係長クラス 情報システム運用担当事務官 情報システム運用技術者(ネットワーク・ セキュリティに詳しい技術者) セキュリティ監査技術者 監査資格/能力をもつ情報関係のベテラン 利用者代表(利用部門責任者) 大学(教員系2,技術系1,事務系2, 学生代表2) 企業(各部門) 2015/9/30 Computing and Network Services 66 (2)セキュリティ・ポリ シー策定スケジュール リスク分析,セキュリティ・ポリシー策 定 ・・・・・4か月 システム実装,管理体制,マニュアル等の整 備 ・・・3か月 ポリシー教育,運用評価,見直し・・・3か月 2015/9/30 Computing and Network Services 67 (3)セキュリティ・ポリ シー策定チームの編成作業 委員会型プロジェクト 企業・大学などで作るプロジェクトで,配 下にWGを作って原案を作成(ワースト) タスクフォース型プロジェクト 通常のプロジェクト形式(ベスト) 常設組織の新設 2015/9/30 情報セキュリティ管理室(Not Good) Computing and Network Services 68 (4)セキュリティ・ポリシー実装手順 2015/9/30 Computing and Network Services 69 セキュリティ・ポリシーの実装組織 2015/9/30 Computing and Network Services 70 (5)セキュリティ・ポリ シーの評価と承認 ポリシーをプロジェクトでレビュー 外部評価を得て, 社長(学長),経営会議(運営会議)の承 認を得る セキュリティ管理システムに移す セキュリティ管理システムを起動して セキュリティ管理を実施する 研修(セキュリティ教育)など・・・ 2015/9/30 Computing and Network Services 71 ご静聴ありがとうございました セキュリティポリシーとその実施方法 2001.10.01(MON) 富山大学総合情報処理センター Computing and Network Services Toyama University 高井正三(Shoso Takai)
© Copyright 2024 ExpyDoc