BYOD、クラウドコンピューティング、ビッグデータが溢れる時代においても、アプリケーションは企業の情報セキュリティにとって無視できない危険地帯であり、アプリケーションはオフィス、ビジネス、プロセス、データにとって必要不可欠なものです。したがって、すべてのシステム管理者は、アプリケーションとそのセキュリティを管理することを最優先すべきです。アプリケーションは、アプリケーションセキュリティの設定、非標準のディレクトリやポートへのアプリケーションのインス トール、アプリケーションのロックダウン、P2P サービスのセキュリティ確保、アプリケーションプログラマのコードセ キュリティの確保など、8 つの主要な側面によって、多角的かつ体系的に管理することができます。
1.アプリケーションの安全な設定
アプリケーションは、ベンダーが推奨するセキュリティ設定で構成する必要があります。エクスプロイトの攻撃を受ける最も一般的なWindowsアプリケーションは、Microsoft Outlook(Express言語)、Internet Explorer、Microsoft Officeスイートの3つです。これらのアプリケーションは、エンドユーザのワークステーションに存在し、ユーザが業務を遂行するために必要なものですが、組織のサーバに存在するものではありません。サーバーに高いセキュリティが必要な場合は、これらのアプリケーションを削除してください。電子メールクライアントやMicrosoft Officeは、一般的な脆弱性攻撃のリスクがあるため、サーバーにインストールすべきではありません。
エンドユーザー PC 環境では、アプリケーションを保持すると同時にリスクを最小限に抑えることができます。定期的なアップデートによってセキュリティパッチを適用し、より高いセキュリティレベルが利用できない場合は、ベンダーの推奨する設定に確実に構成することによって、これを行うことができます。OutlookとOutlook Expressの両方は、セキュリティゾーンの設定に独自の制限を持つ必要があります。 Internet Explorerのインターネットゾーンは、中-高または高に設定する必要があります。Officeには、システムポリシーまたはグループポリシーを使用して構成および展開できる管理テンプレートが用意されています。これらはマイクロソフトのウェブサイトからダウンロードするか、Office Resource Kitにあります。
他のアプリケーションでは、デフォルトのセキュリティ設定が使用されていることが多いので、ベンダーのテクニカルサポートリソースを訪問して、利用可能なセキュリティオプションについて詳しく知ることができます。残念ながら、多くのソフトウェアベンダーはセキュリティに真剣に取り組んでいません。この時こそ、この記事で学んだ概念と実践を使う時であり、また、調査をする必要があるかもしれません。アプリケーション固有の脆弱性が知られるようになると、通常、一般的なセキュリティウェブサイトやメーリングリストに掲載さ れます。最も多くの脆弱性情報を含むサイトの一つは、SANS (www.sans.org)です。 SANS は、Windows、Unix、Linux、Macintosh、FreeBSD など、事実上すべてのオペレーティングシステムのプラットフォームに影響する脆弱性のリストを毎週発行しています。
2.電子メールの保護
電子メールワームは、コンピュータシステム、特にOutlookやOutlook Expressが動作するWindowsシステムにとって、依然として最大の脅威です。ほとんどのワームは、ファイルの添付ファイルとして、またはエンドユーザーが実行する埋め込みスクリプトとしてやってきます。もちろん、電子メールを保護することで、ネットワークにワームが侵入するリスクを大幅に減らすことができます。そのためには、HTMLコンテンツを無効にし、悪意のある可能性のある添付ファイルをブロックする必要があります。
プレーンテキスト以外のメールは、悪意を持ってコンピュータを攻撃するために使用される可能性があります。このため、メールをプレーンテキストのみに制限するか、プレーンテキスト以外のメールを使用しなければならない場合は、プレーンなHTMLコーディングのみを使用することが非常に重要です。スクリプト言語や、ActiveXコントロール、Java、VBScriptオブジェクトなどのアクティブコンテンツを無効にする必要があります。これは、メールクライアントのチェックボックスをオンにして、すべての受信メールをプレーンテキスト形式でレンダリングするようにするだけです。OutlookとOutlook Expressでは、インターネットにアクセスできない場所で電子メールメッセージのアクティブコンテンツを開くことができます。これは、マイクロソフトの最新のメールクライアントのデフォルト設定です。以前のクライアントはもっと甘く、インターネットの安全な領域で電子メールを開くことを許可していました。
アクティブコンテンツの実行を止めることができれば、エンドユーザーが悪意のあるHTMLリンクをクリックしたり、添付ファイルを開いたりすることを心配する必要がなくなります。ユーザーがすでにインターネットにアクセスしている場合、悪意のあるHTMLリンクをクリックするのを阻止するのは困難です。Windows環境であれば、グループポリシーやInternet Explorer Administration Toolkit、あるいは他のタイプのプロキシサーバフィルタを使用して、エンドユーザが事前に承認したサイトへのアクセスのみを許可することができますが、それ以外はエンドユーザの教育程度に頼るしかありません。
3.危険なファイルタイプのブロック
危険なファイルの添付をブロックすることは、攻撃を防ぐ最善の方法であり、現在の電子メールウイルスやワームを標的にする方法として推奨されています。大きな疑問は、"危険なファイルタイプとは何か "ということです。 実際には、ほとんどすべてのファイルタイプが悪意を持って使用される可能性があり、より良い質問は、"一般的に使用される悪意のあるファイルタイプは何ですか?" です。表1は、これらのファイルタイプを媒介とする一般的な攻撃を懸念する組織によって、一般的にブロックされているさまざまなWindowsファイルタイプを示しています。これらは、一般的な電子メールサーバーのブロックリストです。リストは小さくありません。
4.Outlookファイルの添付ファイルをブロック
毎秒2,520,000通の電子メール
1日あたり264,600,000,000通の電子メール
年間81,000,000,000,000メール
スパムフィルタリングサービスを利用していても、一部の悪意のあるメールは網をすり抜けてしまいます。必要であれば、ブロックされた添付ファイルの配布をチェックできるようにすることで、隔離に送ることを許可することができます。または、信頼できないファイルを開けないように信頼できるユーザーを、最も熟練したユーザーに選択させ、自分の裁量でブロックされたファイル機能のオンとオフを切り替えることもできます。
電子メールのセキュリティは、今日の環境では非常に重要です。悪意のあるHTMLコンテンツをブロックし、潜在的に危険な添付ファイルをブロックすることで、組織のセキュリティを大幅に向上させることができます。
5.標準以外のディレクトリやポートへのアプリケーションのインストール
多くの悪意あるプログラムは、ほとんどの人がデフォルトのディレクトリとデフォルトのポートにプログラムをインストールするという事実を利用しています。非標準のディレクトリにプログラムをインストールし、非標準のポートを使うように指示することで、脆弱性のリスクを大幅に減らすことができます。Unix や Linux の脆弱性の多くは、/ etc ディレクトリに依存しています。インストールフォルダを / etc 以外のディレクトリに変更するだけで、悪意のある攻撃が成功するリスクを大幅に減らすことができます。同様に、Microsoft Office を C:¥Program Files¥Microsoft Office ディレクトリにインストールするのではなく、C:¥Program Files¥MSOffice ディレクトリにカスタムインストールすることを検討してください。Windows をデフォルトの C:¥Program Files¥Microsoft Office ディレクトリーにインストールするのではなく、C:¥Program Files¥MSOffice ディレクトリーにカスタムインストールすることを検討してください。デフォルトの設定を1文字でも変更すると、多くの自動化された攻撃ツールが無効になります。
アプリケーションが TCP/IP ポートを開いて使用する場合、デフォルト以外のポートに接続できるか確認してください。例えば、エクストラネット上にウェブサイトがある場合、80 番ポート以外のポートに接続するために、クライアントにブラウザで以下の構文を使うように指示することを検討してください:
http://...:X
ここでのXは新しいポート番号です。例
http://...:01
多くのネットワーク攻撃はポート80のウェブサーバーしかチェックしないので、この変更はそのような攻撃を防ぐことができます。
6.アプリケーションのロック
どのような環境においても最大のリスクの1つは、エンドユーザーが好きなソフトウェアをすべてインストールして実行できることです。エンドユーザーがデスクトップ上でプログラムを実行できるかどうかを制限するために利用できるツールは数多くあります。Windowsでは、システム管理者は新しいアプリケーションのインストールを禁止したり、ユーザーから実行コマンドを奪ったり、デスクトップを厳しく制限したりするシステムポリシーを設定することができます。また、Windowsにはソフトウェア制限ポリシーと呼ばれる機能があり、システム管理者は特定のコンピュータ上で実行を許可するソフトウェアを指定することができます。アプリケーションは、信頼できるデジタル証明書、ハッシュ計算、インターネットセキュリティゾーン内の場所、パスの場所、ファイルの種類によって定義し、許可することができます。
7.安全なP2Pサービスの確保
インスタントメッセージングや音楽共有などのピアツーピア・アプリケーションは、今後も攻撃の強力な標的であり続ける可能性が高いです。というのも、P2Pアプリケーションのセキュリティは、あったとしても非常に限定的であり、管理者の承認なしに企業環境にインストールされることが多いからです。また、P2Pアプリケーションの目的はエンドユーザのコンピュータにアクセスすることであるため、ファイルの窃取が非常に容易になります。その結果、P2P アプリケーションは、保護と管理が必要な合法的なサービスというよりも、むしろ迷惑なものと見なされるようになってきています。しかし、P2P アプリケーションを管理し、そのセキュリティ上の影響を最小限に抑えるためにできる対策はいくつかあります。
まず、P2Pアプリケーションが企業環境で認識されていない場合は、それを根絶します。まずはエンドユーザーを教育し、経営陣と協力して未承認のソフトウェアを使用した場合の罰則を定めます。次に、プログラムを追跡し、削除します。追跡とは、ファイアウォールのログで既知のP2Pポートを監視したり、ローカルネットワークでIDSデバイスを使ってP2Pパケットをスニッフしたり、P2P監査ソフトウェアを使ったりすることです。
次に、ファイアウォールがP2Pトラフィックを明示的にブロックするように設定されていることを確認してください。P2Pソフトは80番ポートをプロキシポートとして使用することが多いため、ポート番号で個別にP2Pトラフィックをブロックすることは困難ですが、できることはいくつかあります。P2Pクライアントが特定のIPアドレスや特定のドメインのサーバに接続する場合、ファイアウォールで接続先をブロックすることができます。ファイアウォールの中には、* irc* や * kaz* のように、ワイルドカードを使ってドメインをブロックできるものもあります。
最後に、エンドユーザーがP2Pの使用を主張し、管理者が承認した場合、可能であれば、より安全なP2Pアプリケーションを使用するように主張してください。例えば、エンドユーザーがAOLのインスタントメッセージクライアントをどうしても使いたいと言うのであれば、管理者がAOLのエンタープライズインスタントメッセージクライアントに変更できるかどうか確認してください。無料ではありませんが、より安全です。セキュアな企業向けインスタントメッセージクライアントは何十種類もあり、どれもセキュリティが強化されています。最後に、デスクトップのウイルス対策スキャナがP2Pトラフィックをチェックすることを確認してください。
8.アプリケーションコーディングのセキュリティ保護
IIS Lockdown ツールは、IIS を実行しているすべてのシステムに実装する必要があります。このツールは、さまざまなウェブサーバーの役割に特化したテンプレートを設計することで機能します。セキュリティテンプレートは、不要な機能をオフにし、不要なファイルを削除し、多くの一般的な悪意のある URL 攻撃をフィルタリングする URLScan をインストールします。インストールが IIS サーバーに悪影響を及ぼす場合は、簡単にアンインストールして元の設定に戻すことができます。
