まっちゃ139勉強会に参加してきたよ

セキュリティ

この記事は blog.polyomino.jp で掲載していた内容のコピーです.

2017年4月23日に行われたまっちゃ139勉強会に参加してきました.

今回の勉強会では『プロが教える情報セキュリティの鉄則ーー守り・防ぐ・戦う科学』を執筆された日本マイクロソフトの香山さんのお話がありました.

お話の内容は Active Directory や 情報セキュリティ についてでした.

香山さんは,初めに Active Directory について知っていいるのか会場全体に投げかけられました.参加者の80%程度が既に知っているという状況でした.

ここで私は,「もしかして,参加したらまずかったのでは?」と思いました.しかし,「そもそも Active Directory とは?」というところから始まり,Active Directory を知らない(使わない)人にも役立つ話もあったので,参加して良かったという感じです.

ではここからは内容 (発表の内容と後で調べた内容を混ぜて書いているから執筆の過程で間違いがあるかも)

Active Directory とは?

Active Directory (アクティブディレクトリ) とはマイクロソフトによって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称である。(Wikipediaより)

香山さんは Why What How で整理して説明されていました.

Active Directory を Why What How で整理

  • Why ビジネス上の目標
    • 組織の情報資産を安全に共有し生産性を高めたい,そのために適切なアクセス制御をしたい
  • What 実現内容(テーマ)
    • 社員(あるいは職員,メンバー)であることを確認すること
  • How 実施方法(やり方)
    • 組織内のユーザーを一元的にディレクトリに登録し,ユーザーIDと本人しか知らない・持たない情報をもとに本人を確認し,その人の権限・役割に応じて情報にアクセスできるようにする
    • クライアント端末の構成は組織のルールが徹底できるようにする.

(以上香山さんのスライドから引用)

電話で例えるならこんな感じ.今まで電話帳をそれぞれの電話で管理していたけど,新しいメンバーが追加されたらすべての電話に追加しないといけない.もし,電話の親機が一つで その他は子機ならば,電話帳一つで管理できるよね.もし新しいメンバーが追加されても,その電話帳に一つユーザーを追加すれば簡単にできる.
という具合です.

大雑把にいうと「ユーザーの管理をまとめてしてしまおう」っていう感じです.

Active Directoryを使うと何が良いのか

Active Directory に参加するためには,各パソコンでドメイン参加処理が必要です.そのため,ドメイン参加していないパソコン(持ち込みPCなど)を見分けることができます.

また,アカウントの管理も容易にすることができます.Wi-Fi のパスワードによって,アクセスの許可/拒否などをしている場合,退職した社員がそのネットワークにアクセスする可能性もあります.Active Directoryによって管理していれば,退職した社員の管理も容易です.

ここからはセキュリティの話

情報セキュリティとは

情報セキュリティとは,「機密性」「完全性」「可用性」のことです. - 機密性(Confidential)
許可されていない人に情報を公開しない - 完全性(Integrity)
情報の正確さ及び完全さを保護する - 可用性(Availability)
許可されている人が要求したときにアクセス及び利用が可能

もととなった英単語の意味も知っておきましょうとのこと. - Confidential
〈人が〉信任の厚い,腹心の. - Integrity
高潔,誠実,清廉.

(weblioより)

多くの会社は,セキュリティの対策として,入り口対策(侵入されないようにする)と出口対策(万が一侵入されても情報が漏洩しないようにする)という対策を取っているそうです.言い換えると,入り口でも出口でもない領域は見過ごされる傾向があります.

当然,内部で感染が拡大しないようにする対策も重要です.

メールについて

近年,メールの誤送信が度々話題になります.

これを防ぐ方法として次のような方法があります. - 送信の遅延設定をする. - 添付ファイルをやめる.

Outlookでは,"配信時間の指定"という設定ができるそうです.これは,送信ボタンを押したタイミングでは送信されず,その指定時間後に送信されるというものです.多くの場合,送信直後に気づくので,この設定をしていると安心です.

添付ファイルをやめるというのは,代わりにクラウドを用いるという意味です.添付ファイルの場合,送信後に気づいても削除することができません.一方,クラウドを用いると 送信後公開してはいけないファイルだと気づいた場合,クラウドから削除することによって被害を最小限におさることができます.

多層防御という考え方

一つ防御に頼るのではなく,いくつもの防御を準備しておく方が望ましいです.

宮城県女川町の街づくりに見る多層防御

巨大な防波堤 vs 街全体の構造設計

巨大な防波堤を作る案 と 漁港施設,公園,市街地(商業地),居住地というように段々と標高が高くなるようにするという案が出ていたそうです.

次回どの程度の津波が来るのかわからないため,どれぐらい巨大な防波堤を作ると完全に防ぐことができるのかわかりません.一方,街全体として津波に強い設計にすると「粘り強い」構造となります.

情報セキュリティに置き換えて考えてみます.一つの(大きな)防御に頼りっきりとなると,その壁が突破されると甚大な被害になります.

何を守るのか,何が一番重要なのかを考え,全体としてそれを守る設計をすることでより強いセキュリティを作り出すことができます.

意外に使われていないセキュリティ機能

自分が少し退席した間にパソコンを操作される可能性があります.重要な情報を盗み見られるかもしれないし,罠が仕掛けられるかもしれません.これを防ぐためには,スクリーンロックという方法があります.

Windowsキー と L キー を同時に押すことでスクリーンロックをすることができます.

まとめ

ここまで様々な話を聞いてきた私ですが,まとめでなるほどなと思ったことをおっしゃっていたので,引用させていただきます.

  • セキュリティの事故の事例は科学的にアプローチするための検証材料であり,もぐらたたき的な対策のための材料にしてはいけない
    • 禁止を中心とした対策は,根本原因に向き合っていない可能性が高く特に注意が必要

とある攻撃が行われて その対策が必要となったとき,その攻撃に対する対策のみで完璧というわけではありません.次に同じ攻撃が来るとは限りません.そのため,その攻撃から次どのような方法を用いて来るのか攻撃者の立場になって考え,攻撃を受けても問題が無いようにしていく必要があると感じました.

お礼

学生の交通費として皆様にカンパをいただきました.ありがとうございます.