田島浩一,西村浩二,岸場清悟,相原玲二,
"セキュリティ脆弱性診断支援システムの構築",
分散システム/インターネット運用技術シンポジウム 2004, Jan 2004.
ネットワークの管理におけるセキュリティ対策に脆弱性診断ツールを用いた診断が効果的であることはよく知られている.しかし多くの場合、それは管理組織や商用サービスなどが定期的に行っているものが多く、自らが行ったセキュリティ対策の有効性を,即時性かつ容易に診断することができない.もちろん、自分自身でそれらの仕組みやツールを用意して脆弱性診断をすればいいのだが、それが困難であるのが現状である。そこで管理組織が脆弱性診断システムを用意し、認証の仕組みを用意することで、意図したユーザに対してのみ、誰でも自分のPCなどに対してセキュリティ診断ができるようなシステムを構築した.という論文である.
確かにこの手のシステムは,誰もがどこに対してでも発行できるようにすべきではない.なぜならばそれは他者/他組織/他国の計算機に対しての攻撃行為になる可能性があるからだ.そういう意味でこういう仕組みが必要だというのは理解できる.しかしふと思う疑問は,セキュリティ脆弱性診断システム自身にそういった状況を考慮した機能/仕組みはないのだろうか? という疑問である.この論文では、脆弱性診断システムとしてNessusを利用しているようだが、そういった機能があるかないかは調査してみる必要があるかもしれない.
あとは誰に対して、このセキュリティ脆弱性診断の実行を許諾し、その許諾された人は、どの計算機に対してセキュリティ脆弱性診断が実行できるのか? という機能提供の方針については簡単に、組織内管理者、サブネット(研究室単位?)管理者、一般ユーザとして分類し、それぞれに対して診断可能な計算機を限定している。ま、方法としては妥当である。
この論文は運用に焦点を当てたものなのだが、そういう観点からは、組織内でこういうサービスを提供し、「このセキュリティ診断はすべて対策済みである事を確認してください」とすることで組織内での最低限のセキュリティ対策レベルというのを具体的に例示するのは、下手に書面でセキュリティポリシーを設定するよりもいい方法だと思う。システム的には目新しい点は見受けられなかった。Webで作成されたインタフェースも、特別新しいものがあるようには見えない。
なお問題点としては、診断に時間がかかる事とその処理能力である。一般にセキュリティ脆弱性診断は長時間かかる事が多い。以前、受けた研修では診断項目数に依存するが、数日間にわたることもあると言っていた。この論文でも触れられているが、診断項目数を調整する必要があると考えられる。またなんらかの脆弱性が公表された時に、このシステムの利用が集中すると、サーバの処理能力が不足するのは明らかである。この論文では診断用サーバとして複数台用意することが可能であり、増設も容易なので問題にならないと言っているが、これは環境依存であるし、より長期的な評価も必要であろう。もちろん、利用可能なユーザを限定するという方法もありかもしれない。
なお類似の目的で行われた論文(国内)が存在するので、そちらも参考にすべきである > 自分
Posted by z at March 26, 2004 10:44 PM