セキュリティソフトウェアシステムを定期保守する理由は?
ソフトウェア保守について、すでに購入コスト、果てはカスタマイズ費用まで払って購入したものにさらなる保守コストをかける意味がわからないという人もいるかもしれません。ソフトウェアの保守という概念は未だに一般の人に受け入れられるには少々ハードルの高いものです。しかしセキュリティ専門メンバーであれば、保守の重要性を理解しなければいけません。ソフトウェア開発後、一年足らずに変わるという簡単な話ではなく、情報技術は日進月歩で変わっていく世界だからです。
開発メーカーにとって、ソフトウェアの保守とソフトウェアの開発は同じくらい重要です。業務環境が時間とともに変わっていく過程で生まれてくる変化やチャレンジに対して、定期的にシステムを保守することは変化に対応するために必要不可欠なものです。実際、IT業界は他業界に比べて生まれて間もない新興業界なので、業務の効率化や簡易化のため、ほぼ毎日新技術がどこかで生まれ導入されています。システムも、それに対応して常に更新する必要があります。一般的に更新保守には以下の分類があります。
1. 適応調整:高速に変わっていくネットワーク環境とOS環境に対して、適用するための改修をシステムに施し、変わり続ける環境に対応させていきます。
2. より完璧を目指す:新しい技術や機能への調整でシステムの有用性を高めます。
3. 既知の不具合の修正:現ソリューション中のセキュリティホールや機能不全な箇所を見つけ、修正して作業効率を引き上げる。
4. 予防的保守:既知のセキュリティホールに対して予防的に措置を施します。新たなセキュリティホールが発見されても影響を遮断できるようにします。
セキュリティシステムのクライアントにとって、定期的な保守更新は一般的なソフトウェアより考慮すべき点が多いです。以下の理由で、セキュリティシステムはより強い保守のモチベーションを有しています。
1. 新規技術開発で既存技術の不足を補足
情報流通と関連ソフトウェアが日々進化していくなかで、情報漏えいやファイル転送のルートも多様化しています。正規でない転送プロトコルなど、旧来の監視、制御方法ではカバーしきれない部分に対しては、複数の方法や新たな制御技術で対応していきます。
2. OS、アンチウイルスソフトとの競合
端末保護ソフトウェアは各種保護技術を使用するので、例えばDriver、Hookなどの技術だとOSやアンチウイルスソフトとの競合不具合が発生する可能性があります。適度にOS、アンチウイルスソフト、セキュリティシステムを保守更新することで、こういった競合不具合に対応して事象を解消できます
3. 制御技術更新
IMソフトウェア監視を例にしましょう。IMソフトウェアは基本2~3週間でアップデートされます。マイナーチェンジの場合は監視に影響しないかもしれませんが、メジャーバージョンアップだとUI、プロトコルが調整される可能性があり、監視に必要な細部の仕様も大きく影響されます。この場合、セキュリティシステム側も監視技術を更新して、即時対応を求められます。
4. システム管理オブジェクトと属性の更新
アプリケーション制御技術だけても、各特徴や属性はOSと緊密な関係があり、随時OSに合わせて更新しなければいけません。例えばマイクロソフトは新たな作業規範に対応して、SHA-1 アルゴリズムの強度不足を鑑みて、Windowsアップデートの署名はより安全なSHA-2 アルゴリズムが使われるようになりました。また、アプリケーションの電子署名や認証なども動作に影響するだけでなく、厳しい場合はアプリケーション自体が実行できなくなります。最後に、システム管理オブジェクトなども定期的にリストと属性定義を更新する必要があります。
5. 時代遅れの機能を削除
使われない、時代に合わない不必要な機能は存在するだけでシステムの性能に影響するので、これらの機能も適宜削除する必要があります。もちろん、新たに有効な代替技術とツールも準備しなければなりません。
6. End Of Service OS、DBバージョンアップ
OS、DBバージョンが古すぎると、見つかったセキュリティホールに対応するパッチがない場合や新機能が使えない場合も出てきます。これもメーカーが対応を打ち切る前にあらかじめバージョンアップした方が良いでしょう。
監査しつつ、現状に応じてセキュリティ対策を調整
セキュリティシステムは情報システム部門が定期的に対応する日常保守の他に、定期的に実施する監査作業も必要です。言うなればセキュリティシステムポリシーの定期審査 (Policy Review)です。
- セキュリティポリシーの策定は独立かつ客観的な視点で評価する必要があります。基本は社内安全ルールに反映しつつ、法令、技術的ハードル、各部署の業務状況を考慮して、現場での実務に落とし込むことになります。
- セキュリティポリシーの評価作業自体は内部の監査部署、独立かつ客観的視点を持つ熟練なセキュリティ管理者に成果を記録させ、評価されることを推奨します。
- 定期的に所属部署とメンバーに対して情報システムとセキュリティ評価を説明し、各メンバーにセキュリティポリシーとルールの遵守を徹底させます。ここで言うセキュリティ評価の対処は以下になります。
- TSFシステム管理者管理ログ
- ユーザ操作ログ
- 監査メンバーの監査ログ
- セキュリティポリシーと規定の教育
- セキュリティポリシーとメンバーが担当する役割と責任などの関連するルールは作業マニュアルや関連ドキュメントに記載します。
- 作業マニュアルや規定のセキュリティポリシー関連の説明には、実行と保守の一般的責任規定や特定情報資産を守る特別責任規定、特別セキュリティ実行プロセス、関連する特別責任規定を記載して、特別責任規定などを記載します。
- メンバーはセキュリティ関連規定に違反した場合、ルールに則って対処します。
ビジネスというのは目まぐるしく変わります。経営目標や経営手法が変われば、セキュリティポリシーもそれに伴い、進化していく必要があります。また攻撃の手段も日進月歩に進んでいき、同じ保護方法ではあっさり技術で追い越され、想定外のセキュリティホールから漏れる可能性が高いです。TSFを例にすると、単純に厳格な制御と大量な操作ログを取得するだけでは、内部からの情報漏洩を完全に防ぐことはできません。毎期に少なくとも1回はシステムを完全点検して、セキュリティポリシーを検討して初めてシステムの有用を完全に確保できます。