Strategy Guide

®
Strategy Guide
Version 2.0, Service Pack 4
Internet Security Systems, Inc.
6303 Barfield Road
Atlanta, Georgia 30328-4233
United States
(404) 236-2600
http://www.iss.net
イ ン タ ーネ ッ ト セキ ュ リ テ ィ シ ス テ ム ズ株式会社
〒 141-0021
東京都品川区上大崎 3-1-1
JR 東急目黒ビル 16F
05-5740-4050
http://www.isskk.co.jp
© Internet Security Systems, Inc. 1994-2004. All rights reserved worldwide. こ の出版物の適切な数の コ ピーの作成は内部で使用
す る 場合だけ許可 さ れてい ます。 それ以外の場合の こ の出版物のすべて ま たは一部の コ ピーま たは複製は、 Internet
Security Systems, Inc. の事前の書面に よ る 同意な し にいかな る 人物 ま たは企業に も 許可 さ れてい ません。
Internet Security Systems、 Internet Security Systems の ロ ゴ、 System Scanner、 Wireless Scanner、 SiteProtector、 Proventia、
ADDME、 AlertCon、 ActiveAlert、 FireCell、 FlexCheck、 Secure Steps、 SecurePartner、 SecureU、 X-Force、 お よ び X-Press
Update は Internet Security Systems, Inc. の商標お よ びサービ ス マー ク 、 SAFEsuite、 Internet Scanner、 Database Scanner、
Online Scanner、 お よ び RealSecure は同社の登録商標です。 Network ICE、 Network ICE の ロ ゴ、 お よ び ICEpac は Internet
Security Systems, Inc. の完全所有子会社であ る Network ICE Corporation の商標、 BlackICE は同社の許諾を受け た登録商標、
お よ び ICEcap は同社の登録商標です。 SilentRunner は Raytheon Company の登録商標です。 Acrobat お よ び Adobe は Adobe
Systems Incorporated の登録商標です。 Certicom は Certicom Corp の商標、 Security Builder は Certicom Corp の登録商標です。
Check Point、 FireWall-1、 OPSEC、 Provider-1、 お よ び VPN-1 は、 Check Point Software Technologies Ltd. ま たはその関連会
社の登録商標です。 Cisco お よ び Cisco IOS は Cisco Systems, Inc. の登録商標です。 HP-UX お よ び OpenView は、 HewlettPackard Company の登録商標です。 IBM お よ び AIX は IBM Corporation の登録商標です。 InstallShield は、 米国ま たはその
他の国あ る いはその両方におけ る InstallShield Software Corporation の登録商標お よ びサービ ス マー ク です。 Intel お よ び
Pentium は Intel の登録商標です。 Lucent は Lucent Technologies, Inc. の商標です。 ActiveX、 Microsoft、 Windows、 お よ び
Windows NT は Microsoft Corporation の登録商標ま たは商標です。 Net8、 Oracle、 Oracle8、 SQL*Loader、 お よ び SQL*Plus
は Oracle Corporation の登録商標ま たは商標です。 Seagate Crystal Reports、 Seagate Info、 Seagate、 Seagate Software、 お よ び
Seagate の ロ ゴは Seagate Software Holdings, Inc. ま たは Seagate Technology, Inc. ( あ る いはその両方 ) の商標ま たは登録商標
です。 Secure Shell お よ び SSH は SSH Communications Security の商標 ま たは登録商標です。 iplanet、 Sun、 Sun
Microsystems、 Sun の ロ ゴ、 Netra、 SHIELD、 Solaris、 SPARC、 お よ び UltraSPARC は米国お よ びその他の国におけ る Sun
Microsystems, Inc. の商標ま たは登録商標です。 すべての SPARC 商標は、 許可の下に使用 さ れ、 米国 ま たはその他の国に
おけ る SPARC International, Inc. の商標ま たは登録商標です。 Adaptive Server、 SQL、 SQL Server、 お よ び Sybase は Sybase,
Inc.、 その関連会社 と ラ イ セ ン サーの商標です。 Tivoli は Tivoli Systems, Inc. の登録商標です。 Unix は米国お よ びその他の
国において、 X/Open Company, Ltd. が独占的に ラ イ セ ン ス を管理 し てい る 登録商標です。 こ の文書で言及 さ れてい る その
他の名称はすべて、 各所有者のブ ラ ン ド 名、 製品名、 商標 ま たは登録商標であ り 、 権利侵害の意図な し に編集上の理由で
使用 さ れてい る も のです。 明細事項は予告な し に変更 さ れ る こ と があ り ます。 Copyright c Sax Software ( 端末エ ミ ュ レー
シ ョ ンのみ )
免責 ： こ の文書に記載 さ れてい る 情報は予告な し に変更 さ れ る こ と があ り ます。 こ の文書を ISS ま たは X-Force 以外の
ソ ー ス か ら 入手 し た場合は、 改変 ま たは変更 さ れてい る 可能性があ り ます。 こ の情報を使用す る こ と に よ り 、 いかな る 種
類の保証 も な く 「現状」 の ま ま 、 ユーザーの自己責任において使用す る こ と に同意 し た も の と みな さ れ ます。 ISS と
X-Force は、 市場性お よ び特定目的への適合性の保証をは じ め と す る いかな る 保証 も 、 明示的に も 暗黙的に も 行い ませ
ん。 ISS ま たは X-Force は、 いかな る 場合 も 、 本文書の使用 ま たは配布か ら 生 じ る 直接的、 間接的、 付随的、 結果的、 あ
る いは特別な損害について、 た と え ISS ま たは X-Force がその よ う な損害の可能性について忠告を受け た と し て も 、 責任
を負い ません。 州に よ っ ては、 結果的 ま たは付随的な損害の責任を除外ま たは限定す る こ と が許可 さ れていないため、 前
述の限定事項は適用 さ れ ません。
こ こ に記 さ れてい る 商標名、 商標、 製造業者、 ま たはそれ以外に よ る 、 特定の商品、 プ ロ セ ス 、 ま たはサービ ス な ど の引
用は、 必ず し も Internet Security Systems, Inc に よ る 保証や推奨、 ま たは支持を表明 し た り 暗示 し た り す る も のではあ り ま
せん。 こ こ に示 さ れてい る 作者の見解お よ び意見は、 必ず し も Internet Security Systems, Inc. の主張、 ま たは同社の見解お
よ び意見を反映す る も のではな く 、 製品の保証や広告の目的で使用 さ れてはな り ま せん。
イ ン タ ーネ ッ ト リ ソ ー ス への リ ン ク と ア ド レ ス は、 リ リ ー ス前に十分調査 さ れてい ま すが、 刻々 と 変化す る イ ン タ ー
ネ ッ ト の性質上、 Internet Security Systems は リ ソ ース の内容やその存在について保証す る こ と はで き ません。 可能な場合
には、 参照セ ク シ ョ ン には、 他の方法で目的の情報が獲得で き る 代わ り のサ イ ト やキー ワ ー ド が記載 さ れてい ま す。 リ ン
ク の破損や不適切な リ ン ク にお気づ き の場合は、 ト ピ ッ ク 名、 リ ン ク 、 その動作状況を [email protected]
ま で電子 メ ールで ご連絡 く だ さ い。
2004 年 10 月 13 日
目次
目次
前書き
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xi
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Strategy Guide における ISS 製品の呼び方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
お問い合わせ窓口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv
本書で使用 さ れている表記規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
パー ト I: 評価 と 企画
第 1 章 : セキ ュ リ テ ィ 戦略および実装戦略の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
セキ ュ リ テ ィ 戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
実装戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
第 2 章 : 組織の評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
重要なアセ ッ ト の確定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
組織に最も 適 し た戦略の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
ミ ニ マム防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
外部脅威から の防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
内部脅威から の防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
マキシ マム防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
第 3 章 : アセ ッ ト の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
セ ク シ ョ ン A: ネ ッ ト ワー ク防御の配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク 不正侵入検知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
環境への NPS の導入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク スキ ャ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク スキ ャ ンの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク での ミ ニ マム防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク での外部脅威から の防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク での内部脅威から の防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネ ッ ト ワー ク でのマキシ マム防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SiteProtector Strategy Guide, Version 2.0 SP4
21
21
22
24
25
27
29
30
33
35
v
目次
セ ク シ ョ ン B: サーバー と デス ク ト ッ プの防御の配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ホス ト 侵入検知について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Server Sensor と Desktop Protector の監査機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ホス ト スキ ャ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サーバー と デス ク ト ッ プ での ミ ニ マム防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サーバー と デス ク ト ッ プ での外部脅威から の防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サーバー と デス ク ト ッ プ での内部脅威から の防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サーバー と デス ク ト ッ プ でのマキシ マム防御戦略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
39
40
41
43
44
45
46
47
セ ク シ ョ ン C: 防御戦略の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ミ ニ マム防御戦略の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
外部脅威から の防御戦略の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
内部脅威から の防御戦略の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
マキシ マム防御戦略の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
49
52
53
54
55
第 4 章 : アセ ッ ト の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セ ンサーのコ マ ン ド ア ン ド コ ン ト ロール タ ス ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Desktop Protector の コ マ ン ド ア ン ド コ ン ト ロール タ ス ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ジオグ ラ フ ィ カル モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ポ リ シージオグ ラ フ ィ カル モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ト ポロ ジ カル モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サービ ス モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
責任範囲モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Active Directory モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
59
60
61
62
63
65
67
68
第 5 章 : 事前 タ ス クの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
セ ク シ ョ ン A: 環境への SiteProtector の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テ ス ト 環境への SiteProtector の配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ベース ラ イ ン タ ス ク の実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
73
74
75
セ ク シ ョ ン B: 新 し い脅威か らの組織の防御. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
脅威に関する最新情報の入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
チ ェ ッ ク またはシグネチ ャ が利用可能かど う かの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
チ ェ ッ ク またはシグネチ ャ が存在 し ない脅威に対する防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
77
79
81
83
セ ク シ ョ ン C: 防御を調整または拡張する時期の決定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
vi
目次
第 6 章 : 防御の調整 と ア ッ プデー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
セ ク シ ョ ン A: セキ ュ リ テ ィ ポ リ シー と レ スポン スの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デ フ ォル ト のセ ンサー ポ リ シー レ ベルの調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セ ンサー ポ リ シーのチ ェ ッ ク と シグネチ ャ の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セ ンサー レ スポ ン スのカ ス タ マ イ ズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Desktop Protector レ スポン スの指定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
91
93
94
98
セ ク シ ョ ン B: ネ ッ ト ワー ク お よびホス ト へのア ク セスの制御. . . . . . . . . . . . . . . . . . . . . . . 101
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
ネ ッ ト ワー ク セグ メ ン ト へのア ク セスの制御. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
防御レ ベルを使用 し た、 デス ク ト ッ プへのア ク セスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
フ ァ イ アウ ォ ール ルールを使用 し た、 ホス ト へのア ク セスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Desktop Protector の高度な フ ァ イ アウ ォ ール設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
セ ク シ ョ ン C: ホス ト のア ク テ ィ ビ テ ィ と ユーザー動作の監視お よび制御 . . . . . . . . . . 111
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
セ ク シ ョ ン D: 防御の拡張. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
スキ ャ ン頻度の調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
防御の増強 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
セ ク シ ョ ン E: 防御のア ッ プデー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
ア ッ プデー ト の取 り 扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Update Manager を使用 し たア ッ プデー ト の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
手動によ る ア ッ プデー ト の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
第 7 章 : ネ ッ ト ワー ク脆弱点の特定 と 解消 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
セ ク シ ョ ン A: 脆弱点の特定 と 解消. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
脆弱点の評価 と 解消のプ ロ セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
SiteProtector によ っ て生成 さ れる脆弱点デー タ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
脆弱点イ ベン ト に関する情報の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
脆弱点を解消するかど う かの決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
脆弱点の修正 と 緩和 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
ア ク シ ョ ン プ ラ ンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
ア ッ プグレー ド と パ ッ チの実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
SiteProtector Strategy Guide, Version 2.0 SP4
vii
目次
セ ク シ ョ ン B: 脆弱点レ ポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
脆弱点の詳 し い調査 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
脆弱点の優先度の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
ホス ト 別の脆弱点修正方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
企業のセキ ュ リ テ ィ ス テー タ スの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
パー ト II: 防御の維持
第 8 章 : 脅威の特定 と 対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
セ ク シ ョ ン A: 脅威の特定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
イ ベン ト に関する情報の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
疑わ し いア ク テ ィ ビ テ ィ の基準 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
攻撃パ タ ーン を使用 し た関連ア ク テ ィ ビ テ ィ の特定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
フ ァ イ アウ ォ ール イ ベン ト を使用 し た関連ア ク テ ィ ビ テ ィ の特定 . . . . . . . . . . . . . . . . . . . . . . . . . . 154
セ ク シ ョ ン B: 脅威の分類 と 対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
疑わ し いア ク テ ィ ビ テ ィ の評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
イ ン シデン ト の危険度の判断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
攻撃への対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
証拠の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
セ ク シ ョ ン C: 脅威に関する レ ポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
発生 し う る攻撃の優先度設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
攻撃イ ン シデン ト の優先度の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
セキ ュ リ テ ィ 状態の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
今後のセキ ュ リ テ ィ 状態の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
複数サイ ト 間での傾向の分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
パー ト III: 実装戦略
第 9 章 : スキ ャ ンの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
ネ ッ ト ワー ク 上のホス ト の識別. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
脆弱点デー タ の完全性 と 正確性の確保 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
脆弱点スキ ャ ンのスケジ ュ ー リ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
viii
目次
スキ ャ ン実行に必要な時間の短縮 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
付録
付録 A: SiteProtector レポー ト
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
セ ク シ ョ ン A: Sensor Analysis タ ブ でのレ ポー ト 作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Sensor Analysis タ ブ でのデー タ のエ ク スポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Sensor Analysis タ ブ でのレポー ト 作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
カ ス タ ム レポー ト の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
セ ク シ ョ ン B: Reporting タ ブ でのレ ポー ト 作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
レ ポー ト テ ン プ レー ト の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
レ ポー ト の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
レ ポー ト の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
セ ク シ ョ ン C: Enterprise Dashboard でのレ ポー ト の作成 . . . . . . . . . . . . . . . . . . . . . . . . . 203
レ ポー ト の印刷 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
レ ポー ト の保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
レ ポー ト のスケジ ュ ー リ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
索引
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
SiteProtector Strategy Guide, Version 2.0 SP4
ix
目次
x
前書き
概要
Strategy Guide の内容
SiteProtector Strategy Guide では、 ベス ト プ ラ ク テ ィ ス のガ イ ド ラ イ ン と ネ ッ ト
ワ ー ク 防御に関す る 提案について説明 し ます。 本書は、 こ れ ら ガ イ ド ラ イ ン を常
に実装す る ための手順を提供す る も のではな く 、 イ ン ス ト ール ガ イ ド や設定ガ
イ ド 、 ユーザー ガ イ ド 、 お よ び ISS 製品に添付 さ れた電子的な支援の代わ り と
な る も ので も あ り ません。
対象読者
次の表には、 Strategy Guide の対象読者が一覧表示 さ れてい ます。
パー ト
対象読者
パー ト I - 評価 と 企画
情報セキ ュ リ テ ィ 計画の設計者、 セキ ュ リ テ ィ ア
ナ リ ス ト 、 ネ ッ ト ワー ク管理者および CISO - 配置
プ ラ ンやポ リ シー、 戦略の責任者。
パー ト II - 防御の維持
•
情報セキ ュ リ テ ィ 計画の設計者、 セキ ュ リ テ ィ
アナ リ ス ト 、 ネ ッ ト ワー ク管理者または緊急対
応プ ラ ンや脆弱点評価プ ラ ン、 配置プ ラ ンの責
任者。
•
セキ ュ リ テ ィ アナ リ ス ト 、 オペ レー タ 、 脅威の
識別 と 対応または傾向 と 優先度の識別の責任者。
パー ト III - 実装戦略
情報セキ ュ リ テ ィ 計画の設計者、 リ ス ク査定アナ リ
ス ト 、 配置の管理者、 またはユーザー、 スキ ャ ン、
レポー ト 、 SiteProtector セ ッ ト ア ッ プの責任者であ
る誰か。
注記 : 実装戦略は、 SiteProtector の実装 と 管理のあ
ら ゆる面を網羅 し ているわけではあ り ませんが、 い
く つかの重要な タ ス ク に関する ガ イ ド ラ イ ン と 例が
含まれています。
表 1: 対象読者
SiteProtector Strategy Guide, Version 2.0 SP4
xi
前書き
Strategy Guide における ISS 製品の呼び方
は じ めに
こ の ト ピ ッ ク では、 ISS 製品を紹介 し 、 本書での言及の さ れかたについて規定 し
ます。 本書で取 り 上げ る ISS 製品は、 SiteProtector に レ ポー ト す る 次の製品です。
●
脆弱点評価
ネ ッ ト ワー ク 防御シ ステ
ム
脆弱点評価
●
ネ ッ ト ワ ー ク 防御シ ス テ ム
●
サーバー防御シ ス テ ム
●
デス ク ト ッ プ防御シ ス テ ム
脆弱性評価アプ リ ケーシ ョ ン ( ス キ ャ ナー ) は、 ネ ッ ト ワ ー ク と ホ ス ト の脆弱点
評価を行い ます。 脆弱点評価アプ リ ケーシ ョ ンには、 次の も のがあ り ます。
●
Internet Scanner
●
System Scanner
ネ ッ ト ワ ー ク 防御シ ス テ ムは、 ネ ッ ト ワ ー ク セグ メ ン ト での不正侵入検知、 不
正侵入防御、 お よ びレ ス ポ ン ス の機能を担当 し ます。 ネ ッ ト ワ ー ク 防御シ ス テ ム
には、 次の も のがあ り ます。
●
●
ネ ッ ト ワー ク 侵入検知
■
RealSecure Network 10/100
■
RealSecure for Nokia Network 10/100
■
RealSecure Network Gigabit
■
RealSecure Network for Crossbeam
■
Proventia A シ リ ーズ アプ ラ イ ア ン ス
ネ ッ ト ワー ク 不正侵入防御ア プ ラ イ ア ン ス
■
●
Proventia G シ リ ーズ アプ ラ イ ア ン ス (SiteProtector では イ ン ラ イ ン アプ ラ
イ ア ン ス と 呼ばれ る )
ネ ッ ト ワー ク 統合セキ ュ リ テ ィ ア プ ラ イ ア ン ス
■
Proventia M シ リ ーズ アプ ラ イ ア ン ス (SiteProtector では多機能アプ ラ イ ア
ン ス と 呼ばれ る )
重要 : 本書で取 り 扱 う ネ ッ ト ワ ー ク 防御シ ス テ ムに、 Sentry ま たは Guard は含ま
れません。
サーバー防御シ ステム
xii
サーバー防御シ ス テ ムは、 サーバーでの不正侵入検知、 不正侵入防御、 お よ びレ
ス ポ ン ス の機能を担当 し ます。 RealSecure Server Sensor は、 1 台のサーバーを出
Strategy Guide におけ る ISS 製品の呼び方
入 り す る ロ グ フ ァ イ ルお よ びカーネルレベルのア ク テ ィ ビ テ ィ と 、 ネ ッ ト ワ ー
ク ト ラ フ ィ ッ ク を監視 し ます。 ま た、 疑わ し い ト ラ フ ィ ッ ク がオペレーテ ィ ン
グ シ ス テ ムに到達する 前に こ れを遮断 し 、 パケ ッ ト を傍受 し ます。
デス ク ト ッ プ防御シ ステ
ム
RealSecure Desktop は、 SiteProtector を使っ て Desktop Agent か ら のデー タ を収集
し て管理 し ます。 本書で取 り 扱 う Desktop Agent に、 Sentry ま たは Guard は含ま
れません。
SiteProtector Strategy Guide, Version 2.0 SP4
xiii
前書き
お問い合わせ窓口
は じ めに
ISS では、 Web サ イ ト お よ び電子 メ ールま たは電話を通 じ てテ ク ニ カル サポー
ト を提供 し てい ます。
ISS Web サイ ト
Internet Security Systems (ISS) の Web サ イ ト (http://www.isskk.co.jp/
support.html ま たは http://www.iss.net/support/) では、 よ く あ る 質
問 (FAQ)、 ホ ワ イ ト ペーパー、 オン ラ イ ン ユーザー マニ ュ アル、 最新バージ ョ
ンの一覧、 詳細な製品カ タ ロ グ、 お よ びテ ク ニ カル サポー ト ナ レ ッ ジベース
(http://www.isskk.co.jp/support/index_KB.html ま たは http://
www.iss.net/support/knowledgebase/) な ど の情報を提供 し てい ます。
サポー ト レ ベル ( 米国 )
ISS では、 3 つのサポー ト レベルを提供 し てい ます。
●
ス タ ン ダー ド
●
セレ ク ト
●
プレ ミ アム
ど の レベル も 、 電話お よ び電子的手段に よ る サポー ト を 24 時間体制で行い ます。
Select サービ ス と Premium サービ ス は、 Standard サービ ス よ り も 優れた機能 と メ
リ ッ ト を提供 し ます。 企業のサポー ト レベルを ご存知ない場合は、 顧客サービ
ス窓口 ([email protected]) にお問い合わせ く だ さ い。
サポー ト の営業時間
次の表は、 米国お よ び米国以外の地域におけ る お問い合わせ窓口の営業時間で
す。
地域
時間
米国
1 日 24 時間
その他の地域
現地時間の月曜日か ら金曜日の午前 9 時か ら 午後 5 時 (ISS
の休日を除 く )
注記 : 最寄 り のサポー ト オ フ ィ スが米国外にある場合、 そ
の営業時間外における ご質問 ・ ご相談については、 米国オ
フ ィ スま で電話または電子 メ ールでお問い合わせいただ く こ
と がで き ます。 日本国内においての ISS 製品に関する技術的
なお問い合わせについては、 本製品の保守契約を締結 さ れて
いる販売代理店ま でご連絡 く だ さ い。
表 2: お問い合わせ窓口の営業時間
xiv
お問い合わせ窓口
各国の問い合わせ窓口
次の表では、 お問い合わせ窓口の電子的手段に よ る サポー ト 情報お よ び電話番号
を示 し ます。
各国オ フ ィ ス
電子的手段によ るサポー ト
電話番号
北米
ISS Web サイ ト の MYISS セ
ク シ ョ ン を ご覧 く だ さ い。
Standard:
www.iss.net
(1) (888) 447-4861 ( フ リ ー
ダ イヤル )
(1) (404) 236-2700
Select および Premium:
詳細については、 Welcome
Kit を参照するか、 担当者に
お問い合わせ く だ さ い。
南米
[email protected]
(1) (888) 447-4861 ( フ リ ー
ダ イヤル )
(1) (404) 236-2700
(44) (118) 959-3900
ヨ ーロ ッ パ、 中 [email protected]
東、 およびア フ
リカ
ア ジ ア太平洋お
よび フ ィ リ ピ ン
[email protected]
(63) (2) 886-6014
日本
本製品の保守契約を締結 さ れ
ている販売代理店ま でご連絡
く だ さ い。
本製品の保守契約を締結 さ れ
ている販売代理店ま でご連絡
く だ さ い。 本製品の保守契約
を締結 さ れている販売代理店
ま でご連絡 く だ さ い。
表 3: 技術的なお問い合わせの際の連絡先
X-Force の問い合わせ窓 次の表では、 ISS の研究開発チーム、 X- Force に関す る 情報の Web ア ド レ ス を示
し ます。
口
タイ トル
Web ア ド レ ス
X-Force Security Center と X-Force
デー タ ベース
http://www.iss.net/
security_center/
ア ラ ー ト と ア ラ ー ト の概要
http://www.iss.net/issEn/
delivery/xforce/alerts.jsp
表 4: X-Force 情報の Web ア ド レ ス
SiteProtector Strategy Guide, Version 2.0 SP4
xv
前書き
xvi
本書で使用 さ れてい る表記規則
本書で使用 さ れている表記規則
は じ めに
こ の ト ピ ッ ク では、 手順や コ マン ド を よ り わか り やす く す る ために、 本書で使わ
れてい る 印刷上の表記規則を説明 し ます。
手順
手順で使われてい る 印刷上の表記規則を次の表で説明 し ます。
表記規則
内容
例
太字 (Bold)
GUI の要素
[IP Address] ボ ッ ク ス に コ ン
ピ ュ ー タ のア ド レ ス を入力 し
ます。
[Print] チ ェ ッ ク ボ ッ ク ス を
オンに し ます。
[OK] を ク リ ッ ク し ます。
小型英大文字
(SMALL CAPS)
キーボー ド 上のキー
[ENTER] キーを押 し ます。
等幅
(Constant
width)
フ ァ イル名、 フ ォルダ名、 パ
ス名、 または示 さ れた と お り
正確に入力する必要のある そ
の他の情報
User.txt フ ァ イ ルを
[Addresses] フ ォ ルダに保
存 し ます。
[Username] ボ ッ ク ス に
「IUSR__SMA」 と 入力 し ま
す。
等幅斜体
フ ァ イル名、 フ ォルダ名、 パ
ス名、 またはユーザーが自分
で確認 し た う えで入力する必
要のある その他の情報
[Identification information]
ボ ッ ク ス に Version
number ( バージ ョ ン番号 ) を
入力 し ます。
タ ス ク バーまたは メ ニ ュ ー
バーか ら た ど っ てい く コ マ ン
ド の順序
タ ス ク バーか ら [Start] →
[Run] の順に選択 し ます。
[File] メ ニ ュ ーか ら 、
[Utilities] → [Compare
Documents] の順に選択 し ま
す。
(Constant
width
italic)
→
表 5: 操作手順に関する表記規則
SiteProtector Strategy Guide, Version 2.0 SP4
xvii
前書き
コ マ ン ド の表記規則
コ マ ン ド で使われてい る 印刷上の表記規則を次の表で説明 し ます。
表記規則
内容
例
等幅太字
(Constant
width bold)
示 さ れた と お り 正確に入力す
る必要のある情報
md ISS
斜体
(Italic)
ユーザーの置かれている状況
によ っ て異な る情報
md your_folder_name
[]
オプ シ ョ ン と し ての情報
dir [ ド ラ イ ブ :][ パス ] [
フ ァ イ ル名 ] [/P][/W]
[/D]
|
ど ち らか一方を選択する必要
のある情報
verify [ON|OFF]
{}
中か ら 1 つ選択する必要のあ % chmod {u g o
a}=[r][w][x] file
る情報
表 6: コ マ ン ド に関する表記規則
xviii
パー ト I
®
評価と企画
第1章
セキュ リ テ ィ 戦略および実装戦略の
概要
概要
は じ めに
こ の章では、 本書で取 り 上げ る セキ ュ リ テ ィ 戦略お よ び実装戦略の概要について
説明 し ます。
セキ ュ リ テ ィ 戦略
セキ ュ リ テ ィ 戦略 と し ては、 SiteProtector お よ び SiteProtector への レ ポー ト を行
う ISS 製品に対す る ベス ト プ ラ ク テ ィ ス が挙げ ら れます。 セキ ュ リ テ ィ 戦略は、
セキ ュ リ テ ィ オペレー タ やセキ ュ リ テ ィ アナ リ ス ト 、 マネージ ャ の一般的な目
標 と 、 彼 ら が行 う 継続的な タ ス ク を扱い ます。 セキ ュ リ テ ィ 戦略は、 次の内容で
構成 さ れてい ます。
実装戦略
●
企画 と 評価
●
防御の維持
実装戦略 と し ては、 SiteProtector に よ る ネ ッ ト ワ ー ク ス キ ャ ン と レ ポー ト の管
理、 使用環境に最 も 適 し た アーキ テ ク チ ャ の設定な ど の実装 と 管理に関す る ガ イ
ド ラ イ ンお よ び例が挙げ ら れます。
SiteProtector Strategy Guide, Version 2.0 SP4
3
第 1 章 : セキ ュ リ テ ィ 戦略お よび実装戦略の概要
こ の章の内容
こ の章では次の ト ピ ッ ク について説明 し ます。
トピック
4
ページ
セキ ュ リ テ ィ 戦略
6
実装戦略
8
概要
SiteProtector 戦略図
図 1 は、 本書で取 り 上げ る 2 つの戦略を表 し た も のです。
Security Strategies
Evaluate
Organization
Protect Network
Protect Servers
and Desktops
Organize Assets
d
an
fy
nti lve s
Ide eso bilitie
R ra
lne
Vu
Planning and Assessment
Iden
tify
T
Prio rends a
ritie
nd
s
Maintaining
Protection
Tune, Expand, and
Update Protection
and
Identify
s
to Threat
Respond
Re-Assess Protection
Deployment
Install and
configure Site
Protector
Install and
configure ISS
agents
Implementation Strategies
Managing Scans
図 1: SiteProtector 戦略図
SiteProtector Strategy Guide, Version 2.0 SP4
5
第 1 章 : セキ ュ リ テ ィ 戦略お よび実装戦略の概要
セキ ュ リ テ ィ 戦略
は じ めに
企画 と 評価
こ の ト ピ ッ ク では、 次の SiteProtector セキ ュ リ テ ィ 戦略の概要を説明 し ます。
●
企画 と 評価
●
防御の維持
SiteProtector を イ ン ス ト ールする 前に、 ISS エージ ェ ン ト の配置方法を企画お よ
び評価す る 必要があ り ます。 こ う す る こ と で、 セキ ュ リ テ ィ リ ス ク と ネ ッ ト
ワ ー ク ト ポ ロ ジの変化に応 じ 、 防御戦略を後で再評価する こ と がで き ます。 企
画 と 評価の戦略は、 組織全体の目標に基づいた防御の理想モデルを提示 し ます。
企画 と 評価には、 次の よ う な タ ス ク があ り ます。
組織の評価 - ど のセキ ュ リ テ ィ 戦略が最 も 良いのか決定す る ために、 組織を評価
し ます。
アセ ッ ト の保護 - ネ ッ ト ワー ク 防御シ ス テ ム、 Internet Scanner アプ リ ケーシ ョ
ン、 Server Sensor、 System Scanner アプ リ ケーシ ョ ン、 RealSecure Desktop を配置
し ます。
アセ ッ ト の構成 - ネ ッ ト ワー ク 上のホ ス ト お よ び重要なネ ッ ト ワー ク セグ メ ン
ト を構成 し ます。
重要 : 企画 と 評価は、 次の よ う な特徴を持つ組織に ISS エージ ェ ン ト を配置す る
と い う 組織的、 技術的な課題を提示す る も のではあ り ません。
6
●
集中的ではないネ ッ ト ワ ー ク セキ ュ リ テ ィ が実装 さ れてい る
●
セキ ュ リ テ ィ 上のベス ト プ ラ ク テ ィ ス が十分ではない
●
ISS 以外のエージ ェ ン ト を使用 し てい る
セキ ュ リ テ ィ 戦略
防御の維持
防御の維持には、 次の よ う な タ ス ク があ り ます。
脅威の識別 と 対応 - SiteProtector に よ っ て生成 さ れた イ ベン ト が脅威であ る か ど
う かを判断 し 、 脅威であればど の よ う に対応す る かを判断 し ます。
脆弱点の識別 と 解消 - SiteProtector に よ っ て生成 さ れた脆弱点デー タ がシ ス テ ム
の危機を意味す る のか ど う かを判断 し 、 意味す る のであれば こ う し た脆弱点を ど
の よ う に解消す る かを判断 し ます。
傾向 と 優先度の識別 - Enterprise Dashboard の管理機能 ( ビ ュ ー、 レ ポー ト 、 グ ラ
フ な ど ) に関す る 情報。
防御の調整、 拡張、 ア ッ プデー ト - ポ リ シーやレ ス ポ ン ス、 ス キ ャ ン対象ホ ス ト
の数な ど、 防御の調整に関す る 情報。 ISS エージ ェ ン ト ま たは ISS ホ ス ト の ス
キ ャ ンへの追加に関す る 情報が含まれます。 こ の タ ス ク では、 企画 と 評価の タ ス
ク を定期的に再検討す る こ と が求め ら れます。
SiteProtector Strategy Guide, Version 2.0 SP4
7
第 1 章 : セキ ュ リ テ ィ 戦略お よび実装戦略の概要
実装戦略
は じ めに
実装戦略は、 操作上の タ ス ク を中心に扱い ます。 こ の よ う な戦略には、 パフ ォー
マ ン ス と ス ケー ラ ビ リ テ ィ の改善の他に、 ス ケ ジ ュ ー リ ン グ と ス キ ャ ンがあ り ま
す。
使用する場合
実装戦略を使用 し て、 SiteProtector の イ ン ス ト ール と 設定、 ま たは タ ス ク の調整
を行 う こ と がで き ます。
重要 : 本書は、 SiteProtector の実装 と 管理のあ ら ゆ る 面を網羅 し てい る わけでは
あ り ません。
実装戦略の タ ス ク
実装戦略は次の と お り です。
スキ ャ ンの管理 - ネ ッ ト ワー ク 上のホ ス ト の識別、 ス キ ャ ンの ス ケ ジ ュ ー リ ン
グ、 ス キ ャ ンの実行にかか る 時間の削減に関す る ガ イ ド ラ イ ン。
8
第2章
組織の評価
概要
は じ めに
こ の章は、 ネ ッ ト ワ ー ク お よ びホ ス ト に ISS エージ ェ ン ト を配置する ためのガ イ
ド ラ イ ンの設定を支援 し ます。 こ の章の情報を参考に し て、 組織に最 も 適 し た戦
略を決定 し て く だ さ い。
配置プ ラ ン作成の重要性 ISS では、 配置プ ラ ンの作成をお勧め し ます。 よ い配置プ ラ ン と は、 ISS エー
ジ ェ ン ト を ネ ッ ト ワ ー ク に ど の よ う に配置す る かを明確に定義 し 、 環境固有の要
素を考慮に入れた も のです。 プ ラ ンでは、 シ ス テ ム所有者の責任、 お よ び ISS
エージ ェ ン ト の実装に必要なポ リ シー と 手順を、 明確に定義す る 必要があ り ま
す。
注意 : こ の章では、 配置プ ラ ンの作成を包括的に説明 し ません。 配置プ ラ ン作
成の詳細については、 イ ン タ ーネ ッ ト セキ ュ リ テ ィ シ ス テ ム ズのプ ロ フ ェ ッ
シ ョ ナル サービ ス部ま でお問い合わせ く だ さ い。
組織の防御
組織を防御す る には、 次の タ ス ク を行い ます。
1. こ の章のガ イ ド ラ イ ン を利用 し て、 ど の防御戦略ま たは防御戦略の組み合わ
せを採用す る のが最 も 良いか判断 し ます。
2. 第 3 章 「アセ ッ ト の防御」 (19 ページ ) のガ イ ド ラ イ ン を使用 し て、 ネ ッ ト
ワ ー ク を保護す る 方法を決定 し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
9
第 2 章 : 組織の評価
こ の章の内容
こ の章では次の ト ピ ッ ク について説明 し ます。
トピック
10
ページ
重要なアセ ッ ト の確定
11
組織に最 も適 し た戦略の決定
12
ミ ニマム防御戦略
15
外部脅威か らの防御戦略
16
内部脅威か らの防御戦略
17
マキシ マム防御戦略
18
重要な ア セ ッ ト の確定
重要な アセ ッ ト の確定
は じ めに
こ の章では、 特定のホ ス ト やネ ッ ト ワ ー ク セグ メ ン ト について、 重要 と い う 言
葉が し ば し ば使われます。 こ の ト ピ ッ ク の情報を使用 し て、 ネ ッ ト ワ ー ク の ど の
アセ ッ ト が重要
重要であ
る か判断 し て く だ さ い。 ど のアセ ッ ト が重要
重要であ
る かは、 組
重要
重要
織ご と に異な る 要因を組み合わせて判断 し ます。
重要な アセ ッ ト と は
重要なアセ
ッ ト と は、 貴重な情報ま たはプ ロ セ ス を含む、 次の よ う なデバ イ ス の
重要
こ と です。
●
ネ ッ ト ワ ー ク セグ メ ン ト
●
サーバー
●
デス ク ト ッ プ コ ン ピ ュ ー タ
●
ラ ッ プ ト ッ プ コ ンピ ュータ
●
ルー タ ーお よ びフ ァ イ ア ウ ォール
重要な外部アセ ッ ト と は Web に面 し てい る 、 と いわれ る 重要な外部アセ
ッ ト と は、 イ ン タ ーネ ッ ト と 通
重要
信す る 次の よ う なサーバーの こ と です。
重要な内部アセ ッ ト
●
Web サーバー
●
DNS サーバー
●
メ ール サーバー
●
SMTP サーバー
●
FTP サーバー
●
E-business 情報を処理ま たは格納す る デー タ ベース
重要な内部アセ
ッ ト と は、 一般的に、 次の よ う な情報ま たはプ ロ セ ス を含むサー
重要
バーお よ びデス ク ト ッ プの こ と です。
●
所有者独自の も の。 取引上の機密、 マーケ テ ィ ン グや製品開発の情報、 工業
規格、 プ ロ グ ラ ミ ン グ コ ー ド な ど。
●
内部的な も の。 従業員記録や給与情報な ど。
●
顧客に関す る も の。 支払い請求記録、 顧客資産記録、 患者記録な ど。
●
その他アセ ッ ト へのア ク セ ス を制御す る プ ロ セ ス。 ド メ イ ン コ ン ト ロ ー ラ 、
Active Directory サーバー、 Kerberos サーバーな ど。
●
他の重要なサーバー と の信頼関係。
SiteProtector Strategy Guide, Version 2.0 SP4
11
第 2 章 : 組織の評価
組織に最も適 し た戦略の決定
は じ めに
組織に最 も 適 し た防御戦略の決定は、 精密科学ではあ り ません。 最良の防御戦略
は、 1 つの戦略が変化 し た も のであ っ た り 、 い く つかの戦略が組み合わ さ れた も
のであ っ た り し ます。
防御戦略の種類
表 7 では、 こ の章で説明す る 防御戦略の種類について説明 し ます。
戦略
こ の戦略が推奨 さ れる組織
ミ ニマム
ネ ッ ト ワー ク セキ ュ リ テ ィ の優先度を低 く み
な し ている組織
外部脅威
組織外部から の脅威を、 セキ ュ リ テ ィ に対 し て
最大の脅威を も た ら す も の と みな し ている組織
内部脅威
組織内部から の脅威を、 セキ ュ リ テ ィ に対 し て
最大の脅威を も た ら す も の と みな し ている組織
最大数
組織内外から の脅威を、 セキ ュ リ テ ィ に対 し て
脅威を も た ら す も の と みな し ている組織
表 7: 防御戦略の種類
防御レ ベルに基づいた戦 表 8 では、 ネ ッ ト ワ ー ク の領域に適用 さ れた防御レベルに よ っ て分類 さ れた防御
略
戦略を示 し てい ます。
戦略
DMZ、
、 VPN、
、
イ ン ト ラネ ッ ト
フ ァ イ アウ ォ ール
ミ ニマム
簡単な防御
簡単な防御
外部脅威
強力な防御
簡単な防御
内部脅威
簡単な防御
強力な防御
最大数
強力な防御
強力な防御
表 8: 防御レ ベルに基づいた戦略
開始ポ イ ン ト
初めに 1 つの防御戦略を選択 し 、 後か ら 別の戦略ま たは複数戦略の組み合わせに
移行す る こ と がで き ます。 次の可能性について検討 し て く だ さ い。
●
12
内部ま たは外部脅威か ら の防御戦略か ら 始め、 その後マキ シマム防御戦略に
移行す る
組織に最 も 適 し た戦略の決定
●
移行経路の例
ミ ニマ ム防御戦略か ら 始め、 その後内部ま たは外部脅威か ら の防御戦略、 ま
たはマキ シマ ム防御戦略に移行す る
図 2 は、 防御戦略を使っ た移行経路の例を示 し た も のです。
Internal Threat Protection
Strategy
Minimum
OR
Maximum Protection
Strategy
External Threat Protection
Strategy
図 2: 移行経路の例
SiteProtector Strategy Guide, Version 2.0 SP4
13
第 2 章 : 組織の評価
図 3 は、 防御戦略を選択する 方法を ま と めた も のです。 こ の図を指針 と し て使
用 し て く だ さ い。 ただ し 、 こ の章に記載 さ れた質問事項の代わ り と し ては使わな
いで く だ さ い。
防御戦略のま と め
No
Use m axim um protection
strategy
No
Use m inim um protection
strategy
Does your core business
activity depend on highly
valuable proprietary
inform ation to which som e
or all em ployess have
access?
Y es
Y es
Does policy require you to
protect assets regardless of
value or risk?
D oes core business activity
depend on internet
resources?
Y es
No
Y es
No
Is any part of your network
exposed to the internet?
Use external threat
protection strategy
Does your core business
activity depend on highly
valuable proprietary
inform ation to which som e
or all em ployess have
access?
No
U se m inim um protection
strategy
図 3: 防御戦略のま と め
14
Use internal threat
protection strategy
Y es
Use m axim um protection
strategy
ミ ニ マム防御戦略
ミ ニマム防御戦略
説明
こ の戦略に従 う べきかど
う かの判断
次の手順
ミ ニマ ム防御戦略は、 次の も のに対 し て簡単な防御を提供 し ます。
●
フ ァ イ ア ウ ォールや、 露出 し たネ ッ ト ワ ー ク セグ メ ン ト (DMZ、 VPN な ど )
●
イ ン ト ラ ネ ッ ト 内のネ ッ ト ワ ー ク セグ メ ン ト 、 サーバー、 デス ク ト ッ プ
次の質問事項の う ち 3 つ以上に Yes と 答え た場合は、 ミ ニマ ム防御戦略の採用を
検討 し て く だ さ い。
Y
N
組織は、 内部脅威 と 外部脅威の両方から 低危険度の攻撃を受けて
いる。
Y
N
組織では一般的な脅威および脆弱点から の最低限の防御を必要 と
し ているが、 ネ ッ ト ワー ク セキ ュ リ テ ィ に高い優先度を付けてい
ない。
Y
N
組織では、 中心的な ビ ジネス活動をすべて イ ン ト ラ ネ ッ ト 内で
行っ ている。
Y
N
組織では、 必要最低限の機密情報 し か発生 し ていない、 または機
密情報へのア ク セス を少人数の従業員に限定 し ている。
Y
N
組織は、 イ ン タ ーネ ッ ト または リ モー ト ユーザーに対 し てあま り
露出 し ていない。
ミ ニマ ム防御戦略のガ イ ド ラ イ ンについては、 第 3 章 「アセ ッ ト の防御」 (19
ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
15
第 2 章 : 組織の評価
外部脅威から の防御戦略
は じ めに
こ の戦略に従 う べきかど
う かの判断
次の手順
16
外部脅威か ら の防御戦略は、 次の よ う な防御を提供 し ます。
●
フ ァ イ ア ウ ォールや露出 し たネ ッ ト ワ ー ク セグ メ ン ト (DMZ、 VPN な ど ) に
対す る 強力な防御
●
イ ン ト ラ ネ ッ ト セグ メ ン ト 、 ホ ス ト 、 デス ク ト ッ プに対する 簡単な防御
次の質問事項の う ち 3 つ以上に Yes と 答え た場合は、 外部脅威か ら の防御戦略の
採用を検討 し て く だ さ い。
Y
N
組織は、 外部脅威から 高危険度の攻撃を受け、 内部脅威から 低危
険度の攻撃を受けている。
Y
N
組織では、 中心的な ビ ジネス活動を イ ン タ ーネ ッ ト で行っ てい
る、 または重要な内部プ ロ セスや情報を イ ン タ ーネ ッ ト に対 し て
露出 さ せている。
Y
N
組織は、 イ ン タ ーネ ッ ト から の情報を処理する ホス ト と ネ ッ ト
ワー ク セグ メ ン ト に大き く 依存 し ている。
Y
N
組織では、 貴重な機密情報をほ と んど保管 し ていない、 またはそ
のよ う な情報へのア ク セス を選ばれた少人数の従業員に限定 し て
いる。
Y
N
組織には、 離れた場所から イ ン ト ラ ネ ッ ト にア ク セスするユー
ザーが多数在籍 し ている。
外部脅威か ら の防御戦略のガ イ ド ラ イ ンについては、 第 3 章 「アセ ッ ト の防御」
(19 ページ ) を参照 し て く だ さ い。
内部脅威か ら の防御戦略
内部脅威から の防御戦略
は じ めに
こ の戦略に従 う べきかど
う かの判断
次の手順
内部脅威か ら の防御戦略は、 次の よ う な防御を提供 し ます。
●
フ ァ イ ア ウ ォールや露出 し たネ ッ ト ワ ー ク セグ メ ン ト (DMZ、 VPN な ど ) に
対す る 簡単な防御
●
イ ン ト ラ ネ ッ ト セグ メ ン ト 、 サーバー、 デス ク ト ッ プに対する 強力な防御
次の質問事項の う ち 3 つ以上に Yes と 答え た場合は、 内部脅威か ら の防御戦略の
採用を検討 し て く だ さ い。
Y
N
組織は、 内部脅威から 高危険度の攻撃を受けている。
Y
N
組織では、 従業員や顧問、 契約社員の入れ替わ り が激 し い。
Y
N
組織では、 重要な内部プ ロ セスや情報が大人数の従業員に対 し て
露出 さ れている。
Y
N
組織では、 貴重な機密情報や取引上の機密、 顧客情報に、 選ばれ
た少人数の従業員以外で も ア ク セスで き る。
内部脅威か ら の防御戦略のガ イ ド ラ イ ンについては、 第 3 章 「アセ ッ ト の防御」
(19 ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
17
第 2 章 : 組織の評価
マキシ マム防御戦略
は じ めに
こ の戦略に従 う べきかど
う かの判断
次の手順
18
マキ シマ ム防御戦略は、 次の も のに対す る 強力な保護を提供す る ために内部脅威
か ら の防御戦略 と 外部脅威か ら の防御戦略 と を組み合わせた も のです。
●
フ ァ イ ア ウ ォールや、 露出 し たネ ッ ト ワ ー ク セグ メ ン ト (DMZ、 VPN な ど )
●
イ ン ト ラ ネ ッ ト 内のネ ッ ト ワ ー ク セグ メ ン ト 、 サーバー、 デス ク ト ッ プ
次の質問事項の う ち 3 つ以上に Yes と 答え た場合は、 マキ シマ ム防御戦略の採用
を検討 し て く だ さ い。
Y
N
組織は、 内部脅威 と 外部脅威の両方から 高危険度の攻撃を受けて
いる。
Y
N
組織では、 企業ポ リ シーまたは政府規制によ っ て、 リ ス ク や価値
に関係な く すべての資産を保護する よ う に求めら れている。
Y
N
組織では、 重要な内部プ ロ セスや情報が大人数の従業員に対 し て
露出 さ れている。
Y
N
組織では、 貴重な機密情報や取引上の機密に、 選ばれた少人数の
従業員以外で も ア ク セスで き る。
Y
N
組織は、 医療や政府、 信託の機関 と し て大き な責任 と 信用を保持
する立場にある。
Y
N
組織では、 中心的な ビ ジネス活動を イ ン タ ーネ ッ ト で行っ てい
る、 または重要な内部プ ロ セスや情報を イ ン タ ーネ ッ ト に対 し て
露出 さ せている。
マキ シマ ム防御戦略のガ イ ド ラ イ ンについては、 第 3 章 「アセ ッ ト の防御」 (19
ページ ) を参照 し て く だ さ い。
第3章
アセ ッ ト の防御
概要
は じ めに
こ の章では、 セ ンサー、 ス キ ャ ナー、 お よ びエージ ェ ン ト を使っ てネ ッ ト ワ ー ク
と ホ ス ト を防御す る 手順について説明 し ます。
こ の章の内容
こ の章では次のセ ク シ ョ ンについて説明 し ます。
セクシ ョ ン
ページ
ネ ッ ト ワー ク防御の配置
21
サーバー と デス ク ト ッ プの防御の配置
39
防御戦略の例
49
SiteProtector Strategy Guide, Version 2.0 SP4
19
第 3 章 : ア セ ッ ト の防御
20
セ ク シ ョ ン A:
ネ ッ ト ワー ク防御の配置
概要
は じ めに
ネ ッ ト ワ ー ク 防御は、 脅威 と 脆弱点に対す る 防御の き わめて重要な部分にあ た り
ます。 ネ ッ ト ワ ー ク 防御は、 イ ン ト ラ ネ ッ ト お よ び Web に面 し た ホ ス ト やルー
タ ー、 フ ァ イ ア ウ ォールを保護す る にあ た っ て重要です。
ISS のネ ッ ト ワー ク防御
エージ ェ ン ト
ネ ッ ト ワ ー ク 防御に使用 さ れ る ISS エージ ェ ン ト は、 次の と お り です。
こ のセ ク シ ョ ンの内容
●
ネ ッ ト ワ ー ク 防御シ ス テ ム
●
Internet Scanner アプ リ ケーシ ョ ン
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
ネ ッ ト ワー ク不正侵入検知
22
環境への NPS の導入
24
ネ ッ ト ワー ク スキ ャ ン
25
ネ ッ ト ワー ク スキ ャ ンの種類
27
ネ ッ ト ワー ク での ミ ニマム防御戦略
29
ネ ッ ト ワー ク での外部脅威か らの防御戦略
30
ネ ッ ト ワー ク での内部脅威か らの防御戦略
33
ネ ッ ト ワー ク でのマキシ マム防御戦略
35
SiteProtector Strategy Guide, Version 2.0 SP4
21
第 3 章 : ア セ ッ ト の防御
ネ ッ ト ワー ク 不正侵入検知
は じ めに
こ の ト ピ ッ ク では、 ネ ッ ト ワ ー ク 侵入検知 と 、 ネ ッ ト ワ ー ク 防御においてネ ッ ト
ワ ー ク 侵入検知が果たす役割について説明 し ます。
定義 : 攻撃
攻撃 と は、 ア ク セ ス制御を回避 し てシ ス テ ムへのア ク セ ス ま たは制御、 あ る いは
シ ス テ ムへのア ク セ ス の拒否な ど を行お う と す る 悪意のあ る 試みです。 攻撃方法
は、 ア ク セ ス の手段や攻撃者の目的に よ っ て さ ま ざ ま です。 攻撃の危険度は、 攻
撃者に よ る フ ァ イ ア ウ ォールの ping か ら 実際のホ ス ト 制御ま で多岐にわた り ま
す。
定義 : ネ ッ ト ワー ク侵入
検知
ネ ッ ト ワ ー ク 侵入検知は、 発生 し 得 る 脅威についてネ ッ ト ワ ー ク 防御シ ス テ ム と
フ ァ イ ア ウ ォールがネ ッ ト ワ ー ク の ト ラ フ ィ ッ ク を監視 し 、 SiteProtector に レ
ポー ト す る プ ロ セ ス です。 ネ ッ ト ワ ー ク 防御シ ス テ ムでは、 攻撃を識別す る ため
に、 さ ま ざ ま な技術 ( シ グネチ ャ やプ ロ ト コ ル分析な ど ) を使用 し ます。
Proventia G シ リ ーズ ア プ ラ イ ア ン ス - 不正侵入防御シ ス テ ム (Intrusion
Prevention System: IPS) と も 呼ばれ る Proventia G シ リ ーズは、 ト ラ フ ィ ッ ク を イ
ン ラ イ ンで監視お よ びブ ロ ッ ク す る こ と がで き ます。
Proventia M シ リ ーズ ア プ ラ イ ア ン ス - Proventia M シ リ ーズは、 フ ァ イ ア
ウ ォール、 VPN、 ス パム フ ィ ル タ リ ン グ、 ア ンチ ウ ィ ルス、 お よび不正侵入防
御を擁す る ネ ッ ト ワ ー ク セキ ュ リ テ ィ 統合アプ ラ イ ア ン ス です。
Proventia A シ リ ーズ ア プ ラ イ ア ン ス - Proventia A シ リ ーズ アプ ラ イ ア ン ス は、
不正侵入検知を行い、 デー タ ス ト リ ーム外の ト ラ フ ィ ッ ク を監視 し て こ れに対
応 し ます。
Network Sensor - Real Secure Network Sensor は、 不正侵入検知を行い、 デー タ
ス ト リ ーム外の ト ラ フ ィ ッ ク を監視 し て こ れに対応 し ます。
注記 : Third Party Module を通 じ て監査 イ ベン ト と 不正侵入検知 イ ベン ト を
SiteProtector に送信する よ う に、 特定の フ ァ イ ア ウ ォールを設定す る こ と がで き
ます。
定義 : レ スポン ス
ネ ッ ト ワ ー ク 防御シ ス テ ムは、 疑わ し い ト ラ フ ィ ッ ク に対 し て、 該当す る ユー
ザーへの警告、 情報の記録、 場合に よ っ ては ト ラ フ ィ ッ ク の中断ま たはブ ロ ッ ク
を試み る (IPS の場合 ) こ と に よ っ て自動的に応答 し ます。
注記 : レ ス ポ ン ス調整の詳細については、 第 6 章 「防御の調整 と ア ッ プデー ト 」
(87 ページ ) を参照 し て く だ さ い。
22
ネ ッ ト ワー ク 不正侵入検知
防御レ ベル
ネ ッ ト ワー ク 防御シ ステ
ムの一般的な配置場所
ネ ッ ト ワ ー ク 侵入検知に よ っ て規定 さ れ る 防御レベルは、 次の内容に よ っ て異な
り ます。
●
配置す る ネ ッ ト ワ ー ク 防御シ ス テ ムの数
●
ネ ッ ト ワ ー ク 防御シ ス テ ムの場所
●
監視対象 と し て選択す る ト ラ フ ィ ッ ク
●
使用す る レ ス ポ ン ス レベル
●
使用 さ れ る ポ リ シーの レベル
ネ ッ ト ワ ー ク 防御シ ス テ ムの一般的な配置場所は、 次の と お り です。
フ ァ イ アウ ォ ール - ト ラ フ ィ ッ ク の高い領域、 ま たは異な る 基準 ( 発信元ア ド レ
ス、 サービ ス、 ド メ イ ン名な ど ) に基づいて着信 ト ラ フ ィ ッ ク を選別す る 領域に
置かれた ソ フ ト ウ ェ ア ま たはデバ イ ス。
集約ポ イ ン ト - 大量の ト ラ フ ィ ッ ク に接す る ネ ッ ト ワー ク 領域 ( ゲー ト ウ ェ イ 、
DMZ、 デー タ セン タ ー、 部門間の リ ン ク な ど )。
ネ ッ ト ワー ク 防御シ ステ
ムによ る ト ラ フ ィ ッ ク 監
視方法
ネ ッ ト ワ ー ク 防御シ ス テ ムに よ る ト ラ フ ィ ッ ク の監視 と ブ ロ ッ ク の方法は、 シ ス
テ ムがデー タ ス ト リ ームのど こ に位置 し てい る か、 ま た ど の よ う に設定 さ れて
い る かに よ っ て異な り ます。
イ ン ラ イ ン での ト ラ フ ィ ッ ク 監視 - デー タ ス ト リ ーム内で ト ラ フ ィ ッ ク を監視
す る ネ ッ ト ワ ー ク 防御シ ス テ ムは、 攻撃の阻止に最 も 効果的です。 Proventia G シ
リ ーズな ど のネ ッ ト ワ ー ク 防御シ ス テ ムは、 TCP/IP ス タ ッ ク の至 る と こ ろで ト
ラ フ ィ ッ ク を分析 し 、 当該セグ メ ン ト にあ る ホ ス ト へ到達す る 前にブ ロ ッ ク す る
こ と がで き ます。 こ れ ら のデバ イ スは実際にデー タ ス ト リ ーム内に位置する た
め、 待ち時間が生 じ てネ ッ ト ワ ー ク パフ ォーマ ン ス に影響する 可能性があ り ま
す。
無差別モー ド での ト ラ フ ィ ッ ク 監視 - デー タ ス ト リ ーム外か ら 受動的に ト ラ
フ ィ ッ ク を監視す る ネ ッ ト ワ ー ク 防御シ ス テ ムは、 ネ ッ ト ワ ー ク パフ ォーマ ン
ス に影響を与え ません。 ただ し 、 イ ン ラ イ ン シ ス テ ムの よ う には、 攻撃を効果
的に阻止す る こ と があ り ません。 無差別モー ド で ト ラ フ ィ ッ ク を監視す る シ ス テ
ムは、 Kill レ ス ポ ン ス ま たは TCP リ セ ッ ト コ マ ン ド を送信する よ う に設定可能
です。 こ れ ら の コ マ ン ド は、 一部の種類の接続を切断 し よ う と 試みますが、 UDP
な ど の コ ネ ク シ ョ ン レ ス プ ロ ト コ ルを使用する 攻撃を阻止する こ と はで き ませ
ん。
参照 : NPS 配置オプシ ョ ンの詳細については、 「環境への NPS の導入」 (24 ペー
ジ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
23
第 3 章 : ア セ ッ ト の防御
環境への NPS の導入
は じ めに
ネ ッ ト ワ ー ク 防御シ ス テ ム (Network Protection System: NPS) は、 正当な ト ラ
フ ィ ッ ク がネ ッ ト ワ ー ク を流れ る こ と を許可す る 一方で、何千 も の悪質なデー タ
ス ト リ ーム を同時に監視お よ びブ ロ ッ ク す る こ と がで き ます。 ネ ッ ト ワ ー ク の中
断を避け る ため、 こ の ト ピ ッ ク のガ イ ド ラ イ ン を使用 し て、 環境に NPS を徐々
に導入 し て く だ さ い。
NPS の動作モー ド
NPS には、 環境におけ る NPS の影響 と ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の監視方法を
管理す る ための 3 つのモー ド があ り ます。 Proventia G シ リ ーズは、 こ れ ら の動作
モー ド を備えた唯一のネ ッ ト ワ ー ク 防御シ ス テ ムです。
NPS 動作モー ド 使用で
考慮すべき事項
操作モー ド を使用 し て環境に NPS を導入する 場合は、 次の点を考慮 し ます。
パ ッ シ ブ モニ タ リ ング - パ ッ シブ モー ド ま たは無差別モー ド に設定 さ れた NPS
が、 ハブ、 タ ッ プ、 ま たは ス キ ャ ン ポー ト を使用 し てデー タ ス ト リ ーム外の ト
ラ フ ィ ッ ク を監視 し ます。 こ のモー ド に設定 さ れた NPS は、 パケ ッ ト 待ち時間
を増や し ません。 現行のパ ッ シブ モニ タ リ ン グ シ ス テ ム を NPS と 置 き 換え る 場
合、 ま たは NPS を別のシ ス テ ム と 平行 し て実行する 場合に、 NPS をパ ッ シブ
モー ド で配置 し ます。 こ の方法では、 NPS のパフ ォーマン ス と 、 同様の設定を
使用す る 別のシ ス テ ム と を比較す る こ と がで き ます。
イ ン ラ イ ン シ ミ ュ レーシ ョ ン - イ ン ラ イ ン シ ミ ュ レーシ ョ ン モー ド に設定 さ れ
た NPS は、 デー タ ス ト リ ーム内に置かれ る 専用のネ ッ ト ワー ク デバ イ ス です。
こ のモー ド を使用 し て NPS を配置する と 、 NPS がブ ロ ッ ク を行わないで ど の よ
う に動作す る のか監視す る こ と がで き ます。 イ ン ラ イ ン シ ミ ュ レーシ ョ ン モー
ド は、 イ ン ラ イ ン ブ ロ ッ キ ン グが有効化 さ れた場合に中断 さ れ る 接続を観測で
き る ため、 セキ ュ リ テ ィ ポ リ シーを調整する 場合に効果的な方法です。
参照 : セキ ュ リ テ ィ ポ リ シー調整のガ イ ド ラ イ ンについては、 「セキ ュ リ テ ィ ポ
リ シー と レ ス ポ ン ス の管理」 (89 ページ ) を参照 し て く だ さ い。
イ ン ラ イ ン プ ロ テ ク シ ョ ン - イ ン ラ イ ン プ ロ テ ク シ ョ ン モー ド では、 イ ン ラ イ
ン ブ ロ ッ キ ン グが完全に有効化 さ れます。 イ ン ラ イ ン シ ミ ュ レーシ ョ ン モー ド
でシ ス テ ムのパフ ォーマン ス に基づいてポ リ シーを調整 し た後に、 イ ン ラ イ ン
プ ロ テ ク シ ョ ン モー ド で NPS を配置 し ます。
24
ネ ッ ト ワー ク スキ ャ ン
ネ ッ ト ワー ク スキ ャ ン
は じ めに
ISS Internet Scanner アプ リ ケーシ ョ ンは、 ネ ッ ト ワー ク の脆弱点を識別 し ます。
ネ ッ ト ワ ー ク ス キ ャ ンは一般的に、 ス キ ャ ン を受け る ホ ス ト ま たはデス ク ト ッ
プの外側にあ る デバ イ ス か ら 開始 さ れます。 こ の よ う な ス キ ャ ンに よ っ て、 ロ ー
カル ア カ ウ ン ト のア ク セ ス権を持たない攻撃者が悪用する 可能性のあ る 脆弱点
が検出 さ れます。
防御レ ベル
ネ ッ ト ワ ー ク ス キ ャ ンに よ っ て規定 さ れ る 防御レベルは、 次の内容に よ っ て異
な り ます。
ア ク セス権
●
Internet Scanner の イ ン ス タ ン ス の場所
●
ネ ッ ト ワ ー ク 上のアプ リ ケーシ ョ ン
●
ス キ ャ ン対象のホ ス ト
●
ス キ ャ ンの頻度
●
ス キ ャ ン を実行す る Internet Scanner イ ン ス タ ン ス のア ク セ ス権
ア ク セ ス権は、 ホ ス ト ま たはセグ メ ン ト で ス キ ャ ン を行 う 場合に Internet Scanner
アプ リ ケーシ ョ ンがア ク セ ス可能なシ ス テ ム リ ソ ース を決定 し ます。
脆弱点チ ェ ッ ク - 一部の脆弱点チ ェ ッ ク ではア ク セ ス権を利用 し て、 脆弱点を実
際に悪用す る こ と な く 脆弱点の有無を判断 し 、 シ ス テ ムやサービ ス が中断 さ れな
い よ う に し ます。
権限の引き上げ - 優先度の高い ス キ ャ ン を実行す る 場合は、 ア ク セ ス権の引 き 上
げを検討 し ます。 た と えば、 最初に ロ ーカル管理者の権限を使っ て ス キ ャ ン を行
い、 その後 さ ら に高いア ク セ ス権 ( ド メ イ ン管理者の権限な ど ) に引 き 上げてい
く こ と を検討 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
25
第 3 章 : ア セ ッ ト の防御
スキ ャ ンの優先度
ス キ ャ ンの優先度は、 こ の章で ス キ ャ ンの重要性を格付けす る ために使用す る 数
値です。 ス キ ャ ンの優先度を使用 し て、 ス キ ャ ンの頻度や適用す る ポ リ シーの レ
ベルを決定 し ます。 た と えば、 高優先度ス キ ャ ン を低優先度ス キ ャ ン よ り も 高い
頻度で実行す る よ う に し た り 、 さ ら に厳 し いポ リ シーを高優先度ス キ ャ ンに適用
し た り す る こ と がで き ます。
参照 : ス キ ャ ン調整の詳細については、 第 6 章 「防御の調整 と ア ッ プデー ト 」
(87 ページ ) を参照 し て く だ さ い。
26
ネ ッ ト ワー ク スキ ャ ンの種類
ネ ッ ト ワー ク スキ ャ ンの種類
は じ めに
ネ ッ ト ワ ー ク ス キ ャ ンには、 次の 3 種類があ り ます。
●
ルー タ ー
●
境界
●
イン ト ラネッ ト
定義 : ポ リ シー
ポ リ シーは、 ネ ッ ト ワ ー ク で ど の脅威ま たは脆弱点を監視す る かを決定す る 、 セ
キ ュ リ テ ィ 設定の集合です。 各センサーは、 設定 さ れた防御レベル と ホ ス ト のオ
ペレーテ ィ ン グ シ ス テ ムに基づいて グループ分け さ れた、 独自のポ リ シー セ ッ
ト を持っ てい ます。
ルー タ ー スキ ャ ン
ルー タ ー - ネ ッ ト ワー ク パケ ッ ト が都合 よ く ネ ッ ト ワ ー ク を通過で き る 経路を、
アルゴ リ ズ ムやプ ロ ト コ ル、 ルーテ ィ ン グ テーブル情報を使っ て判断する デバ
イ ス。 攻撃者は、 自分の IP ア ド レ ス をルー タ ーのプ ロ ト コ ル テーブルに追加す
る こ と でルー タ ーを悪用 し 、 情報を入手 し よ う と 試みます。 こ う す る こ と で攻撃
者は、 通常は信頼 さ れた ホ ス ト し かア ク セ ス で き ないユーザー パス ワ ー ド やア
ルゴ リ ズ ム な ど の情報を取 り 出せ る よ う にな り ます。
ルー タ ー スキ ャ ン - こ れ ら の ス キ ャ ンは通常、 境界ス キ ャ ンの一部 と し て組み
込まれてい ます。 ルー タ ーは攻撃者か ら 最初に攻撃を受け る ポ イ ン ト と な る こ と
が多いため、 外部ルー タ ーの ス キ ャ ンは重要です。
境界スキ ャ ン
境界ス キ ャ ンは、 フ ァ イ ア ウ ォールの脆弱点を テ ス ト し ます。 境界ス キ ャ ンに
は、 次の種類があ り ます。
外部境界スキ ャ ン - フ ァ イ ア ウ ォールを通 じ て許可 さ れてい る 外部の フ ァ イ ア
ウ ォールま たはサービ ス のセキ ュ リ テ ィ が侵害可能であ る か ど う か確認 し ます。
こ れ ら の ス キ ャ ンは、 フ ァ イ ア ウ ォールの外側にあ る デバ イ ス か ら 開始 し ます。
ISS では、 ス キ ャ ン を行 う と き に、 次の順序で権限を引 き 上げ る こ と をお勧め し
ます。
1. ネ ッ ト ワ ー ク 権限を持た ない外部ア カ ウ ン ト を使用 し て、 侵入者がア ク セ ス
で き る も のを確認 し ます。
2. ロ ーカル ア カ ウ ン ト ま たはユーザー レベルの権限を使用 し て、 許可 さ れた
ユーザーがア ク セ ス で き る も のを確認 し ます。
3. ド メ イ ン管理者の権限を使用 し て、 管理者がア ク セ ス で き る も のを確認 し ま
す。
SiteProtector Strategy Guide, Version 2.0 SP4
27
第 3 章 : ア セ ッ ト の防御
内部境界スキ ャ ン - 内部フ ァ イ ア ウ ォールのセキ ュ リ テ ィ が侵害可能であ る か ど
う かを確認 し ます。 こ れ ら の ス キ ャ ンは、 外部境界ス キ ャ ンの場合 と 同 じ 権限を
使っ て、 DMZ 内のデバ イ ス か ら 開始 し ます。
イ ン ト ラ ネ ッ ト スキ ャ
ン
イ ン ト ラ ネ ッ ト スキ ャ ン - ネ ッ ト ワー ク セグ メ ン ト と ホ ス ト の脆弱点を識別 し
ます。
デー タ ベース スキ ャ ン - 一部の Internet Scanner ポ リ シーは、 デー タ ベース の脆
弱点を識別 し ます。
28
ネ ッ ト ワー ク での ミ ニ マム防御戦略
ネ ッ ト ワー ク での ミ ニマム防御戦略
は じ めに
こ の ト ピ ッ ク では、 ミ ニマム防御戦略を使っ たネ ッ ト ワ ー ク 防御シ ス テ ムの配置
場所 と ネ ッ ト ワ ー ク ス キ ャ ンの実行方法について説明 し ます。
ネ ッ ト ワー ク 防御シ ステ
ムの配置
次のガ イ ド ラ イ ン を使用 し て、 ネ ッ ト ワ ー ク にネ ッ ト ワ ー ク 防御シ ス テ ム を配
置、 設定 し ます。
ネ ッ ト ワー ク領域
セ ンサーの配置 と 設定
DMZ
ネ ッ ト ワー ク防御シ ステムを外部 フ ァ イ アウ ォ ール
の内側に配置する
イン ト ラネッ ト
ネ ッ ト ワー ク防御シ ステムを イ ン ト ラ ネ ッ ト の主要
な集約ポ イ ン ト に配置する
表 9: ネ ッ ト ワー ク防御シス テムの配置
注記 : ネ ッ ト ワ ー ク に VPN ま たはエ ク ス ト ラ ネ ッ ト が含まれてい る 場合は、
「ネ ッ ト ワー ク での外部脅威か ら の防御戦略」 (30 ページ ) で説明 さ れてい る 外部
脅威か ら の防御戦略の使用を検討 し て く だ さ い。
ネ ッ ト ワー ク スキ ャ ン
のガ イ ド ラ イ ン
ネ ッ ト ワ ー ク を ス キ ャ ンす る 場合は、 次のガ イ ド ラ イ ン を使用 し ます。
●
フ ァ イ ア ウ ォールの外側か ら DMZ の内側に対 し て境界ス キ ャ ン を開始 し 、
Web に面 し たホ ス ト のみを ス キ ャ ンす る
●
外部フ ァ イ ア ウ ォールの外側にあ る ルー タ ーを ス キ ャ ンす る
SiteProtector Strategy Guide, Version 2.0 SP4
29
第 3 章 : ア セ ッ ト の防御
ネ ッ ト ワー ク での外部脅威から の防御戦略
は じ めに
Web に面 し たホス ト と
信頼 さ れたホス ト
こ の ト ピ ッ ク では、 外部脅威か ら の防御戦略を使っ たネ ッ ト ワ ー ク 防御シ ス テ ム
の配置場所 と ネ ッ ト ワ ー ク ス キ ャ ンの実行方法について説明 し ます。 外部脅威
か ら の防御戦略は、 次の も のを防御 し ます。
●
DNZ 内お よび VPN 内のホ ス ト
●
DNZ お よび VPN と 通信す る イ ン ト ラ ネ ッ ト ホ ス ト
Web に面 し たホ ス ト ( パブ リ ッ ク IP ア ド レ ス と も い う ) は、 イ ン タ ーネ ッ ト と
のオープン な通信を保持す る ため、 イ ン ト ラ ネ ッ ト 内のホ ス ト よ り も 一般的に脆
弱性が高 く な り ます。 Web に面 し たホ ス ト は、 多 く の場合、 イ ン ト ラ ネ ッ ト 内
のホ ス ト と 信頼関係を持っ てい ます。 許可 さ れた通信の タ イ プに よ り ますが、 こ
の よ う な信頼関係に よ っ て、 比較的安全なネ ッ ト ワ ー ク 領域にあ る ホ ス ト が、
Web に面 し たホ ス ト が さ ら さ れてい る の と 同 じ 脅威に さ ら さ れ る 可能性があ り
ます。
E-commerce サイ ト : 防 外部脅威か ら の防御戦略を使用 し て e-business サ イ ト を防御す る には、 重要な商
取引を処理す る ホ ス ト に防御を講 じ る こ と と 、 商取引を行お う と し てい る 顧客が
御 vs. 可用性
こ れ ら のホ ス ト を利用で き る よ う にす る こ と と の間で、 バ ラ ン ス を取 る 必要があ
り ます。 こ のバ ラ ン ス を保つには、 次の内容を検討 し ます。
●
頻繁に ス キ ャ ン を行 う が、 重要な通信ま たはサービ ス を中断 さ せ る こ と がわ
かっ てい る 脆弱点チ ェ ッ ク は避け る
●
で き る だけ多 く の ト ラ フ ィ ッ ク を監視す る が、 重要な ト ラ ンザ ク シ ョ ン を処
理す る サーバーでの通信を中断 さ せ る ポ リ シー レ ス ポ ン ス は避け る
参照 : 重要な ホ ス ト の詳細については、 「重要なアセ ッ ト の確定」 (11 ページ ) を
参照 し て く だ さ い。
30
ネ ッ ト ワー ク での外部脅威か ら の防御戦略
ネ ッ ト ワー ク 防御シ ステ
ムの配置
次のガ イ ド ラ イ ン を使用 し て、 ネ ッ ト ワ ー ク にネ ッ ト ワ ー ク 防御シ ス テ ム を配置
し ます。
ネ ッ ト ワー ク領
域
セ ンサーの配置 と 設定
DMZ
•
ネ ッ ト ワー ク 防御シ ステムを外部 フ ァ イ アウ ォ ールの内
側に配置する
•
ネ ッ ト ワー ク 防御シ ステムを外部 フ ァ イ アウ ォ ールの外
側に配置する
•
次のホス ト 間 ト ラ フ ィ ッ ク を ミ ラ ー リ ングする :
•
DMZ 内のホス ト と 、 これ ら ホス ト と 信頼関係にある
ホス ト
•
DMZ 内のホス ト と 、 イ ン ト ラ ネ ッ ト 内の重要
重要なホス
重要
ト ( デー タ ベースな ど )
注記 : ネ ッ ト ワー ク 防御シス テムを外部フ ァ イ アウ ォ ールの
外側に置 く と 、 大量のイ ベン ト が生成 さ れる可能性があ り
ます。 このよ う なセ ンサー ポ リ シーのシグネチ ャ を フ ァ イ
アウ ォ ール攻撃に限定する こ と を検討 し て く だ さ い。
チ ェ ッ ク と シグネチ ャ の変更に関する詳細については、 第 6
章 「防御の調整 と ア ッ プデー ト 」 を参照 し て く だ さ い。
イン ト ラネッ ト
ネ ッ ト ワー ク 防御シ ステムを イ ン ト ラ ネ ッ ト の集約ポ イ ン
ト に配置する
VPN
ネ ッ ト ワー ク 防御シ ステムを イ ン ト ラ ネ ッ ト と VPN と の間
の集約ポ イ ン ト に配置する
表 10: ネ ッ ト ワー ク防御シス テムの配置
ネ ッ ト ワー ク スキ ャ ン
のガ イ ド ラ イ ン
次のガ イ ド ラ イ ン を使用 し て、 Internet Scanner イ ン ス タ ン ス に よ っ てネ ッ ト ワ ー
ク を ス キ ャ ン し ます。
優先度
スキ ャ ンの種類
スキ ャ ン対象のホス ト
1
権限引き上げを使用 し た、 フ ァ イ ア
ウ ォ ールの外側か ら DMZ の内側に対
する境界スキ ャ ン
DMZ 内にある、 Web に
面 し たすべてのホス ト
表 11: ネ ッ ト ワー ク スキ ャ ンのガ イ ド ラ イ ン
SiteProtector Strategy Guide, Version 2.0 SP4
31
第 3 章 : ア セ ッ ト の防御
優先度
スキ ャ ンの種類
2
権限引き上げを使用 し た、 DMZ の内側 Web に面 し たデー タ ベー
か ら イ ン ト ラ ネ ッ ト に対する境界ス
ス、 プ ロキシ サーバー、
キャ ン
内部 フ ァ イ アウ ォ ール、
電子 メ ール サーバー
3
ルー タ ー スキ ャ ン
Web に面 し たすべての
ルー タ ー
4
イ ン ト ラ ネ ッ ト スキ ャ ン
Web に面 し たすべてのホ
スト
表 11: ネ ッ ト ワー ク スキ ャ ンのガ イ ド ラ イ ン
32
スキ ャ ン対象のホス ト
ネ ッ ト ワー ク での内部脅威か ら の防御戦略
ネ ッ ト ワー ク での内部脅威から の防御戦略
は じ めに
こ の ト ピ ッ ク では、 内部脅威か ら の防御戦略を使っ たネ ッ ト ワ ー ク 防御シ ス テ ム
の配置場所 と ネ ッ ト ワ ー ク ス キ ャ ンの実行方法について説明 し ます。 内部脅威
か ら の防御戦略は、 イ ン ト ラ ネ ッ ト 内の重要なホ ス ト お よ びセグ メ ン ト を防御 し
ます。
機密情報を処理する セグ
メント
機密関係の ト ラ フ ィ ッ ク - イ ン ト ラ ネ ッ ト 内のアセ ッ ト を効果的に防御す る に
は、 機密関係の ト ラ フ ィ ッ ク を処理す る ネ ッ ト ワ ー ク セグ メ ン ト が どれなのか
確認す る 必要があ り ます。 機密関係 ト ラ フ ィ ッ ク の例は、 次の と お り です。
●
経理部の フ ァ イ ル サーバーか ら 行き 来する ト ラ フ ィ ッ ク
●
人事部の フ ァ イ ル サーバーか ら 行き 来する ト ラ フ ィ ッ ク
Proventia M シ リ ーズ ア プ ラ イ ア ン ス - Proventia M シ リ ーズ アプ ラ イ ア ン ス は、
フ ァ イ ア ウ ォール と 不正侵入検知の機能を、 機密情報を処理す る 集約ポ イ ン ト に
提供す る こ と がで き ます。 こ の よ う な重要な内部ゲー ト ウ ェ イ に Proventia M シ
リ ーズ アプ ラ イ ア ン ス を配置する こ と を検討 し て く だ さ い。
ネ ッ ト ワー ク 防御シ ステ
ムの配置
次のガ イ ド ラ イ ン を使用 し て、 ネ ッ ト ワ ー ク にネ ッ ト ワ ー ク 防御シ ス テ ム を配
置、 設定 し ます。
ネ ッ ト ワー ク
領域
セ ンサーの配置 と 設定
DMZ
ネ ッ ト ワー ク 防御シ ステムを外部フ ァ イ ア
ウ ォ ールの内側 と 外側に配置する
イン ト ラネッ
ト
•
ネ ッ ト ワー ク 防御シ ステムをすべての集
約ポ イ ン ト に配置する
•
Proventia M シ リ ーズ ア プ ラ イ ア ン ス を
機密関係の ト ラ フ ィ ッ ク を処理する集約
ポ イ ン ト に配置する
•
すべての重要
重要なホス
ト と 従業員以外 ( 契
重要
約社員、 顧問 ) がア ク セスするホス ト と
の間の ト ラ フ ィ ッ ク を ミ ラ ー リ ングする
•
機密情報を処理する全ホス ト 間の ト ラ
フ ィ ッ ク を ミ ラ ー リ ングする
表 12: ネ ッ ト ワー ク防御シス テムの配置
SiteProtector Strategy Guide, Version 2.0 SP4
33
第 3 章 : ア セ ッ ト の防御
ネ ッ ト ワー ク スキ ャ ン
のガ イ ド ラ イ ン
次のガ イ ド ラ イ ン を使用 し て、 Internet Scanner イ ン ス タ ン ス に よ っ てネ ッ ト ワ ー
ク を ス キ ャ ン し ます。
優先度
スキ ャ ンの種類
スキ ャ ン対象のホス ト
1
権限引き上げを使用 し た、
フ ァ イ アウ ォ ールの外側か
ら DMZ の内側に対する境
界スキ ャ ン
DMZ 内にある、 Web に面 し たすべ
てのホス ト
2
ルー タ ー スキ ャ ン
Web に面 し たすべてのルー タ ー
3
イ ン ト ラ ネ ッ ト スキ ャ ン
•
すべての重要
重要なホス
ト
重要
•
従業員以外 ( 契約社員、 顧問 ) が
ア ク セスするすべてのホス ト
•
大勢の従業員がア ク セスする複
数ホス ト と のオープ ン な通信を
維持 し ている、 すべての重要
重要な
重要
ホス ト
表 13: ネ ッ ト ワー ク スキ ャ ンのガ イ ド ラ イ ン
34
ネ ッ ト ワー ク でのマキシ マム防御戦略
ネ ッ ト ワー ク でのマキシ マム防御戦略
は じ めに
マキ シマ ム防御戦略は、 外部ネ ッ ト ワ ー ク と イ ン ト ラ ネ ッ ト の両方で重要なホ ス
ト お よ びセグ メ ン ト を防御 し ます。
VPN での考慮事項
ネ ッ ト ワ ー ク に VPN が含まれてい る けれど も 大規模な Web が存在 し ない場合
は、 次のガ イ ド ラ イ ン を検討 し て く だ さ い。
ネ ッ ト ワー ク 防御シ ステ
ムの配置
●
内部脅威か ら の防御戦略のガ イ ド ラ イ ン
●
VPN にあ てはま る 外部脅威か ら の防御戦略のガ イ ド ラ イ ン
次のガ イ ド ラ イ ン を使用 し て、 ネ ッ ト ワ ー ク にネ ッ ト ワ ー ク 防御シ ス テ ム を配
置、 設定 し ます。
ネ ッ ト ワー ク領域
セ ンサーの配置 と 設定
DMZ
•
ネ ッ ト ワー ク 防御シ ステムを外部フ ァ イ ア
ウ ォ ールの内側 と 外側に配置する
•
次のホス ト 間 ト ラ フ ィ ッ ク を ミ ラ ー リ ングす
る:
•
DMZ 内のホス ト と 、 これら ホス ト と 信頼
関係にある ホス ト
•
DMZ 内のホス ト と 、 イ ン ト ラ ネ ッ ト 内の
重要なホス
重要
ト ( デー タ ベースな ど )
注記 : ネ ッ ト ワー ク 防御シ ス テムを外部フ ァ イ ア
ウ ォ ールの外側に置 く と 、 大量のイ ベン ト が生成
さ れる可能性があ り ます。 このよ う なセ ンサー ポ
リ シーのシグネチ ャ を フ ァ イ アウ ォ ール攻撃に限
定する こ と を検討 し て く だ さ い。
表 14: ネ ッ ト ワー ク防御シス テムの配置
SiteProtector Strategy Guide, Version 2.0 SP4
35
第 3 章 : ア セ ッ ト の防御
ネ ッ ト ワー ク領域
セ ンサーの配置 と 設定
イン ト ラネッ ト
•
ネ ッ ト ワー ク 防御シ ステムをすべての集約ポ
イ ン ト に配置する
•
Proventia M シ リ ーズ ア プ ラ イ ア ン ス を機密関
係の ト ラ フ ィ ッ ク を処理する集約ポ イ ン ト に
配置する
•
すべての重要
重要なホス
ト と 従業員以外 ( 契約社
重要
員、 顧問 ) がア ク セスする ホス ト と の間の ト ラ
フ ィ ッ ク を ミ ラ ー リ ングする
•
機密情報を処理する全ホス ト 間の ト ラ フ ィ ッ
ク を ミ ラ ー リ ングする
VPN
ネ ッ ト ワー ク 防御シ ステムを イ ン ト ラ ネ ッ ト と
VPN と の間の集約ポ イ ン ト に配置する
表 14: ネ ッ ト ワー ク防御シス テムの配置
36
ネ ッ ト ワー ク スキ ャ ン
のガ イ ド ラ イ ン
ネ ッ ト ワ ー ク を ス キ ャ ンす る 場合は、 次のガ イ ド ラ イ ン を使用 し ます。
優先度
スキ ャ ンの種類
スキ ャ ン対象のホス ト
1
権限引き上げを使用 し た、 フ ァ
イ アウ ォ ールの外側から DMZ
の内側に対する境界スキ ャ ン
DMZ 内にある、 Web に面 し たす
べてのホス ト
2
権限引き上げを使用 し た、
DMZ の内側から イ ン ト ラ ネ ッ
ト に対する境界スキ ャ ン
Web に面 し たデー タ ベース、 プ
ロキシ サーバー、 内部 フ ァ イ ア
ウ ォ ール、 電子 メ ール サーバー
3
ルー タ ー スキ ャ ン
Web に面 し たすべてのルー タ ー
4
イ ン ト ラ ネ ッ ト スキ ャ ン
•
イ ン ト ラ ネ ッ ト 内にある、 す
べての重要
重要なホス
ト
重要
•
従業員以外がア ク セスするす
べてのホス ト
•
大勢の従業員がア ク セスする
複数ホス ト と の信頼 さ れた通
信を維持 し ているすべてのホ
スト
表 15: ネ ッ ト ワー ク スキ ャ ンのガ イ ド ラ イ ン
SiteProtector Strategy Guide, Version 2.0 SP4
37
第 3 章 : ア セ ッ ト の防御
38
概要
セ ク シ ョ ン B:
配置
サーバー と デス ク ト ッ プの防御の
概要
は じ めに
サーバー と デス ク ト ッ プの防御は、 イ ン ト ラ ネ ッ ト お よ び DMZ 内にあ る ホ ス ト
への脅威 と 脆弱点に対す る 防御の重要な部分にあ た り ます。 こ のセ ク シ ョ ンで
は、 Server Sensor、 System Scanner、 お よび Desktop Protector エージ ェ ン ト を サー
バー と デス ク ト ッ プに配置す る 方法について説明 し ます。
サーバー と デス ク ト ッ プ
の防御に使われる ISS
エージ ェ ン ト
サーバー と デス ク ト ッ プの防御に使用 さ れ る ISS エージ ェ ン ト は、 次の と お り で
す。
こ のセ ク シ ョ ンの内容
●
System Scanner アプ リ ケーシ ョ ン
●
Server Sensor
●
Desktop Protector エージ ェ ン ト
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
ホス ト 侵入検知について
40
Server Sensor と Desktop Protector の監査機能
41
ホス ト スキ ャ ン
43
サーバー と デス ク ト ッ プ での ミ ニマム防御戦略
44
サーバー と デス ク ト ッ プ での外部脅威か らの防御戦略
45
サーバー と デス ク ト ッ プ での内部脅威か らの防御戦略
46
サーバー と デス ク ト ッ プ でのマキシ マム防御戦略
47
SiteProtector Strategy Guide, Version 2.0 SP4
39
第 3 章 : ア セ ッ ト の防御
ホス ト 侵入検知について
は じ めに
防御レ ベル
次の ISS エージ ェ ン ト を使用 し て、 ホ ス ト 侵入検知を行い ます。
●
サーバー防御用に RealSecure Server Sensor
●
デス ク ト ッ プお よ び ラ ッ プ ト ッ プの防御用に Desktop Protector
ホ ス ト 侵入検知に よ っ て規定 さ れ る 防御レベルは、 次の内容に よ っ て異な り ま
す。
●
Server Sensor の配置先サーバー
●
Desktop Protector エージ ェ ン ト の配置先デス ク ト ッ プ
●
有効にす る Server Sensor お よ び Desktop Protector の ロ グの タ イ プ
参照 : Server Sensor の ロ グは、 ホ ス ト 侵入検知の重要な一部分を成 し てい ます。
ロ グの重要性については、 「Server Sensor と Desktop Protector の監査機能」
(41 ページ ) を参照 し て く だ さ い。
フ ァ イ アウ ォ ール
フ ァ イ ア ウ ォールはホ ス ト 侵入検知の重要な一部分を成 し てお り 、 ト ラ フ ィ ッ ク
を待ち受けてブ ロ ッ ク で き る よ う に し ます。 Server Sensor と Desktop Protector を
使用す る と 、 ア ド レ ス、 ポー ト 、 ポー ト やア ド レ ス の範囲か ら の ト ラ フ ィ ッ ク を
ブ ロ ッ ク す る こ と がで き ます。 こ れに よ っ て、 攻撃の阻止、 脆弱点の危険性の緩
和、 重要なホ ス ト への攻撃者に よ る ア ク セ ス の阻止を行 う こ と がで き ます。
ア プ リ ケーシ ョ ン と シ ス
テムの整合性
Desktop Protector のアプ リ ケーシ ョ ン と シ ス テ ムの整合性機能を使用する と 、 許
可 さ れていないアプ リ ケーシ ョ ン ( ワームや ト ロ イ の木馬な ど ) がデス ク ト ッ プ
で実行 し ない よ う にブ ロ ッ ク す る こ と がで き ます。 具体的には、 選択 し た アプ リ
ケーシ ョ ン を監視お よ び防御 し 、 ま た こ れ ら が実行 し ない よ う に し ます。 こ の機
能は、 VPN ま たはダ イ ヤルア ッ プ接続を通 じ て リ モー ト か ら イ ン ト ラ ネ ッ ト に
ア ク セ スす る よ う なデス ク ト ッ プにおけ る 不正なア ク テ ィ ビ テ ィ 、 あ る いは内部
で濫用お よ び悪用 さ れやすい無許可ア ク テ ィ ビ テ ィ を制御す る う えで不可欠で
す。
注意 : アプ リ ケーシ ョ ン と シ ス テ ムの整合性が正 し く 設定 さ れていない と 、 許
可 さ れたユーザーが自分のデス ク ト ッ プへのア ク セ ス を拒否 さ れた り 、 重要なア
プ リ ケーシ ョ ンが実行を妨げ ら れた り す る 可能性があ り ます。 アプ リ ケーシ ョ ン
と シ ス テ ムの整合性機能を使 う 場合は、 十分に注意 し て く だ さ い。
40
Server Sensor と Desktop Protector の監査機能
Server Sensor と Desktop Protector の監査機能
は じ めに
ネ ッ ト ワ ー ク 防御シ ス テ ム と は異な り 、 Server Sensor と Desktop Protector エー
ジ ェ ン ト は、 暗号化 さ れた通信層 よ り 上の ト ラ フ ィ ッ ク を監視す る こ と がで き ま
す。 こ のため、 Server Sensor と Desktop Protector の ロ グには、 ネ ッ ト ワ ー ク 防御
シ ス テ ムでは検出で き ない攻撃に関す る 有益な情報が記録 さ れてい る 可能性があ
り ます。 Server Sensor と Desktop Protector エージ ェ ン ト では、 次の よ う な監査機
能を有効にす る こ と がで き ます。
●
Server Sensor に よ る ホ ス ト シ ス テ ム ロ グの監視
●
Server Sensor お よ び Desktop Protector の ロ グ ( パケ ッ ト ロ グ、 証拠 ロ グ )
Server Sensor によ る ホ
ス ト シ ス テム ログの監
視
Server Sensor は、 常駐 し てい る ホ ス ト に よ っ て生成 さ れ る シ ス テ ム ロ グ を監視す
る こ と がで き ます。 Server Sensor がシ ス テ ム ロ グ を監視 し てい る 場合は、 静的
フ ァ イ ルま たは実行フ ァ イ ルに対す る 変更な ど の不正なア ク テ ィ ビ テ ィ を検出で
き ます。 ホ ス ト に よ っ て生成 さ れた ASCII ロ グ フ ァ イ ルを監視 し 、 特定パ タ ー
ンが検出 さ れた と き に レ ス ポ ン ス が有効にな る よ う に、 Server Sensor を設定する
こ と がで き ます。
有効にする ログの種類 と
監査機能の決定
ホ ス ト ロ グ ま たはパケ ッ ト ロ グ、 証拠 ロ グの監視を有効にする か ど う かを決定
す る 場合は、 次の内容を考慮 し て く だ さ い。
●
ホ ス ト が重要
重要であ
るかど う か
重要
●
ホ ス ト で監視す る ト ラ フ ィ ッ ク の タ イ プ
注意 : ロ ギ ン グはホ ス ト のパフ ォーマン ス に影響す る 可能性があ る ので、 有効
にす る 前にパフ ォーマン ス と の兼ね合いを考慮 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
41
第 3 章 : ア セ ッ ト の防御
Server Sensor と
Desktop Protector のロ
グ
Server Sensor と Desktop Protector の ロ グには、 次の種類があ り ます。
種類
説明
パケ ッ ト ログ
ロー カル シ ス テムに到達 し た各パケ ッ ト の コ ピーをキ ャ プ
チ ャ し ます。 また、 膨大な量の情報をキ ャ プ チ ャ し 、 シス テ
ム リ ソ ース を大量に使用 し ます。
証拠ログ
イ ベン ト によ っ て ト リ ガ さ れたパケ ッ ト のコ ピーのみをキ ャ
プ チ ャ し ます。 証拠ログは、 攻撃者の意図を示すだけでな
く 、 証拠の収集も 支援 し ます。
表 16: Server Sensor と Desktop Protector のログ
42
ホ ス ト スキ ャ ン
ホス ト スキ ャ ン
は じ めに
ホ ス ト ス キ ャ ンは、 ネ ッ ト ワ ー ク リ ソ ース を調査 し てい る 攻撃者が ロ ーカル ア
カ ウ ン ト の権限を使っ て悪用で き る よ う な脆弱点を識別 し ます。
識別 さ れたホス ト 情報
ホ ス ト ス キ ャ ンは、 ホ ス ト に関する 次の よ う な情報を識別 し ます。
シス テム ベース ラ イ ン
●
既知の脆弱点
●
ホ ス ト の設定が不十分でないか ど う か
●
正 し く 設定 さ れていない設定
シ ス テ ム ベース ラ イ ンは、 そのホ ス ト に見合っ た も の と し て組織が決定 し た、
セキ ュ リ テ ィ の レベルです。 シ ス テ ム ベース ラ イ ン を設定 し ておけば、 こ れを
現在のセキ ュ リ テ ィ と 定期的に比較 し て、 何が変更 さ れたかを確認で き ます。
ベース ラ イ ンか ら の逸脱のみを参照す る ので、 脆弱点情報の量は、 よ り 管理 し や
すい も のにな り ます。
参照 : ベース ラ イ ン設定の詳細については、 「System Scanner User Guide」 を参照
し て く だ さ い。
ポ リ シーへの準拠
System Scanner アプ リ ケーシ ョ ン内でポ リ シーを定義 し 、 その後で System
Scanner が定期的に こ のポ リ シーをチ ェ ッ ク し てポ リ シーが実施 さ れてい る か ど
う か確認す る よ う に設定す る こ と がで き ます。
防御レ ベル
System Scanner アプ リ ケーシ ョ ンに よ っ て規定 さ れ る 防御レベルは、 次の内容に
よ っ て異な り ます。
●
System Scanner イ ン ス タ ン ス を配置す る ホ ス ト
●
ベース ラ イ ン ホ ス ト を ス キ ャ ンする 頻度
●
ポ リ シー準拠の程度
SiteProtector Strategy Guide, Version 2.0 SP4
43
第 3 章 : ア セ ッ ト の防御
サーバー と デス ク ト ッ プ での ミ ニマム防御戦略
は じ めに
こ の ト ピ ッ ク では、 ミ ニマ ム防御戦略を使っ た Server Sensor の配置方法について
説明 し ます。
Server Sensor の配置
次のガ イ ド ラ イ ン を使用 し て Server Sensor を配置 し ます。
ネ ッ ト ワー ク領
域
エージ ェ ン ト の場所
DMZ
Server Sensor をすべての Web サーバー
と デー タ ベースに配置する
イン ト ラネッ ト
Server Sensor を、 DMZ 内のホス ト と 信
頼関係にあるすべてのデー タ ベースに配
置する
表 17: Server Sensor の配置
44
サーバー と デス ク ト ッ プ での外部脅威か ら の防御戦略
サーバー と デス ク ト ッ プ での外部脅威からの防御戦略
は じ めに
こ の ト ピ ッ ク では、 外部脅威か ら の防御戦略を使っ た Server Sensor、 Desktop
Protector エージ ェ ン ト 、 System Scanner イ ン ス タ ン ス の配置場所について説明 し
ます。
デス ク ト ッ プ防御 と
VPN
VPN 内にあ る デス ク ト ッ プお よ び ラ ッ プ ト ッ プ コ ン ピ ュ ー タ は、 イ ン ト ラ ネ ッ
ト 内の重要なホ ス ト への踏み台 と な る 可能性があ り ます。 攻撃者が VPN デバ イ
ス を制御 し て、 イ ン ト ラ ネ ッ ト 内のホ ス ト と デバ イ ス と の信頼 さ れた接続を悪用
す る こ と が し ば し ばあ る ためです。 攻撃者が VPN を乗っ取 る と 、 攻撃者のア ク
テ ィ ビ テ ィ は、 ト ラ フ ィ ッ ク が復号化 さ れ る ま でネ ッ ト ワ ー ク 監視ツールか ら 隠
さ れます。 Desktop Protector エージ ェ ン ト は、 攻撃者が リ モー ト デバ イ ス の支配
権を得 る 前に攻撃を阻止す る ので、 こ の種の攻撃か ら デバ イ ス を防御す る こ と が
で き ます。
ISS エージ ェ ン ト の配置
次のガ イ ド ラ イ ン を使用 し て、 エージ ェ ン ト を サーバー と デス ク ト ッ プに配置 し
ます。
ネ ッ ト ワー ク領
域
エージ ェ ン ト の場所
DMZ
•
Server Sensor をすべてのサーバーに配置
する
•
System Scanner イ ン ス タ ン ス をすべての
サーバーに配置する
イン ト ラネッ ト
Server Sensor を、 DMZ 内のホス ト と 信頼関
係にあるすべてのサーバーに配置する
VPN または リ
モー ト ユーザー
Desktop Protector エージ ェ ン ト を、 すべての
ラ ッ プ ト ッ プ コ ン ピ ュ ー タ と デス ク ト ッ プに
配置する
表 18: ISS エージ ェ ン ト の配置
SiteProtector Strategy Guide, Version 2.0 SP4
45
第 3 章 : ア セ ッ ト の防御
サーバー と デス ク ト ッ プ での内部脅威からの防御戦略
は じ めに
内部脅威か ら の防御戦略は、 イ ン ト ラ ネ ッ ト 上のサーバー と デス ク ト ッ プに強力
な防御を提供 し 、 DMZ 内のサーバー と デス ク ト ッ プに簡単な防御を提供 し ます。
ISS エージ ェ ン ト の配置
次のガ イ ド ラ イ ン を使用 し て、 エージ ェ ン ト を サーバー と デス ク ト ッ プに配置 し
ます。
ネ ッ ト ワー ク領
域
エージ ェ ン ト の場所
DMZ
Server Sensor をすべての Web サーバーに配置する
イン ト ラネッ ト
•
Server Sensor と System Scanner イ ン ス タ ン ス を、 大
人数の従業員や顧問、 契約社員によ っ てア ク セス可能
なすべてのホス ト に配置する
•
Server Sensor を、 DMZ 内のホス ト と 信頼関係にある
すべてのデー タ ベースに配置する
•
Server Sensor と System Scanner イ ン ス タ ン ス を、 す
べての重要
重要な内部ホス
ト に配置する
重要
•
Desktop Protector エージ ェ ン ト を、 重要なすべてのデ
重要
ス ク ト ッ プおよび ラ ッ プ ト ッ プ コ ン ピ ュ ー タ ( 主要な
管理人員が使用する も の ) に配置する
•
System Scanner イ ン ス タ ン ス を、 すべての重要
重要なデス
重要
ク ト ッ プおよび ラ ッ プ ト ッ プ コ ン ピ ュ ー タ ( 主要な管
理人員が使用する も の ) に配置する
表 19: ISS エージ ェ ン ト の配置
46
サーバー と デス ク ト ッ プ でのマキシ マム防御戦略
は じ めに
こ の ト ピ ッ ク では、 マキ シマム防御戦略を使っ た Server Sensor、 Desktop Protector
エージ ェ ン ト 、 System Scanner イ ン ス タ ン ス の配置方法について説明 し ます。
ISS エージ ェ ン ト の配置
次のガ イ ド ラ イ ン を使用 し て、 エージ ェ ン ト を サーバー と デス ク ト ッ プに配置 し
ます。
ネ ッ ト ワー ク領
域
エージ ェ ン ト の場所
DMZ
Server Sensor と System Scanner イ ン ス タ ン ス を DMZ 内
のすべてのサーバーに配置する
イン ト ラネッ ト
•
Server Sensor と System Scanner イ ン ス タ ン ス を、 大
人数の従業員や顧問、 契約社員によ っ てア ク セス可能な
すべてのホス ト に配置する
•
Server Sensor と System Scanner イ ン ス タ ン ス を、
DMZ 内のホス ト と 信頼関係にあるすべてのサーバーに
配置する
•
Server Sensor を、 DMZ 内のホス ト と 信頼関係にあるす
べてのデー タ ベースに配置する
•
Server Sensor と System Scanner イ ン ス タ ン ス を、 す
べての重要
重要な内部ホス
ト に配置する
重要
•
Desktop Protector エージ ェ ン ト を、 重要なすべてのデス
重要
ク ト ッ プおよび ラ ッ プ ト ッ プ コ ン ピ ュ ー タ に配置する
•
System Scanner イ ン ス タ ン ス を、 すべての重要
重要なデス
重要
ク ト ッ プおよび ラ ッ プ ト ッ プ コ ン ピ ュ ー タ ( 主要な管理
人員が使用する も の ) に配置する
VPN または リ
Desktop Protector エージ ェ ン ト を、 すべてのラ ッ プ ト ッ プ
モー ト ユーザー コ ン ピ ュ ー タ と デス ク ト ッ プに配置する
表 20: ISS エージ ェ ン ト の配置
SiteProtector Strategy Guide, Version 2.0 SP4
47
第 3 章 : ア セ ッ ト の防御
48
概要
セ ク シ ョ ン C:
防御戦略の例
概要
は じ めに
次のセ ク シ ョ ンでは、 こ の章で説明す る 防御戦略の例について説明 し ます。 こ れ
ら の例では、 ネ ッ ト ワ ー ク やサーバー、 デス ク ト ッ プの推奨事項を挙げてい ま
す。
図に示 さ れている
Proventia G シ リ ーズ
アプ ラ イ アンス
Network Sensor と Proventia A シ リ ーズ アプ ラ イ ア ン スは、 こ のセ ク シ ョ ンの図
に現れません。 図に示 さ れてい る Proventia G シ リ ーズ アプ ラ イ ア ン ス を、
Network Sensor ま たは Proventia A シ リ ーズ アプ ラ イ ア ン ス に置 き 換え る こ と が
で き ます。 ただ し 、 配置を決定す る 前に、 こ れ ら 製品の相違点 ( 機能、 パフ ォー
マ ン ス、 配備な ど ) を考慮に入れて く だ さ い。
ア イ コ ンの定義
表 21 では、 図中で使用 さ れ る ア イ コ ン を示 し ます。
アイ コン
ソフ トウェア
Proventia G シ リ ーズ ア プ ラ イ ア ン ス
Proventia M シ リ ーズ ア プ ラ イ ア ン ス
Server Sensor
Internet Scanner
表 21: ア イ コ ンの定義
SiteProtector Strategy Guide, Version 2.0 SP4
49
第 3 章 : ア セ ッ ト の防御
アイ コン
ソフ トウェア
System Scanner
Desktop Protector エージ ェ ン ト
表 21: ア イ コ ンの定義
50
概要
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
ミ ニマム防御戦略の例
52
外部脅威か らの防御戦略の例
53
内部脅威か らの防御戦略の例
54
マキシ マム防御戦略の例
55
SiteProtector Strategy Guide, Version 2.0 SP4
51
第 3 章 : ア セ ッ ト の防御
ミ ニマム防御戦略の例
は じ めに
こ の ト ピ ッ ク では、 ミ ニマム防御戦略の例について説明 し ます。 こ の戦略の目標
は、 DMZ 内お よ び イ ン ト ラ ネ ッ ト 内で簡単な防御を講 じ る こ と です。
ミ ニマム防御戦略のネ ッ
ト ワー ク 図
図 4 は、 ミ ニマ ム防御戦略で推奨 さ れ る セ ンサー、 ス キ ャ ナー、 お よ びエー
ジ ェ ン ト の配置を示 し た も のです。
図 4: ミ ニマム防御戦略のネ ッ ト ワー ク図
52
外部脅威か ら の防御戦略の例
外部脅威から の防御戦略の例
は じ めに
こ の ト ピ ッ ク では、 外部脅威か ら の防御戦略の例について説明 し ます。 こ の戦略
の目標は、 DMZ 内で強力な防御、 イ ン ト ラ ネ ッ ト 内で簡単な防御を講 じ る こ と
です。
外部脅威から の防御戦略 図 5 は、 外部脅威か ら の防御戦略で推奨 さ れ る セ ンサー、 ス キ ャ ナー、 お よ び
のネ ッ ト ワー ク 図
エージ ェ ン ト の配置を示 し た も のです。
図 5: 外部脅威からの防御戦略のネ ッ ト ワー ク図
SiteProtector Strategy Guide, Version 2.0 SP4
53
第 3 章 : ア セ ッ ト の防御
内部脅威から の防御戦略の例
は じ めに
こ の ト ピ ッ ク では、 内部脅威か ら の防御戦略の例について説明 し ます。 こ の戦略
の目標は、 DMZ 内で簡単な防御、 イ ン ト ラ ネ ッ ト 内で強力な防御を講 じ る こ と
です。
内部脅威から の防御戦略 図 6 は、 内部脅威か ら の防御戦略で推奨 さ れ る セ ンサー、 ス キ ャ ナー、 お よ び
のネ ッ ト ワー ク 図
エージ ェ ン ト の配置を示 し た も のです。
図 6: 内部脅威からの防御戦略のネ ッ ト ワー ク図
54
マキシ マム防御戦略の例
マキシ マム防御戦略の例
は じ めに
こ の ト ピ ッ ク では、 マキ シマム防御戦略の例について説明 し ます。 こ の戦略の目
標は、 DMZ 内お よ び イ ン ト ラ ネ ッ ト 内で強力な防御を講 じ る こ と です。
マキシマム防御戦略の
ネ ッ ト ワー ク 図
図 7 は、 マキ シマ ム防御戦略で推奨 さ れ る セ ンサー、 ス キ ャ ナー、 お よ びエー
ジ ェ ン ト の配置を示 し た も のです。
図 7: マキシマム防御戦略のネ ッ ト ワー ク図
SiteProtector Strategy Guide, Version 2.0 SP4
55
第 3 章 : ア セ ッ ト の防御
56
第4章
アセ ッ ト の構成
概要
は じ めに
こ の章では、 SiteManager でのホ ス ト と センサーのグループ化 と Enterprise
Dashboard でのサ イ ト のグループ化のモデルを紹介 し ます。
グルーピ ング モデルを
使用する理由
グルーピ ン グ モデルを使用する と 、 頻繁に行 う タ ス ク に基づいた ホ ス ト やセ ン
サーのグループ分けに よ っ て、 アセ ッ ト を よ り 効果的に防御す る こ と がで き ま
す。 グルーピ ン グ モデルでは、 ジオグ ラ フ ィ や ト ポ ロ ジな ど の複数の基準を
使っ て、 ホ ス ト やセ ンサーを グループ化 し ます。
デー タ 分析 タ ス ク
SiteProtector で、 次のデー タ 分析 タ ス ク を行 う こ と がで き ます。
コマン ド アン ド コ ン ト
ロール
●
Site Manager で、 イ ベン ト の監視 と 分析を行 う
●
Enterprise Dashboard で、 サ イ ト デー タ の監視 と 傾向の分析を行 う
SiteProtector で行 う コ マ ン ド ア ン ド コ ン ト ロ ール タ ス ク は、 センサーやエー
ジ ェ ン ト の タ イ プ、 さ ら に個別ま たはグループのセンサーま たはエージ ェ ン ト で
実行 さ れ る タ ス ク に よ っ て異な り ます。 グルーピ ン グに関連す る コ マン ド ア ン
ド コ ン ト ロ ール タ ス ク については、 次の ト ピ ッ ク で説明 し ます。
●
「センサーの コ マ ン ド ア ン ド コ ン ト ロ ール タ ス ク 」 (59 ページ )
●
「Desktop Protector の コ マン ド ア ン ド コ ン ト ロール タ ス ク 」 (60 ページ )
SiteProtector Strategy Guide, Version 2.0 SP4
57
第 4 章 : ア セ ッ ト の構成
アセ ッ ト のグループ化に
使用 さ れる基準
次の基準を使用 し て、 ホ ス ト と センサーのグルーピ ン グ モデルを作成 し ます。
ジオグ ラ フ ィ - 地理的な場所に基づいて、 アセ ッ ト を グループ分け し ます。
ト ポロ ジ - ネ ッ ト ワー ク での場所 (DMZ、 イ ン ト ラ ネ ッ ト 、 VPN、 Active
Directory 構造な ど ) に基づいて、 アセ ッ ト を グループ分け し ます。
サービ ス - ホ ス ト 上で動作 し てい る サービ ス (ftp、 telnet、 SMTP な ど ) に基づい
て、 アセ ッ ト を グループ分け し ます。
ビ ジネス機能 - 組織での ビ ジネ ス機能 ( 営業、 人事、 経理な ど ) に基づいて、 ア
セ ッ ト を グループ分け し ます。
責任の範囲 - セキ ュ リ テ ィ に関 し て責任のあ る セキ ュ リ テ ィ アナ リ ス ト ま たは
シ ス テ ム管理者に基づいて、 アセ ッ ト を グループ分け し ます。
ポ リ シー - 適用 さ れてい る ポ リ シー レベルに基づいて、 アセ ッ ト を グループ分
け し ます。
こ の章の内容
こ の章では次の ト ピ ッ ク について説明 し ます。
トピック
58
ページ
セ ンサーの コ マ ン ド ア ン ド コ ン ト ロール タ ス ク
59
Desktop Protector の コ マ ン ド ア ン ド コ ン ト ロール タ ス ク
60
ジオグ ラ フ ィ カル モデル
61
ポ リ シージオグ ラ フ ィ カル モデル
62
ト ポロ ジ カル モデル
63
サービ ス モデル
65
責任範囲モデル
67
Active Directory モデル
68
セ ンサーの コ マ ン ド ア ン ド コ ン ト ロール タ ス ク
セ ンサーの コ マ ン ド ア ン ド コ ン ト ロール タ ス ク
は じ めに
セ ンサー ポ リ シー
こ の ト ピ ッ ク では、 Site Manager グルーピ ン グ ツ リ ー内の次の コ ン ポーネ ン ト で
実行で き る コ マ ン ド ア ン ド コ ン ト ロ ール タ ス ク について説明 し ます。
●
ネ ッ ト ワ ー ク 防御シ ス テ ム
●
Server Sensor
●
Internet Scanner アプ リ ケーシ ョ ン
セ ンサー ポ リ シーは、 セ ンサーが検出する イ ベン ト の種類 と 、 セ ンサーの動作
を制御 し ます。 セ ンサー ポ リ シーを使用する と 、 セ ンサーが検出する 特定のエ
ク ス プ ロ イ ト や脆弱点、 ア ク テ ィ ビ テ ィ が特定のシグ ネチ ャ に一致 し た場合のセ
ンサーの応答方法な ど、 個別のセキ ュ リ テ ィ 設定を制御す る こ と がで き ます。 セ
ンサー ポ リ シーには、 次の種類があ り ます。
セ ンサーおよびア プ リ ケーシ ョ ンに適用するポ リ シー - 環境設定に加え、 シ グネ
チ ャ 、 監査ア ク シ ョ ン、 レ ス ポ ン ス の タ イ プを制御 し ます。 ま た、 Server Sensor
で有効にす る フ ァ イ ア ウ ォール ルール も 指定 し ます。
Internet Scanner ア プ リ ケーシ ョ ン ポ リ シー - 有効にす る 脆弱点チ ェ ッ ク お よ
びシ ス テ ム識別チ ェ ッ ク の種類を制御 し ます。
セ ンサーのコ マ ン ド ア
ン ド コ ン ト ロール タ ス
ク
Network Sensor と Server Sensor、 お よ び Site Manager グルーピ ン グ ツ リ ー内の
Internet Scanner イ ン ス タ ン ス で実行で き る コ マ ン ド ア ン ド コ ン ト ロ ール タ ス ク
は、 次の と お り です。
●
X-Press Update の適用
●
ポ リ シーを適用す る
●
グ ロ ーバル レ ス ポ ン ス の適用
●
ス キ ャ ンの開始
重要 : 不適合の問題を回避す る ため、 異な る ソ フ ト ウ ェ ア バージ ョ ン を使用す
る セ ンサーを同 じ グループに し ないで く だ さ い。 た と えば、 6.5 Network Sensor
と 7.0 Network Sensor を同 じ グループに置かないで く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
59
第 4 章 : ア セ ッ ト の構成
Desktop Protector の コ マ ン ド ア ン ド コ ン ト ロール タ ス ク
は じ めに
こ の ト ピ ッ ク では、 Site Manager グルーピ ン グ ツ リ ー内の Desktop Protector エー
ジ ェ ン ト で実行で き る コ マン ド ア ン ド コ ン ト ロ ール タ ス ク について説明 し ま
す。 次の場所で コ マ ン ド ア ン ド コ ン ト ロ ール タ ス ク を実行す る こ と がで き ま
す。
●
個別のエージ ェ ン ト
●
ポ リ シー サブ ス ク リ プシ ョ ン グループ
デス ク ト ッ プ防御ポ リ
シー
デス ク ト ッ プ防御ポ リ シーには、 フ ァ イ ア ウ ォール ルール セ ッ ト 、 IDS 設定、
レ ス ポ ン ス ルール セ ッ ト 、 アプ リ ケーシ ョ ン制御 リ ス ト な ど の複数 コ ンポーネ
ン ト があ り ます。
ポ リ シー サブ ス ク リ プ
シ ョ ン グループ
デス ク ト ッ プ防御ポ リ シーは、 個別のエージ ェ ン ト ではな く 、 グループに関連付
け ら れます。 ポ リ シーを SiteProtector グルーピ ン グ ツ リ ー内のポ リ シー サブ ス
ク リ プシ ョ ン グループに適用 し て く だ さ い。 1 つのエージ ェ ン ト は、 1 つのポ リ
シー サブ ス ク リ プシ ョ ン グループだけに加入で き ます。 Active Directory の階層
は、 ポ リ シー サブ ス ク リ プシ ョ ン グループ作成の枠組み と な り ます。
個別のエージ ェ ン ト
個別のエージ ェ ン ト では、 次の コ マン ド ア ン ド コ ン ト ロ ール タ ス ク を実行で き
ます。
フ ォ ン ホーム - ア ッ プデー ト に関 し て Desktop Controller へ連絡す る よ う に、
エージ ェ ン ト に指示 し ます。
ポ リ シー サブ ス ク リ プ シ ョ ン グループの変更 - エージ ェ ン ト が加入す る ポ リ
シー グループを変更 し ます。
注記 : 個別の Desktop Protector エージ ェ ン ト にポ リ シーを設定す る こ と はで き ま
せん。 グループのポ リ シーを使用す る には、 エージ ェ ン ト はポ リ シー サブ ス ク
リ プシ ョ ン グループに加入する 必要があ り ます。
60
ジ オグ ラ フ ィ カ ル モデル
ジオグ ラ フ ィ カル モデル
は じ めに
ジオグ ラ フ ィ カル モデルでは、 ジオグ ラ フ ィ と ビ ジネ ス機能に基づいて アセ ッ
ト を グループ分け し ます。 こ の ト ピ ッ ク では、 モデルの各層の利点について説明
し ます。
ジオグ ラ フ ィ カル モデ
ルの図
図 8 は、 ジオグ ラ フ ィ カル モデルの図です。
Dashboard
Geography
New York
San Francisco
Atlanta
Chicago
Business
Function
HR
Accounting
HR
Sales
Accounting
HR
Accounting
HR
Sales
Accounting
SiteManager
図 8: ジオグ ラ フ ィ カル モデルの図
ジオグ ラ フ ィ 層
ビ ジネス機能層
Enterprise Dashboard グループでは、 ジオグ ラ フ ィ 層の使用を検討 し て く だ さ い。
ジオグ ラ フ ィ 層では、 次の作業を行 う こ と がで き ます。
●
組織の異な る 場所のデー タ を比較す る
●
傾向 と 優先度を識別す る
ビ ジネ ス機能層では、 ク リ テ ィ カルな情報を持っ ていた り 機密関係の ト ラ フ ィ ッ
ク を処理 し た り す る 特定の部門 ( 営業や経理な ど ) にあ る ホ ス ト を監視す る こ と
がで き ます。
SiteProtector Strategy Guide, Version 2.0 SP4
61
第 4 章 : ア セ ッ ト の構成
ポ リ シージオグ ラ フ ィ カル モデル
は じ めに
ジオグ ラ フ ィ カル モデル と 同様、 ポ リ シージオグ ラ フ ィ カル モデルでは、 ジオ
グ ラ フ ィ と セ ンサーま たはエージ ェ ン ト ポ リ シーに基づいて アセ ッ ト を グルー
プ分け し ます。 こ の ト ピ ッ ク では、 モデルの各層の利点について説明 し ます。
ポ リ シージオグ ラ フ ィ カ
ル モデルの図
図 9 は、 ポ リ シージオグ ラ フ ィ カル モデルの図です。
Geography
New York
San Francisco
Chicago
Los Angeles
Policy
Minimum
Maximum
Minimum
Medium
Maximum
Minimum
Maximum
Minimum
Medium
Maximum
図 9: ポ リ シージオグ ラ フ ィ カル モデルの図
ジオグ ラ フ ィ 層
ポ リ シー層
62
ジオグ ラ フ ィ 層では、 次の作業を行 う こ と がで き ます。
●
組織の異な る 場所のデー タ を比較す る
●
傾向 と 優先度を識別す る
ポ リ シー層では、 セ ンサーま たはエージ ェ ン ト に適用 さ れてい る ポ リ シー レベ
ルに基づいてアセ ッ ト を グループ分け し ます。 Desktop エージ ェ ン ト はポ リ シー
加入に基づいてグループ分け さ れ る ので、 Desktop エージ ェ ン ト の体系化にはポ
リ シー層を使 う のが適 し てい ます。
ト ポロ ジ カル モデル
ト ポロ ジ カル モデル
説明
ト ポ ロ ジカル モデルでは、 ト ポ ロ ジ、 ジオグ ラ フ ィ 、 お よ びサービ ス に基づい
てアセ ッ ト を グループ分け し ます。 こ の ト ピ ッ ク では、 モデルの各層の利点につ
いて説明 し ます。
ト ポロ ジ カル モデルの
図
図 10 は、 ト ポ ロ ジ カル モデルの図です。
Topology
DMZs
Internal Networks
Geography
New York
New York
San Francisco
San Francisco
Services
Web
Servers
FTP
Servers
SMPT
Servers
Web
Servers
FTP
Servers
SMPT
Servers
Desktops
NT Servers
Unix
Servers
Database
Servers
NT Servers
UNIX
Servers
Database
Servers
Desktops
図 10: ト ポロ ジ カル モデルの図
ト ポロ ジ層
ト ポ ロ ジ層では、 次の作業を行 う こ と がで き ます。
●
よ り 脆弱な領域 (DMZ な ど ) にあ る アセ ッ ト を、 さ ら に詳 し く 監視す る
●
よ り 安全な領域にあ る ホ ス ト と は対照的に、 DMZ 内のホ ス ト に対 し て さ ら
に厳 し いポ リ シーを適用す る
●
よ り 効率 よ く 複数の コ リ ジ ョ ン ド メ イ ンの ス キ ャ ン を管理する
●
同 じ コ ン テキ ス ト 内の フ ァ イ ア ウ ォールお よ び Network Sensor か ら の イ ベン
ト を監視す る
SiteProtector Strategy Guide, Version 2.0 SP4
63
第 4 章 : ア セ ッ ト の構成
サービ ス層
64
サービ ス層では、 次の作業を行 う こ と がで き ます。
●
サービ ス ま たはオペレーテ ィ ン グ シ ス テ ムに よ っ て グループ分け さ れた
Server Sensor にポ リ シーを適用する
●
よ り 効率 よ く ス キ ャ ン ポ リ シーの適用を管理する
●
サービ ス を基に し た ホ ス ト のグループを ス キ ャ ンす る
サービ ス モデル
サービ ス モデル
説明
サービ ス モデルでは、 サービ ス、 ト ポ ロ ジ、 お よ びビ ジネ ス機能に基づいて ア
セ ッ ト を グループ分け し ます。 こ の ト ピ ッ ク では、 モデルの各層の利点について
説明 し ます。
サービ ス モデルの図
図 11 は、 サービ ス モデルの例を示 し た も のです。
Services
Database Servers
NT Servers
Topology
DMZ
Internal Network
DMZ
Internal Network
Business
Function
HR
Sales
Accounting
HR
Sales
Accounting
図 11: サービ ス モデルの図
サービ ス層
ト ポロ ジ層
サービ ス層では、 次の作業を行 う こ と がで き ます。
●
サービ ス ま たはオペレーテ ィ ン グ シ ス テ ム を標的 と し たエ ク ス プ ロ イ ト を
監視す る
●
サービ ス ま たはオペレーテ ィ ン グ シ ス テ ムに基づいて グループ分け さ れた
Server Sensor にポ リ シーを適用する
●
サービ ス を基に し た ホ ス ト のグループを ス キ ャ ンす る
ト ポ ロ ジ層では、 脆弱な領域 (DMZ な ど ) にあ る アセ ッ ト を、 さ ら に詳 し く 監視
で き ます。
SiteProtector Strategy Guide, Version 2.0 SP4
65
第 4 章 : ア セ ッ ト の構成
ビ ジネス機能層
66
Desktop エージ ェ ン ト では、 ビ ジネ ス機能層の使用を検討 し て く だ さ い。 ビ ジネ
ス機能層では、 次の作業を行 う こ と がで き ます。
●
ク リ テ ィ カルな情報を持っ ていた り 機密関係の ト ラ フ ィ ッ ク を処理 し た り す
る 特定部門 ( 営業や経理な ど ) にあ る ホ ス ト を監視す る
●
組織の各部門にあ る Desktop エージ ェ ン ト を監視す る
責任範囲モデル
責任範囲モデル
説明
責任範囲モデルでは、 責任の範囲 と ト ポ ロ ジに基づいてアセ ッ ト を グループ分け
し ます。 こ の ト ピ ッ ク では、 モデルの各層の利点について説明 し ます。
責任範囲モデルの図
図 12 は、 責任範囲モデルの例を示 し た も のです。
Dashboard
Scope of
Responsibility
NT Administrator
Unix Administrator
Topology
DMZ
Internal Network
DMZ
Internal Network
SiteManager
図 12: 責任範囲モデルの図
責任範囲層
ト ポロ ジ層
Enterprise Dashboard グループでは、 責任範囲層の使用を検討 し て く だ さ い。 責任
範囲層では、 次の作業を行 う こ と がで き ます。
●
セキ ュ リ テ ィ に関 し て責任のあ る 個人の進捗状況を監視す る
●
1 個人ま たは 1 グループの責任の下にあ る 多数エージ ェ ン ト (Desktop
Protector エージ ェ ン ト な ど ) のア ク テ ィ ビ テ ィ を監視する
Site Manager グループでは、 ト ポ ロ ジ層の使用を検討 し て く だ さ い。 ト ポ ロ ジ層
では、 次の作業を行 う こ と がで き ます。
●
比較的危険の少ないサブネ ッ ト にあ る ホ ス ト と は対照的に、 DMZ 内のホ ス
ト に対 し て さ ら に厳 し いポ リ シーを適用す る
●
ネ ッ ト ワ ー ク の同 じ 領域にあ る Network Sensor お よ びフ ァ イ ア ウ ォールの
デー タ を、 同 じ コ ン テキ ス ト に組み合わせ る
SiteProtector Strategy Guide, Version 2.0 SP4
67
第 4 章 : ア セ ッ ト の構成
Active Directory モデル
は じ めに
Active Directory モデルでは、 Active Directory 階層に従っ て ホ ス ト を グループ分け
し ます。 こ の ト ピ ッ ク では、 SiteProtector グループ ツ リ ー内で Active Directory モ
デルを使用す る 利点について説明 し ます。
Active Directory モデル
Active Directory を使用す る と 、 ネ ッ ト ワ ー ク の ト ポ ロ ジ ま たはビ ジネ ス モデル
に基づいてアセ ッ ト を グループ化 し 、 こ の構造を定期的に更新す る こ と がで き ま
す。 こ う し た柔軟性があ る ため、 ポ リ シーお よ びレ ス ポ ン ス を さ ら に効率 よ く 適
用す る こ と がで き ます。
ホ ス ト やユーザーを一意に識別す る 詳 し い情報が Active Directory に よ っ て提供
さ れ る ため、 イ ン シデン ト 調査やホ ス ト ま たはユーザーの追求を行 う 場合に役立
ち ます。
SiteProtector に イ ン
ポー ト さ れた Active
Directory 情報
Active Directory を使用 し て情報を イ ン ポー ト ま たは入手す る 利点は、 次の と お り
です。
組織的階層 - SiteProtector では、 Active Directory の組織的階層 ( ド メ イ ン、 フ ォ レ
ス ト 、 ツ リ ーな ど ) を グループ ツ リ ーに追加す る こ と がで き ます。 Active
Directory は、 完全修飾パ ス ( オブジ ェ ク ト と 、 Active Directory ツ リ ー内でのオブ
ジ ェ ク ト の位置を含む ) ご と にオブジ ェ ク ト を識別 し ます。
Active Directory はデス ク ト ッ プの完全で正確な明細を提供す る こ と がで き る た
め、 こ う し た情報を最初か ら 作成、 ま たは効率の落ち る 手段で作成す る 必要があ
り ません。 ま た、 Active Directory と SiteProtector でのネ ッ ト ワ ー ク ト ポ ロ ジの重
複 も 防ぎ ます。
ホス ト 設定情報 - Active Directory は、 デ ィ レ ク ト リ 内にあ る 各ホ ス ト の DNS 名、
コ ン ピ ュ ー タ 名、 オペレーテ ィ ン グ シ ス テ ム を示 し ます (SiteProtector は、 ホ ス
ト の IP ア ド レ ス を取 り 出すために DNS サーバーに照会を行い ます )。 一部の環
境では、 ホ ス ト を個別に更新ま たは ス キ ャ ンす る よ り も 、 Active Directory サー
バーか ら ホ ス ト 情報を取 り 出すほ う が、 効率 よ く 情報を得 る こ と がで き ます。
ユーザー ア カ ウン ト 情報 - SiteProtector は、 ユーザーの氏名、 電話番号、 ロ グ イ
ン ド メ イ ン、 Active Directory ユーザー オブジ ェ ク ト への完全修飾パ ス を取 り 出
し ます。 こ の情報を使用 し て、 ホ ス ト に現在 ロ グオン し てい る ユーザーを確認 し
ます。
68
Active Directory モデル
図 13 は、 Active Directory モデルの例を示 し た も のです。 こ の例に示 さ れ る ド メ
イ ン と コ ン テナは、 DNS 名で表示 さ れてい ます。
図
mycompany.net
Department
Engineering
eng.mycompany
.net
Finance
fin.mycompany.
net
Group
Purchasing
purch.fin.mycom
pany.net
Accounting
acct.fin.mycomp
any.net
Payroll
payr.fin.mycomp
any.net
Workstations
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
Computer
図 13: Active Directory モデル
部署層
部署層では、 次の作業を行 う こ と がで き ます。
●
Active Directory 階層に反映 さ れた ビ ジネ ス モデルに従っ て、 アセ ッ ト を グ
ループ分けす る
●
技術部のサーバー と は対照的に、 経理部のサーバーに イ ン ス ト ール さ れてい
る Server Sensor に対 し て さ ら に厳 し いポ リ シーお よ びレ ス ポ ン ス を適用す る
SiteProtector Strategy Guide, Version 2.0 SP4
69
第 4 章 : ア セ ッ ト の構成
グループ層
ワー ク ス テーシ ョ ン層
70
グループ層では、 次の作業を行 う こ と がで き ます。
●
セキ ュ リ テ ィ ポ リ シーを よ り 大づかみに制御で き る よ う にする
●
購買部のサーバー と は対照的に、 給与部のサーバーに イ ン ス ト ール さ れてい
る Server Sensor に対 し て さ ら に厳 し いポ リ シーお よ びレ ス ポ ン ス を適用す る
ワ ー ク ス テーシ ョ ン層には、 個別のホ ス ト が含まれます。 こ の層は、 特に Active
Directory 構造がセキ ュ リ テ ィ モデル と 似てい る 場合に、 Desktop ポ リ シー サブ
ス ク リ プシ ョ ン グループ作成の枠組み と な り ます。
第5章
事前タ ス クの実行
概要
は じ めに
こ の章では、 防御の維持におけ る SiteProtector の調整、 拡張、 ア ッ プデー ト の役
割について説明 し ます。
こ の章の内容
こ の章では次のセ ク シ ョ ンについて説明 し ます。
セクシ ョ ン
ページ
環境への SiteProtector の導入
73
新 し い脅威か らの組織の防御
77
防御を調整または拡張する時期の決定
85
SiteProtector Strategy Guide, Version 2.0 SP4
71
第 5 章 : 事前 タ ス ク の実行
72
セ ク シ ョ ン A:
環境への SiteProtector の導入
概要
は じ めに
こ のセ ク シ ョ ンでは、 防御の調整や拡張、 ア ッ プデー ト を行 う 前の事前 タ ス ク に
ついて説明 し ます。 こ れ ら の タ ス ク は、 ソ フ ト ウ ェ アが環境に与え る 影響を効果
的に見極め ら れ る よ う に SiteProtector を環境へ徐々に導入す る 場合に役立ち ま
す。
事前 タ ス ク の実行
事前 タ ス ク は、 次の順序で実行 し ます。
1. テ ス ト 環境で SiteProtector を実行 し ます。
2. 実働環境で SiteProtector を実行 し ます。
3. ベース ラ イ ン タ ス ク を実行 し ます。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
テ ス ト 環境への SiteProtector の配置
74
ベース ラ イ ン タ ス ク の実行
75
SiteProtector Strategy Guide, Version 2.0 SP4
73
第 5 章 : 事前 タ ス ク の実行
テ ス ト 環境への SiteProtector の配置
は じ めに
環境に与え る 影響を確認す る ため、 SiteProtector を まずテ ス ト 環境で実行 し て く
だ さ い。
定義 : テス ト 環境
テ ス ト 環境は、 実働環境に悪影響を与えずに新 し い ソ フ ト ウ ェ ア を配置す る ため
の中間準備領域です。 テ ス ト 環境では、 ソ フ ト ウ ェ アの動作を効率 よ く 評価で き
る よ う に、 実働環境を で き る 限 り 復元 し ます。
2 種類のテス ト
テ ス ト 環境では、 次のテ ス ト の実行を検討 し て く だ さ い。
ユニ ッ ト テ ス ト - ラ ボ サーバーのみで行 う も ので、 通常は最初に実行 さ れます。
統合テ ス ト - ラ ボ サーバーで行われますが、 SiteProtector を実働環境へ徐々に導
入す る ために、 一部の実働サーバーで も 実行 さ れます。
考慮すべき事項
74
SiteProtector を評価する 場合は、 次の点を考慮 し て く だ さ い。
●
セ ンサーが イ ベン ト を正 し く 検出 し てい る か ど う かテ ス ト す る ため、
Internet Scanner イ ン ス タ ン ス か ら 、 テ ス ト 環境にあ る ホ ス ト お よ びセグ メ ン
ト に対 し て ス キ ャ ン を開始 し ます。
●
不適合の問題を回避す る ため、 初期 リ リ ース の SiteProtector の フ ァ イ ル ま た
はレ ジ ス ト リ が含まれていないサーバーに SiteProtector を イ ン ス ト ール し ま
す。
●
Web 経由の自動ア ッ プデー ト を実行す る Deployment Manager の機能な ど、
リ モー ト ア ク セ ス機能を テ ス ト し ます。
●
LAN リ ン ク 全域でのセ ンサー通信を テ ス ト し ます。
ベース ラ イ ン タ ス ク の実行
ベース ラ イ ン タ ス ク の実行
は じ めに
イ ベン ト を長期に渡っ て効率 よ く 管理す る ため、 Site Manager ベース ラ イ ン機能
の使用を検討 し て く だ さ い。 ベース ラ イ ン機能を使用す る と 、 2 つの期間におけ
る ア ク テ ィ ビ テ ィ の変化を追跡す る こ と がで き ます。
ベース ラ イ ン を行 う 時期 次の よ う な場合に、 Site Manager Console をベース ラ イ ン し ます。
●
前月 と 今月のア ク テ ィ ビ テ ィ な ど、 2 期間でのア ク テ ィ ビ テ ィ を比較す る
●
日常的な イ ベン ト 監視を行 う
頻度
イ ベン ト 量に応 じ て、 1 日に数回ま たは 1 週間に 1 回、 ベース ラ イ ン を行い ま
す。 さ ら に重要なのは、 実働環境で SiteProtector を初めて実行す る 場合に必ず
ベース ラ イ ン を行 う こ と です。
ベース ラ イ ン時の使用に
最も 適 し た ビ ュ ー
ベース ラ イ ン を行 う 場合は、 次の SiteProtector ビ ュ ーを使用 し ます。
●
Event Name
●
Vulnerability Name
ベース ラ イ ンの実行方法 Site Manager Console をベース ラ イ ンす る には :
1. Site Manager を開 き 、 ビ ュ ーを選択 し ます。
2. 2 期間のア ク テ ィ ビ テ ィ を比較 し ますか。
■
比較す る 場合は、 日付範囲の [End] ボ ッ ク ス に日付を入力 し ます。
■
比較 し ない場合は、 [End] ボ ッ ク ス の日付を空白の ま ま に し ます。
3. Site Manager Console を開いてか ら 後、 ま たは最後にベース ラ イ ン を行っ て
か ら 後に発生 し た イ ベン ト を確認 し ます。
4. イ ベン ト を調査 し ます。
参照 : イ ベン ト 調査の詳細については、 次の章を参照 し て く だ さ い。
■
第 7 章 「ネ ッ ト ワ ー ク 脆弱点の特定 と 解消」 (123 ページ )
■
第 8 章 「脅威の特定 と 対応」 (145 ページ )
5. イ ベン ト を、 例外か イ ン シデン ト かに正 し く 分類 し ます。
6. 日時フ ィ ル タ を現在の時刻に設定 し ます。
ビ ュ ーに残っ ていた イ ベン ト が消去 さ れます。
7. 手順を必要なだけ繰 り 返 し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
75
第 5 章 : 事前 タ ス ク の実行
76
セ ク シ ョ ン B:
新 し い脅威か らの組織の防御
概要
は じ めに
こ のセ ク シ ョ ンでは、 脅威に対 し て脆弱ではないか ど う かを確認 し 、 脅威か ら
ネ ッ ト ワ ー ク を防御す る ためのガ イ ド ラ イ ンについて説明 し ます。
最新の防御の獲得
新 し い脅威ま たは脆弱点に関す る 情報を得 る 最 も 一般的な方法は、 業界のセキ ュ
リ テ ィ ア ド バ イ ザ リ (X-Force ア ド バ イ ザ リ な ど ) か ら 情報を得 る こ と です。 た
だ し 、 時 と し て、 ニ ュ ース レ ポー ト や電子 メ ール、 Web サ イ ト な ど の非公式な
ソ ース か ら 、 脅威ま たは脆弱点に関す る 情報を受け取 る 場合があ り ます。 最新の
防御を保つため、 次の内容に関す る 明確な情報へのア ク セ ス方法を知っ てお く 必
要があ り ます。
こ のセ ク シ ョ ンの内容
●
現在セ ンサーやス キ ャ ナに適用 さ れてい る ポ リ シー
●
防御の対象 と な り 得 る 最新の攻撃お よ び脆弱点
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
脅威に関する最新情報の入手
79
チ ェ ッ ク またはシグネチ ャが利用可能かど う かの確認
81
チ ェ ッ ク またはシグネチ ャが存在 し ない脅威に対する防御
83
SiteProtector Strategy Guide, Version 2.0 SP4
77
第 5 章 : 事前 タ ス ク の実行
防御 さ れているかど う か 図 14 を参考に し て、 脅威に対 し て防御 さ れてい る か ど う か を確認 し て く だ さ
の確認
い。
Yes
Verify that
appropriate
checks/sigs are
enabled
Do current sensor
policies contain these
checks/sigs?
Yes
No
Upgrade to the
latest XPU
Yes
Is a check or
signature currently
available?
Did the information
come from an ISS
advisory?
Consider doing one or more of the following
until check or signature can be obtained:
Yes
No
y
y
y
y
No
y
y
Search ISS
resources
including
messages rec'd
from mailing lists
Do ISS resources
contain exploit?
No
図 14: 防御 さ れてい るかど う かの確認
78
monitor vulnerability for specified period of time
turn off systems that run vulnerable services
adjust firewall rules to prevent access to vulnerable
services
add host based agents to help track activity on vulnerabile
hosts
block services that should not be running.
add user-defined signatures to protect against that threat
脅威に関する最新情報の入手
脅威に関する最新情報の入手
は じ めに
リ ソ ース検索の ヒ ン ト
脅威に冠す る 最新情報を入手す る には、 次の作業を行い ます。
●
ISS メ ー リ ン グ リ ス ト お よ びア ド バ イ ザ リ に登録する
●
次の も のを参考にす る
■
X-Force の Research Web サ イ ト
■
製造元のセキ ュ リ テ ィ ア ド バ イ ザ リ
検索を行 う 場合は、 次の よ う な一般的な識別番号を使用 し ます。
●
製造元の Bulletin 番号
●
CVE、 SANS、 CERT な ど の標準機構
参照 : 標準機構の詳細については、 「チ ェ ッ ク ま たはシ グ ネチ ャ が存在 し ない脅
威に対す る 防御」 (83 ページ ) を参照 し て く だ さ い。
ISS のサービ スへの登録
ISS 製品、 脅威、 お よ び脆弱点の最新情報を受け取 る には、 次の ISS サービ ス に
登録 し て く だ さ い。
ISS メ ー リ ング リ ス ト ( 英語 )
●
X-Press Update、 新 し い製品ま たはサービ ス のお知 ら せを受け取 る には、
「Subscribe」 の リ ン ク (http://www.iss.net/security_center/
maillists/index.php) を ク リ ッ ク し 、 [ISSForum] を選択 し て く だ さ い。
●
最新の攻撃お よ び脆弱点に関す る 情報を受け取 る には、 「Subscribe」 の リ ン
ク (http://xforce.iss.net/xforce/maillists/index.php) を ク
リ ッ ク し 、 [X-Force Alerts and Advisories] を選択 し て く だ さ い。
注記 : ISS メ ー リ ン グ リ ス ト か ら 受け取っ た情報を、 すぐ にア ク セ ス で き る よ う
に検索 し やすい場所に保管す る こ と を検討 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
79
第 5 章 : 事前 タ ス ク の実行
X-Force Threat Analysis Service - 次の よ う な作業を通 し て、 積極的なセキ ュ リ
テ ィ 管理を可能に し ます。
●
世界的なオン ラ イ ン脅威の状況の包括的な評価
●
特定の顧客ニーズに合わせた詳細な分析
X-Force Threat Analysis Service に登録する には、 http://xforce.iss.net/
xftas/ を参照 し て く だ さ い。
X-Force Research Web
サイ ト の参照
製造元のセキ ュ リ テ ィ
ア ド バイザ リ の参照
80
脅威 と 脆弱点の最新情報にア ク セ スす る には、 X-Force の Research Web サ イ ト
(http://xforce.iss.net) を参照 し て く だ さ い。 X-Force の Web サ イ ト を ご
覧にな る 場合は、 次の Web ページ を ご覧 く だ さ い。
●
X-Force Database Search ( 英語のみ )
●
X-Force Alerts お よ び Advisories (X-Force セキ ュ リ テ ィ ア ラ ー ト & ア ド バ イ
ザリ )
●
日替わ り の AlertCon
特定の製品に影響を及ぼす脆弱点に関す る 最新情報を入手す る には、 ソ フ ト ウ ェ
ア製造元に問い合わせて く だ さ い。 多 く の製造元では、 脆弱点に関す る 最新情報
を掲載 し た Web サ イ ト を運営 し てお り 、 脆弱点の与え る 影響、 影響を受け る ソ
フ ト ウ ェ ア、 パ ッ チの入手状況な ど が記載 さ れてい ます。
チ ェ ッ ク ま たはシグネ チ ャ が利用可能かど う かの確認
チ ェ ッ ク ま たはシグネチ ャ が利用可能かど う かの確認
は じ めに
特定の脅威に対 し てチ ェ ッ ク ま たはシグ ネチ ャ を利用可能か ど う か判断す る に
は、 X-Force がチ ェ ッ ク ま たはシ グネチ ャ を開発済みか ど う か を確認 し 、 開発済
みであれば、 現在のポ リ シーにそのチ ェ ッ ク ま たはシグ ネチ ャ が含まれてい る か
ど う かを確認 し ます。
チ ェ ッ ク と シグネチ ャ
チ ェ ッ ク お よ びシグ ネチ ャ は、 特定の攻撃や脆弱点に対す る 防御を可能に し ま
す。 チ ェ ッ ク お よ びシグ ネチ ャ の有効化ま たは無効化を行 う には、 カ ス タ ム ポ
リ シーを作成す る 必要があ り ます。 SiteProtector では、 デフ ォ ル ト ポ リ シーか ら
カ ス タ ム ポ リ シーを派生 さ せる 必要があ り ます。 チ ェ ッ ク お よ びシ グ ネチ ャ は
次の と お り です。
セ ンサー ポ リ シー検索
のヒ ン ト
手順
●
Network Sensor お よ び Server Sensor のポ リ シーは、 ネ ッ ト ワー ク ト ラ フ ィ ッ
ク での疑わ し いパ タ ーン、 ま たは攻撃を示す可能性のあ る シ ス テ ム ア ク
テ ィ ビ テ ィ を検出 し ます。 一部の防御シ ス テ ムで も 、 プ ロ ト コ ル ス タ ッ ク
の複数の層で ト ラ フ ィ ッ ク 検出を行い、 特定の環境において何が異常な ト ラ
フ ィ ッ ク なのかを見極め る 、 高度な複合型の侵入技術を採用 し てい ます。
●
Internet Scanner アプ リ ケーシ ョ ン ポ リ シーにはチ ェ ッ ク が含まれてお り 、
ネ ッ ト ワ ー ク やシ ス テ ム、 サービ ス の既知の脆弱点を検出 し ます。
チ ェ ッ ク ま たはシグ ネチ ャ に関 し てポ リ シーを検索す る 場合は、 次の点を考慮 し
ます。
●
Network Sensor お よ び Server Sensor のポ リ シーは、 同 じ シ グ ネチ ャ を多数共
有 し てい ます。 し たがっ て、 シグ ネチ ャ を検索す る 場合は両方のポ リ シーを
検索 し て く だ さ い。
●
あ る チ ェ ッ ク が特定のエ ク ス プ ロ イ ト で利用可能であれば、 対応す る シグ ネ
チ ャ を検索 し ます。 ま た、 その逆 も 行い ます。
チ ェ ッ ク ま たはシグ ネチ ャ が利用可能か ど う かを確認す る には :
1. 脅威に関す る 詳細について、 情報 リ ソ ース を検索 し ます。
注意 : 脅威は、 異な る 複数の名前を持っ てい る こ と が よ く あ り ます。 検索
を行 う と き は、 脅威の名前を さ ま ざ ま に変化 さ せて検索 し ます。 ま た、 脅威
の名前は、 チ ェ ッ ク ま たはシグ ネチ ャ の名前 と 同 じ ではない場合 も あ り ま
す。
2. 脅威を特定で き たで し ょ う か。
■
特定で き た場合は、 手順 3 に進みます。
■
特定で き なかっ た場合は、 ト ピ ッ ク 「チ ェ ッ ク ま たはシ グ ネチ ャ が存在
し ない脅威に対す る 防御」 (83 ページ ) に進みます。
SiteProtector Strategy Guide, Version 2.0 SP4
81
第 5 章 : 事前 タ ス ク の実行
3. ISS リ ソ ース で入手可能な情報か ら 、 次の内容を確認 し ます。
■
チ ェ ッ ク ま たはシグ ネチ ャ の名称
■
チ ェ ッ ク ま たはシグ ネチ ャ を含む Service Release ま たは X-Press Update
4. 現在のセ ンサー ポ リ シーを開き 、 チ ェ ッ ク ま たはシ グ ネチ ャ を検索 し ます。
注意 : チ ェ ッ ク ま たはシグ ネチ ャ を特定す る には、 1 つ以上のポ リ シーを検
索す る 必要があ り ます。
5. 現在のポ リ シーに、 該当す る チ ェ ッ ク ま たはシグ ネチ ャ が含まれていたで
し ょ う か。
■
含まれていた場合は、 手順 6 に進みます。
■
含まれていなかっ た場合は、 適切なチ ェ ッ ク ま たはシグ ネチ ャ を含む XPress Update にア ッ プグ レー ド し てか ら 手順 6 に進みます。
6. チ ェ ッ ク ま たはシグ ネチ ャ が有効にな っ てい る か ど う か確認 し ます。
82
チ ェ ッ ク またはシグネチ ャ が存在 し ない脅威に対する防御
チ ェ ッ ク ま たはシグネチ ャ が存在 し ない脅威に対する防御
は じ めに
特定の脅威に対す る チ ェ ッ ク ま たはシグ ネチ ャ が存在 し ない場合は、 X-Press
Update を ダ ウ ン ロ ー ド し て適切なチ ェ ッ ク ま たはシグ ネチ ャ を有効にで き る よ
う にな る か、 永久的な解決策を実施で き る よ う にな る ま で、 一時的な防御手段を
講 じ る こ と を検討 し て く だ さ い。
シグネチ ャ のないチ ェ ッ
ク 、 またはその逆
特定のエ ク ス プ ロ イ ト に対す る 脆弱点チ ェ ッ ク が存在 し て も 、 対応す る 侵入検知
シグ ネチ ャ がない場合があ り 、 その逆の場合 も あ り ます。 ま た、 特定の脅威に対
す る 侵入検知シグ ネチ ャ が Server Sensor ポ リ シーに存在 し て も 、 Network Sensor
ポ リ シーには存在 し ない場合があ り 、 その逆の場合 も あ り ます。
一時的手段
可能であれば、 チ ェ ッ ク ま たはシグ ネチ ャ が手に入 る ま で、 次の手段を取 る こ と
を検討 し て く だ さ い。
●
こ の脅威に関連 し た脆弱点を詳 し く 監視す る
●
脆弱なサービ ス を実行 し てい る シ ス テ ム を無効にす る
●
脆弱なポー ト へのア ク セ ス を、 フ ァ イ ア ウ ォール ルール (Server Sensor、
Desktop Protector) を使っ てブ ロ ッ ク す る
●
最後の手段 と し て、 脆弱なサービ ス を フ ァ イ ア ウ ォールでブ ロ ッ ク す る
●
すべてのセキ ュ リ テ ィ ア ド バ イ ザ リ お よ びア ラ ー ト (X-Force が提供する も
のな ど ) に対応 し 続け る
注記 : フ ァ イ ア ウ ォールでのサービ ス のブ ロ ッ ク は、 常に信頼性が高い と はい
え ません。 一部のネ ッ ト ワ ー ク イ ベン ト は、 ブ ロ ッ ク さ れたサービ ス を再度有
効にす る こ と がで き ます。 ホ ス ト フ ァ イ ア ウ ォールを使っ て脆弱なポー ト を ブ
ロ ッ ク す る 方が、 費用効率が高 く 信頼性 も 高い方法です。
現在の脅威および脆弱点 脅威については、 ISS リ ソ ース に加え て次の標準機構 も 参照 し て く だ さ い。
に関する その他の情報源
CERT Coordination Center - CERT Coordination Center (CERT/CC) は、 カーネ
ギー メ ロ ン大学に よ っ て運営 さ れてお り 、 コ ン ピ ュ ー タ セキ ュ リ テ ィ イ ン シデ
ン ト や脆弱点の処理に関す る 情報の提供、 情報の構築、 お よ びサ イ ト でのセキ ュ
リ テ ィ の改善を支援す る ための ト レーニ ン グ を行っ てい ます。 詳細については、
http://www.cert.org/ を参照 し て く だ さ い。
SANS Institute - System Administration, Networking and Security Institute は、
ニ ュ ース ダ イ ジ ェ ス ト や リ サーチ概要、 セキ ュ リ テ ィ ア ラ ー ト 、 研究報告を提
供 し てい ます。 詳細については、 http://www.sans.org/index.php を参照
し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
83
第 5 章 : 事前 タ ス ク の実行
CVE - Common Vulnerabilities and Exposures は、 脆弱点やその他の情報セキ ュ リ
テ ィ 障害の規格化 さ れた名前が リ ス ト にな っ てい る も ので、 Mitre Corporation に
よ っ て運営 さ れてい ます。 CVE を利用 し て、 1 つ以上の名前を持つ こ と のあ る 脅
威や脆弱点の共通名を確認 し て く だ さ い。 詳細については、 http://
www.cve.mitre.org を参照 し て く だ さ い。
84
セ ク シ ョ ン C:
決定
防御を調整または拡張する時期の
概要
は じ めに
こ のセ ク シ ョ ンでは、 防御を調整ま たは拡張す る 方法の選択を支援 し ます。
前提条件
防御を調整す る 前に、 ネ ッ ト ワー ク 上のデバ イ ス を分析 し 、 適用 し ないポ リ シー
シグ ネチ ャ ま たはチ ェ ッ ク を無効に し て く だ さ い。
企画 と 評価の章の見直 し
多 く の調整 タ ス ク では、 企画 と 評価の章の見直 し を検討 し て く だ さ い。 対象 と な
る 章は、 次の と お り です。
防御を調整する場合
●
第 2 章 「組織の評価」 (9 ページ )
●
第 3 章 「アセ ッ ト の防御」 (19 ページ )
次の表を参考に し て、 防御を調整す る 方法を選択 し て く だ さ い。
行 う 作業
考慮事項
情報の参照先
継続的プ ラ ンの一
部 と し て防御を拡
張する
•
•
「組織の評価」 (9 ページ )
•
「ア セ ッ ト の防御」
(19 ページ )
•
ネ ッ ト ワー クのサ
イズが拡大 し たた
め、 防御を拡張す
る
新 し いホス ト および
セグ メ ン ト にセ ン
サーを追加する
スキ ャ ンにホス ト を
追加する
セ ンサー ポ リ シーの一部
またはすべてで、 デ フ ォ
ル ト のポ リ シー レベルを
引き上げる
「デ フ ォル ト のセ ンサー ポ リ
シー レ ベルの調整」 (91 ペー
ジ)
•
ホス ト にセ ンサーを
追加する
•
「組織の評価」 (9 ページ )
•
•
スキ ャ ンにホス ト を
追加する
「ア セ ッ ト の防御」
(19 ページ )
表 22: 防御を調整する場合
SiteProtector Strategy Guide, Version 2.0 SP4
85
第 5 章 : 事前 タ ス ク の実行
行 う 作業
考慮事項
情報の参照先
特定の脅威に対 し
て防御を調整する
•
一部またはすべての
エージ ェ ン ト に XPU
を イ ン ス ト ールする
•
「新 し い脅威から の組織の
防御」 (77 ページ )
•
•
セ ンサー ポ リ シーの
適切なシグネチ ャ ま
たはチ ェ ッ ク を有効
にする
「セ ンサー ポ リ シーの
チ ェ ッ ク と シグネチ ャ の
変更」 (93 ページ )
•
「セ ンサー レ スポ ン スの
カ ス タ マ イズ」 (94 ペー
ジ)
•
「防御レ ベルを使用 し た、
デス ク ト ッ プへのア ク セ
スの制御」 (104 ページ )
•
「セ ンサー ポ リ シーの
チ ェ ッ ク と シグネチ ャ の
変更」 (93 ページ )
•
「防御レ ベルを使用 し た、
デス ク ト ッ プへのア ク セ
スの制御」 (104 ページ )
•
「デ フ ォル ト のセ ンサー
ポ リ シー レベルの調整」
(91 ページ )
•
RealSecure コ ン
ポーネン ト によ っ
て生成 さ れるデー
タ の量を削減する
•
•
選択 し たシグネチ ャ
のレ スポン ス を引き
上げる
Policy Editor で イ ベン
ト ご と のフ ィ ル タ を
有効に し て、 False
Positive を フ ィ ル タ リ
ングする
例外を作成 し て False
Positive を フ ィ ル タ リ
ングする
•
イ ベン ト を大量に生
成する よ う なチ ェ ッ
ク やシグネチ ャ を無
効にする。 ただ し 、
防御が手薄にな る
•
デ フ ォル ト のポ リ
シー レベルを引き下
げる
表 22: 防御を調整する場合
86
第6章
防御の調整と ア ッ プデー ト
概要
は じ めに
こ の章では、 防御の調整 と ア ッ プデー ト について説明 し ます。 センサー ポ リ
シーやス キ ャ ンの変更、 ホ ス ト へのセンサーの追加、 ス キ ャ ンへのホ ス ト の追加
な ど の ト ピ ッ ク が含まれます。
継続的なセキ ュ リ テ ィ
プ ラ ンの重要性
防御を効果的に調整、 拡張、 ア ッ プデー ト す る ため、 継続的なセキ ュ リ テ ィ プ
ラ ンの作成をお勧め し ます。 配置プ ラ ン と 同様、 セキ ュ リ テ ィ プ ラ ンは、 指定
期間内におけ る 対象範囲の拡大お よ び調整の方法について説明 し ます。 プ ラ ン
は、 既存のセキ ュ リ テ ィ 目標を含み、 組織が受け る と 考え ら れ る 変化に対応 し て
い る 必要があ り ます。 ま た、 新た な脅威お よ び脆弱点を扱 う 手順に加え、 ソ フ ト
ウ ェ アやセキ ュ リ テ ィ コ ン テ ン ツ のア ッ プグ レー ド を扱 う 手順 も 提示する 必要
があ り ます。
注記 : こ の章では、 防御を調整、 拡張、 お よ びア ッ プデー ト す る 場合に考慮す
る 必要のあ る 事項について説明 し ます。 こ の章では、 継続的なセキ ュ リ テ ィ プ
ラ ンの作成を包括的に説明 し ません。 継続的なセキ ュ リ テ ィ プ ラ ンの作成の詳
細については、 イ ン タ ーネ ッ ト セキ ュ リ テ ィ シ ス テ ム ズのプ ロ フ ェ ッ シ ョ ナル
サービ ス部ま でお問い合わせ く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
87
第 6 章 : 防御の調整 と ア ッ プデー ト
防御を調整、 拡張、 また 次の う ち 1 つ以上が発生す る 場合は、 防御の調整や拡張、 ア ッ プデー ト を検討 し
はア ッ プデー ト する理由 ます。
こ の章の内容
●
継続的なセキ ュ リ テ ィ プ ラ ンに よ っ て、 防御の増強が指定 さ れた場合
●
新た な脅威ま たは脆弱点が現れた場合
●
ネ ッ ト ワ ー ク のサ イ ズが拡大 し た場合
●
組織のセキ ュ リ テ ィ 設定が変更 さ れた場合
●
イ ベン ト 量が、 ス タ ッ フ が正 し く 管理で き る 量を超えた場合
こ の章では次のセ ク シ ョ ンについて説明 し ます。
セクシ ョ ン
88
ページ
セキ ュ リ テ ィ ポ リ シー と レ スポン スの管理
89
ネ ッ ト ワー ク およびホス ト へのア ク セスの制御
101
ホス ト のア ク テ ィ ビ テ ィ と ユーザー動作の監視および制御
111
防御の拡張
113
防御のア ッ プデー ト
117
セキ ュ リ テ ィ ポ リ シー と レ スポン
スの管理
セ ク シ ョ ン A:
概要
は じ めに
こ のセ ク シ ョ ンでは、 防御の調整においてセキ ュ リ テ ィ ポ リ シーお よ びレ ス ポ
ン ス の変更が果たす役割について説明 し ます。
セ ンサー ポ リ シーの タ
イプ
SiteProtector Console に適用可能なセンサー ポ リ シーの タ イ プは次の と お り です。
Desktop ポ リ シー と セ
ンサー ポ リ シー と の違
いについて
●
ネ ッ ト ワ ー ク 防御シ ス テ ム
●
Server Sensor
●
Internet Scanner
●
Desktop Protector
セ ンサー と は異な り 、 Desktop Protector エージ ェ ン ト は、 何百 ( 場合に よ っ ては
何千 ) も のホ ス ト に配置 さ れます。 Desktop Protector エージ ェ ン ト は、 次の点で
セ ンサー と 異な り ます。
●
Desktop Protector エージ ェ ン ト の特定のシ グネチ ャ を簡単に有効化ま たは無
効化す る こ と はで き ませんが、 防御レベル、 フ ァ イ ア ウ ォール設定、 ホ ス ト
での実行を許可 さ れた アプ リ ケーシ ョ ン を調整す る こ と は可能です。
●
ポ リ シーは、 個別のエージ ェ ン ト ではな く 、 ポ リ シー サブ ス ク リ プシ ョ ン
グループに適用 し ます。
●
ポ リ シーのア ッ プデー ト は、 エージ ェ ン ト が事前定義 さ れた間隔 ( ハー ト
ビー ト ) でデス ク ト ッ プ コ ン ト ロ ー ラ と 通信す る と き に発生 し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
89
第 6 章 : 防御の調整 と ア ッ プデー ト
デ フ ォル ト のセ ンサー
ポ リ シー
デフ ォ ル ト ポ リ シーは、SiteProtector への レ ポー ト を行 う セ ンサーお よ び Internet
Scanner の イ ン ス タ ン ス で使用で き ます。 デフ ォ ル ト ポ リ シーの レベルの調整
は、 ポ リ シーを編集す る 必要がないので、 最 も 簡単に防御を調整で き る 方法で
す。 ただ し 、 デフ ォ ル ト ポ リ シーでは、 特定の攻撃に対 し て微調整を行っ た り 、
チ ェ ッ ク ま たはシグ ネチ ャ に よ る イ ベン ト 量を削減 し た り す る こ と がで き ませ
ん。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
90
ページ
デ フ ォル ト のセ ンサー ポ リ シー レ ベルの調整
91
セ ンサー ポ リ シーのチ ェ ッ ク と シグネチ ャ の変更
93
セ ンサー レ スポン スのカ ス タ マ イズ
94
Desktop Protector レ スポ ン スの指定
98
デ フ ォ ル ト のセ ンサー ポ リ シー レ ベルの調整
デ フ ォ ル ト のセ ンサー ポ リ シー レ ベルの調整
は じ めに
デフ ォ ル ト のセ ンサー ポ リ シー レベルを調整す る こ と で、 ポ リ シーに含まれ る
個別のセキ ュ リ テ ィ 設定を変更す る こ と な く 、 防御を大ま かに調整す る こ と がで
き ます。
注記 : Desktop Protector エージ ェ ン ト のデフ ォル ト ポ リ シーは、 現在、 こ の ト
ピ ッ ク で説明す る タ イ プの調整を行 う よ う に設計 さ れてい ません。
セ ンサー間でのデ フ ォル 防御を効果的に調整す る には、 デフ ォ ル ト ポ リ シー レベルを セ ンサー間 と ス
ト ポ リ シー レ ベルの調
キ ャ ナ間で調整す る こ と を検討 し て く だ さ い。 防御を維持す る には、 ネ ッ ト ワ ー
ク に配置 さ れたセ ンサーに適用 さ れてい る デフ ォ ル ト ポ リ シー間で一貫性を保
整
つ必要があ り ます。
注記 : 異な る センサー間でデフ ォ ル ト ポ リ シーを統一す る 前に、 各ポ リ シーが
セキ ュ リ テ ィ に対す る 心構えに与え る 影響について理解 し てお く 必要があ り ま
す。 詳細については、 特定のセンサー ポ リ シーに関する マニ ュ アルを参照 し て
く だ さ い。
ポ リ シーの調整
デフ ォ ル ト ポ リ シーの調整は、 ポ リ シーが提供する 防御の レベルを増減する こ
と で行い ます。 た と えば、 Network Sensor の Original ポ リ シーか ら Maximum ポ
リ シーに移行す る こ と で、 防御を強化 し ます。 デフ ォ ル ト ポ リ シーの調整は、
次の よ う に行い ます。
●
Network Sensor や Server Sensor に適用 さ れたデフ ォ ル ト ポ リ シー レベルを
引 き 上げ る 、 ま たは引 き 下げ る
●
ス キ ャ ンに適用 さ れたデフ ォ ル ト ポ リ シー レベルを引 き 上げ る 、 ま たは引
き 下げ る
参照 : ま た、 デス ク ト ッ プ防御レベルを調整す る こ と でフ ァ イ ア ウ ォール ルー
ルセ ッ ト を大ま かに調整す る こ と も で き ます。 詳細については、 「防御レベルを
使用 し た、 デス ク ト ッ プへのア ク セ ス の制御」 (104 ページ ) を参照 し て く だ さ
い。
Proventia M シ リ ーズ
アプ ラ イ ア ン スでのポ リ
シーの継承
SiteProtector では、 グループ ツ リ ーの上位にあ る デバ イ ス か ら Proventia M シ
リ ーズ アプ ラ イ ア ン ス がポ リ シー設定を継承で き る よ う に、 アプ ラ イ ア ン ス に
ポ リ シーを選択的に適用す る こ と がで き ます。 た と えば、 サ イ ト 内にあ る すべて
の Proventia M シ リ ーズ アプ ラ イ ア ン ス に同一の フ ァ イ ア ウ ォール設定 と ア ンチ
ウ ィ ルス設定を適用 し 、 一方で異な る 不正侵入防御設定を各デバ イ ス用に作成す
る こ と がで き ます。 こ う す る こ と で、 セキ ュ リ テ ィ を よ り 大づかみに制御 し 、 大
規模に配備 さ れた アプ ラ イ ア ン ス を いっ そ う 効率 よ く 管理で き る よ う にな り ま
す。
SiteProtector Strategy Guide, Version 2.0 SP4
91
第 6 章 : 防御の調整 と ア ッ プデー ト
デ フ ォル ト ポ リ シーの
防御を強化 し たい場合に、 デフ ォ ル ト ポ リ シーの レベルを引き 上げます。 た と
レ ベルを引き上げる時期 えば、 継続的なセキ ュ リ テ ィ プ ラ ンに、 特定の間隔でポ リ シー レベルを徐々に
引 き 上げ る と い う 戦略が含まれてい る 場合な ど です。 ポ リ シー レベルを引き 上
げ る 場合は、 管理す る 必要のあ る イ ベン ト の量 も 増え ます。
デ フ ォル ト ポ リ シーの
管理す る 必要があ る イ ベン ト の量を減 ら し たい場合に、 デフ ォ ル ト ポ リ シーの
レ ベルを引き下げる時期 レベルを引 き 下げます。 イ ベン ト 量を減 ら すには、 まず Site Manager Console で
の フ ィ ル タ リ ン グ を検討 し ます。 デフ ォ ル ト ポ リ シー レベルの引 き 下げは、 最
後の手段に限っ て く だ さ い。
92
セ ンサー ポ リ シーのチ ェ ッ ク と シグネ チ ャ の変更
セ ンサー ポ リ シーのチ ェ ッ ク と シグネチ ャの変更
は じ めに
特定の脅威に対す る 防御を微調整す る には、 その脅威を検出す る 脆弱点チ ェ ッ ク
ま たは侵入検知シグ ネチ ャ の変更を検討 し ます。
注意 : チ ェ ッ ク やシグ ネチ ャ を変更す る 前に、 変更 し た場合の影響を慎重に考
慮 し て く だ さ い。
定義 : イ ベン ト フ ィ ル
タ
イ ベン ト フ ィ ル タ を使用する と 、 Network Sensor や Server Sensor に よ っ てポ リ
シー レベルで生成 さ れた イ ベン ト を、 タ グ名、 発信元、 宛先、 ポー ト な ど の基
準で フ ィ ル タ リ ン グす る こ と がで き ます。 イ ベン ト フ ィ ル タ は、 セ ンサー ポ リ
シーを編集 し て設定 し ます。
侵入検知シグネチ ャ を変 次の方法を使用 し てシグ ネチ ャ を変更 し ます。
更する 2 つの方法
●
シグ ネチ ャ ですべての レ ス ポ ン ス を無効に し 、 シグ ネチ ャ を効果的に停止す
る
●
チ ェ ッ ク およびシグネ
チ ャ を変更する場合
イ ベン ト フ ィ ル タ を作成する
侵入検知シグネチ ャ を変更する場合 - 次の内容を参考に し て、 シ グネチ ャ を変更
し て く だ さ い。
●
False Positive ま たは誤報の量を減 ら すには、 まず最初に、 SiteProtector
Console での フ ィ ル タ リ ン グ ま たはセ ンサー ポ リ シーでの イ ベン ト フ ィ ル タ
の作成を検討 し ます。 フ ィ ル タ リ ン グ し て も 効果がない場合は、 原因 と な っ
てい る シグ ネチ ャ の無効化を検討 し ます。
●
特定の脅威ま たは脆弱点か ら ネ ッ ト ワ ー ク を防御す る には、 脆弱点が解決 さ
れ る ま で、 こ の脆弱点を悪用す る こ と が知 ら れてい る 攻撃に対す る シグ ネ
チ ャ を有効にす る こ と を検討 し ます。
チ ェ ッ ク を変更する場合 - False Positive ま たは誤報の量を減 ら すには、 まず最初
に、 Site Manager Console での フ ィ ル タ リ ン グ を検討 し ます。 フ ィ ル タ リ ン グ し
て も 効果がない場合は、 原因 と な っ てい る チ ェ ッ ク の無効化を検討 し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
93
第 6 章 : 防御の調整 と ア ッ プデー ト
セ ンサー レ スポン スのカ ス タ マ イ ズ
は じ めに
レ スポン ス を使用する理
由
レ スポン スの機能
特定の脅威に対す る 防御を強化す る には、 センサー ポ リ シー内シ グ ネチ ャ に対
す る レ ス ポ ン ス のカ ス タ マ イ ズ を検討 し ます。 次のポ リ シーで レ ス ポ ン ス を カ ス
タ マ イ ズす る こ と がで き ます。
●
Proventia M シ リ ーズ アプ ラ イ ア ン ス
●
Proventia G シ リ ーズ アプ ラ イ ア ン ス
●
Proventia A シ リ ーズ アプ ラ イ ア ン ス
●
Network Sensor
●
Server Sensor
レ ス ポ ン スは、 次の よ う な目的で使用 さ れます。
●
攻撃を初期段階で阻止で き る よ う に、 該当す る ユーザーに警告す る
●
攻撃に関連す る 一部ま たはすべての ト ラ フ ィ ッ ク を阻害あ る いはブ ロ ッ ク す
る よ う な自動レ ス ポ ン ス を有効にす る
●
攻撃に関す る 重要な情報を レ ポー ト ま たは記録す る
レ ス ポ ン ス を使用 し て、 ト ラ フ ィ ッ ク が特定のシグ ネチ ャ に一致 し た と き 自動的
に実行 さ れ る 、 事前定義 さ れた ア ク シ ョ ン を有効にす る こ と がで き ます。 あ る 1
つのシグ ネチ ャ に対 し て、 1 つ以上の レ ス ポ ン ス を有効化で き ます。 一部の レ ス
ポ ン スは、 デフ ォ ル ト で有効にな り ます。
一部の防御シ ス テ ムでは、 特定の基準に一致す る ト ラ フ ィ ッ ク に対す る レ ス ポ ン
ス パ ラ メ ー タ を組み合わせて適用する こ と がで き ます。 た と えば、 Proventia G
シ リ ーズ アプ ラ イ ア ン ス では、 ブ ロ ッ ク し てい る ト ラ フ ィ ッ ク の継続期間 と
パーセ ン テージ を指定す る こ と に加え、 IP、 ポー ト 、 プ ロ ト コ ルに よ っ て今後の
ト ラ フ ィ ッ ク を ブ ロ ッ ク す る こ と がで き ます。
ユーザー定義レ スポン ス
94
特定のシグ ネチ ャ に対す る レ ス ポ ン ス を作成す る こ と がで き ます。 た と えば、 特
定の ト ラ フ ィ ッ ク が検出 さ れた と き にサー ド パーテ ィ のセキ ュ リ テ ィ ツール (
捜査ツールや記録ツール ) を実行す る TCL ス ク リ プ ト を作成す る こ と がで き ま
す。 Server Sensor の Fusion ス ク リ プテ ィ ン グ を使用す る と 、 シグ ネチ ャ パ タ ー
ン マ ッ チン グでは行 う こ と ので き ない検証を追加する こ と がで き ます。 こ れに
よ っ て False Positive の量を減 ら す こ と がで き る ので、 イ ベン ト 管理に費や さ れ
る 時間が削減 さ れます。 ユーザー定義レ ス ポ ン ス を作成す る には、 セキ ュ リ テ ィ
に関す る 深い知識を持ち、 センサー ポ リ シーを よ く 理解 し てお く 必要があ り ま
す。
セ ンサー レ スポン スの カ ス タ マ イ ズ
レ スポン ス を カ ス タ マ イ
ズする場合
次の基準に基づいて、 レ ス ポ ン ス のカ ス タ マ イ ズ を検討 し ます。
攻撃の危険度 - 高危険度の攻撃に関 し て ロ グオン権限をブ ロ ッ ク し て無効化す る
な ど、 破壊的な レ ス ポ ン ス を無効に し ます。 低危険度の攻撃に対 し ては、 電子
メ ールに よ る 通知や ロ グへの記録な ど、 破壊度の低い レ ス ポ ン ス を有効に し て く
だ さ い。 危険度に関係な く 、 何 ら かの通知ま たは記録をすべてのシグ ネチ ャ につ
いて有効にす る こ と を検討 し て く だ さ い。
注意 : 攻撃に よ っ ては、 特定の レ ス ポ ン ス を使用 し て も 効果的にブ ロ ッ ク で き
ません。 主要な職員がただちに措置を と れ る よ う に、 通知レ ス ポ ン ス ( 電子 メ ー
ルやページ ャ ーに よ る 通知な ど ) を有効にす る こ と を検討 し て く だ さ い。
脆弱点を悪用する こ と が知ら れている攻撃 - ホ ス ト で新 し い脆弱点が見つか っ た
場合は、 脆弱点が修正 さ れ る ま での間、 こ の脆弱点を悪用す る こ と が知 ら れてい
る 攻撃に対す る 強力なシグ ネチ ャ を有効に し ます。
デ フ ォル ト のポ リ シー
レ スポン ス
表 23 を使用 し て、 攻撃の危険度を基に レ ス ポ ン ス を カ ス タ マ イ ズ し て く だ さ い。
ネ ッ ト ワ ー ク 防御シ ス テ ムには、 Network Sensor 製品 と Proventia アプ ラ イ ア ン ス
が含まれます。
レ スポン ス
タ イプ
サポー ト 対象の防御
シ ス テム
説明
Banner
Server Sensor
侵入が検知 さ れた こ と を侵入者に警告 し
ます。
Display
•
ネ ッ ト ワー ク防
御シ ス テム
Site Manager Console に イ ベン ト を表示
し ます。
•
Server Sensor
表 23: デ フ ォル ト のポ リ シー レ スポン ス
SiteProtector Strategy Guide, Version 2.0 SP4
95
第 6 章 : 防御の調整 と ア ッ プデー ト
レ スポン ス
タ イプ
サポー ト 対象の防御
シ ス テム
説明
Drop
•
Proventia G
•
Proventia M
イ ベン ト に関連する ト ラ フ ィ ッ クのすべ
てまたは一部を中断 し ます。 Drop レ ス
ポン スには次の 3 種類があ り ます。
•
ConnectionWithReset - イ ベン ト が発
生 し た通信におけるすべてのパケ ッ
ト を中断 し 、 TCP リ セ ッ ト パケ ッ ト
を送信 し ます。
•
Connection - イ ベン ト が発生 し た通
信におけるすべてのパケ ッ ト を中断
し ます。
•
Packet - イ ベン ト を ト リ ガ し たパ
ケ ッ ト を中断 し ます。
注記 : Drop レ スポン スは、 ト ラ
フ ィ ッ ク を イ ン ラ イ ン で監視する よ
う に設定 さ れた Proventia ア プ ラ イ ア
ン スのみで利用可能です。
Dynamic
•
Blocking ま •
たは
Quarantine
Proventia G
Proventia M
レ スポン スで指定 さ れているの と 同 じ 基
準を満たす後続のパケ ッ ト を ブ ロ ッ ク し
ます。 基準は次の と お り です。
•
攻撃対象のア ド レ ス
•
攻撃対象のポー ト
•
侵入側のア ド レ ス
•
侵入側のポー ト
•
ICMP コ ー ド
•
ICMP タ イ プ
注記 : Dynamic Blocking は、 ト ラ フ ィ ッ
ク を イ ン ラ イ ン で監視する よ う に設定 さ
れた Proventia ア プ ラ イ ア ン スのみで利
用可能です。
Email
•
ネ ッ ト ワー ク防
御シ ス テム
•
Server Sensor
指定のイ ベン ト が検出 さ れた と き に、 電
子 メ ールを送信 し ます。
表 23: デ フ ォル ト のポ リ シー レ スポン ス
96
セ ンサー レ スポン スの カ ス タ マ イ ズ
レ スポン ス
タ イプ
サポー ト 対象の防御
シ ス テム
説明
Log または
Display
•
ネ ッ ト ワー ク防
御シ ス テム
•
Server Sensor
LogEvidence - イ ベン ト を ト リ ガするパ
ケ ッ ト の コ ピーを作成 し 、 センサーのロ
グに保存 し ます。
LOGDB - イ ベン ト をデー タ ベースに保存
し ます。
LogWithRaw - イ ベ ン ト に関連するすべ
てのパケ ッ ト を記録 し 、 1 つ以上のパ
ケ ッ ト フ ァ イルにデー タ を保存 し ます。
この フ ァ イルは、 SiteProtector の [Event
Details] ウ ィ ン ド ウに表示 さ れます。
OPSEC
ネ ッ ト ワー ク防御シ
ス テム
CheckPoint FireWall-1 に メ ッ セージ を送
信 し て、 ユーザー指定の期間が経過する
ま で侵入者を ブ ロ ッ ク する よ う に指示 し
ます。
RSKILL
•
Proventia A
•
Network Sensor
•
Server Sensor
セ ッ シ ョ ンの接続元それぞれに TCP リ
セ ッ ト パケ ッ ト を送信する こ と で接続を
切断 し ます。
•
ネ ッ ト ワー ク防
御シ ス テム
•
Server Sensor
•
Server Sensor
SNMP
Trap
Suspend
イ ベン ト が検出 さ れた と き に SNMP ト
ラ ッ プ を送信 し ます。
ユーザーのア カ ウン ト が保留状態にな り
( つま り 、 ユーザーがログ アウ ト さ れ )、
そのア カ ウン ト が一時的に使用停止にな
り ます。
表 23: デ フ ォル ト のポ リ シー レ スポン ス
参照 : 疑わ し い ト ラ フ ィ ッ ク への応答の詳細については、 第 8 章 「脅威の特定 と
対応」 (145 ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
97
第 6 章 : 防御の調整 と ア ッ プデー ト
Desktop Protector レ スポン スの指定
は じ めに
レ スポン ス と その他 ISS
エージ ェ ン ト と の調整
アクシ ョ ン
98
Network Sensor お よ び Server Sensor と 同様に、 Desktop Protector はレ ス ポ ン ス を
使用 し て、 差 し 迫っ た攻撃について該当す る ユーザーへ警告 し ます。 次のポ リ
シー コ ン ポーネ ン ト は、 ネ ッ ト ワ ー ク での防御を維持する ために不可欠です。
デス ク ト ッ プ防御シグ ネチ ャ のそれぞれに、 次の内容を指定で き ます。
●
アクシ ョ ン
●
基準
可能であれば、 デス ク ト ッ プ防御レ ス ポ ン ス を Server Sensor お よび Network
Sensor レ ス ポ ン ス と 共に使用 し て く だ さ い。 ネ ッ ト ワー ク に配置 さ れたセ ンサー
と 共にデス ク ト ッ プ防御レ ス ポ ン ス を使用す る 場合は、 次の内容を検討 し て く だ
さ い。
●
Network Sensor お よ び Server Sensor ポ リ シーでシ グ ネチ ャ に対 し て レ ス ポ ン
ス を指定 し てあ る 場合は、 デス ク ト ッ プ防御シグ ネチ ャ に同 じ よ う な レ ス ポ
ン ス を適用す る こ と を検討 し ます。
●
同 じ ド メ イ ン ま たは領域に置かれた複数 Server Sensor の特定ポー ト か ら の (
ま たはそれに対す る ) ト ラ フ ィ ッ ク をブ ロ ッ ク ま たは許可す る 場合は、
Desktop Protector エージ ェ ン ト に同 じ よ う なルール セ ッ ト を使用す る こ と を
検討 し ます。
●
ス キ ャ ナー アプ リ ケーシ ョ ンがデス ク ト ッ プ上に脆弱点を見つけた場合は、
脆弱点が解決 さ れ る ま での間、 こ の脆弱点を悪用す る こ と が知 ら れてい る 攻
撃に対 し て強力なシグ ネチ ャ を適用す る こ と を検討 し ます。
Desktop Protector は、 ト ラ フ ィ ッ ク が レ ス ポ ン ス基準 と 一致 し た と き に自動的に
実行 さ れ る 特定ア ク シ ョ ン を指定 し ます。 利用可能なア ク シ ョ ンは次の と お り で
す。
●
指定 さ れたユーザーに電子 メ ールで通知す る
●
指定 さ れたユーザーにページ ャ ーで通知す る
●
問題の侵入者に対す る SNMP ト ラ ッ プ を設定す る
Desktop Protector レ スポ ン スの指定
基準
Desktop Protector は、 レ ス ポ ン ス ア ク シ ョ ンが実行 さ れ る 前に一致す る 必要のあ
る 基準を指定 し ます。 レ ス ポ ン ス基準は次の と お り です。
●
ア ク シ ョ ンが適用 さ れ る シグ ネチ ャ の種類
●
ア ク シ ョ ンが適用 さ れ る 侵入者の IP ア ド レ ス ま たはア ド レ ス範囲
●
ア ク シ ョ ンが適用 さ れ る 侵入対象の IP ア ド レ ス ま たはア ド レ ス範囲
SiteProtector Strategy Guide, Version 2.0 SP4
99
第 6 章 : 防御の調整 と ア ッ プデー ト
100
ネ ッ ト ワー ク およびホス ト へのア
ク セスの制御
セ ク シ ョ ン B:
概要
は じ めに
従来の フ ァ イ ア ウ ォール機能 と 同 じ よ う な方法で機能す る よ う に、 エージ ェ ン ト
を設定す る こ と がで き ます。 ポー ト や IP ア ド レ ス、 場合に よ っ ては特定のプ ロ
ト コ ルに基づいて、 ト ラ フ ィ ッ ク を ブ ロ ッ ク す る こ と がで き ます。 こ のセ ク シ ョ
ンでは、 ネ ッ ト ワ ー ク 防御シ ス テ ム、 Server Sensor、 お よ び Desktop Protector の
果たす役割について説明 し ます。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
ネ ッ ト ワー ク セグ メ ン ト へのア ク セスの制御
102
防御レベルを使用 し た、 デス ク ト ッ プへのア ク セスの制御
104
フ ァ イ アウ ォ ール ルールを使用 し た、 ホス ト へのア ク セスの制
御
106
Desktop Protector の高度な フ ァ イ アウ ォ ール設定の指定
108
SiteProtector Strategy Guide, Version 2.0 SP4
101
第 6 章 : 防御の調整 と ア ッ プデー ト
ネ ッ ト ワー ク セグ メ ン ト へのア ク セスの制御
は じ めに
ネ ッ ト ワ ー ク 防御シ ス テ ム (Network Protection System: NPS) は、 ネ ッ ト ワ ー ク の
外ま たはネ ッ ト ワ ー ク ゲー ト ウ ェ イ の間か ら 発信 さ れた ト ラ フ ィ ッ ク を制御す
る こ と がで き ます。 こ の ト ピ ッ ク では、 ネ ッ ト ワ ー ク セグ メ ン ト へのア ク セ ス
を制御す る ためにネ ッ ト ワ ー ク 防御シ ス テ ム を使用す る 場合の、 一般的なガ イ ド
ラ イ ンについて説明 し ます。
参照 : 詳細については、 「環境への NPS の導入」 (24 ページ ) を参照 し て く だ さ
い。
NPS と フ ァ イ アウ ォ ー
ルの違い
多 く のパケ ッ ト フ ィ ル タ リ ン グ フ ァ イ ア ウ ォールは、 IP ア ド レ ス、 ポー ト 、 プ
ロ ト コ ル、 ま たはアプ リ ケーシ ョ ンに基づいて ト ラ フ ィ ッ ク を制御 し ます。 不正
侵入防御のために設定 さ れた NPS は、 よ り 選択的に ト ラ フ ィ ッ ク を制御 し 、 正
当な ト ラ フ ィ ッ ク の通過を許可す る 一方で悪意のあ る ト ラ フ ィ ッ ク を ブ ロ ッ ク ま
たは制限す る こ と がで き ます。
考慮すべき事項
ネ ッ ト ワ ー ク 防御シ ス テ ムが ト ラ フ ィ ッ ク を ブ ロ ッ ク す る よ う に設定す る 場合
は、 次の点を考慮 し ます。
ネ ッ ト ワー ク セグ メ ン ト で通常は見ら れない ト ラ フ ィ ッ ク を ブ ロ ッ ク する - 当
該ネ ッ ト ワ ー ク セグ メ ン ト で通常は見 ら れない ト ラ フ ィ ッ ク のブ ロ ッ ク を検討
し ます。 た と えば、 重要なエン ジニ ア リ ン グ ラ ボには通常 Web ト ラ フ ィ ッ ク は
必要な く 、 多 く の場合ポ リ シーに よ っ て制限 さ れてい ます。 ポ リ シー実施の手段
と し て、 ポー ト 80 を出入 り す る ト ラ フ ィ ッ ク 、 ま たは こ れ ら セグ メ ン ト での余
計な HTTP ト ラ フ ィ ッ ク を ブ ロ ッ ク する こ と がで き ます。
可用性の高いセグ メ ン ト に無差別 NPS を配備する - 可用性 と パフ ォーマン ス が
重要なセグ メ ン ト にネ ッ ト ワ ー ク 防御シ ス テ ム を無差別モー ド で配備す る こ と を
検討 し ます。 た と えば、 顧客の ト ラ ンザ ク シ ョ ンが大量に処理 さ れ る Web サー
バー ク ラ ス タ と デー タ ベース ク ラ ス タ の間で ト ラ フ ィ ッ ク を監視す る ために、
無差別モー ド の NPS を配備する こ と を検討 し ます。
パ ッ チ を実装 し に く い環境でのイ ン ラ イ ン ブ ロ ッ キングを検討する - ネ ッ ト
ワ ー ク の特定セグ メ ン ト に、 パ ッ チを タ イ ム リ ーに適用で き ないサーバーが含ま
れ る 場合があ り ます。 し たがっ て、 こ の よ う なホ ス ト に脆弱点が無期限に存在す
る こ と にな り ます。 さ ら に、 パ ッ チに よ っ てシ ス テ ム間の整合性が損なわれた
り 、 実装す る ために大規模なテ ス ト が必要 と な っ た り す る 場合があ り ます。 成功
す る 可能性のあ る 攻撃を防ぐ ため、 こ の よ う なセグ メ ン ト で イ ン ラ イ ン ブ ロ ッ
キ ン グ を設定す る こ と を検討 し ます。
高い ト ラ フ ィ ッ ク を使用 し たエ ク スプ ロ イ ト に対する ダ イ ナ ミ ッ ク ブ ロ ッ キン
グを検討する - 攻撃者は し ば し ば、 ホ ス ト を機能不全 と す る ためにパケ ッ ト フ
ラ ッ ド を使用 し ます。 パケ ッ ト フ ラ ッ ド は、 信頼 さ れた内部ア ド レ ス を含む複
102
ネ ッ ト ワー ク セグ メ ン ト へのア ク セ スの制御
数の IP ア ド レ ス か ら 発生可能であ り 、 正当な ト ラ フ ィ ッ ク に見せかけ る こ と が
で き る ため、 阻止す る こ と は困難です。 Dynamic Blocking レ ス ポ ン ス は、 指定時
間内にパケ ッ ト フ ラ ッ ド が検出 さ れれば こ れを ブ ロ ッ ク し 、 コ ン ソ ールに表示
さ れ る イ ベン ト の数を制限す る こ と がで き ます。 ま た、 正当な ト ラ フ ィ ッ ク の通
過を許可 し つつ も パケ ッ ト フ ラ ッ ド の影響を抑え る ために、 ブ ロ ッ ク する ト ラ
フ ィ ッ ク の割合に変化をつけ る こ と も で き ます。 SYN ま たは ICMP フ ラ ッ ド 、
あ る いは StreamOS 攻撃な ど のパケ ッ ト フ ラ ッ ド を検出する シ グ ネチ ャ で
Dynamic Blocking レ ス ポ ン ス を有効化する こ と を検討 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
103
第 6 章 : 防御の調整 と ア ッ プデー ト
防御レ ベルを使用 し た、 デス ク ト ッ プへのア ク セスの制御
は じ めに
大規模な組織では、 デス ク ト ッ プ コ ン ピ ュ ー タ や ラ ッ プ ト ッ プ コ ン ピ ュ ー タ の
数は何千に も のぼ り ます。 デス ク ト ッ プ防御レベルを使用す る と 、 事前定義 さ れ
たセキ ュ リ テ ィ 設定を、 大 き く ひ と ま と めのエージ ェ ン ト に適用す る こ と がで き
ます。 こ の ト ピ ッ ク では、 多数のデス ク ト ッ プお よ び ラ ッ プ ト ッ プ コ ン ピ ュ ー
タ に対す る ア ク セ ス を制御す る う えで防御レベルが果たす役割について説明 し ま
す。
デス ク ト ッ プ と サーバー
やネ ッ ト ワー ク セグ メ
ン ト と の違い
デス ク ト ッ プは、 次の理由か ら 、 サーバーやネ ッ ト ワ ー ク セグ メ ン ト と は異な
る方法で防御す る必要があ り ます。
●
よ り 広範囲にわた る アプ リ ケーシ ョ ンが イ ン ス ト ール さ れてい る
●
ア ク セ ス のポ イ ン ト (VPN、 ダ イ ヤルア ッ プ モデム ) が数多 く あ る
●
サーバーやネ ッ ト ワ ー ク セグ メ ン ト よ り も 設定が多岐にわた る
●
誤用に よ る 設定 ミ ス の可能性が高い
デス ク ト ッ プ防御レ ベル Desktop Protector は、 広範囲にわた る セキ ュ リ テ ィ 設定 ( 防御レベル ) に応 じ て
フ ァ イ ア ウ ォール ルール セ ッ ト を定義 し ます。 こ れ ら の防御レベルでは、 UDP
ポー ト や TCP ポー ト の範囲全体を通 じ たネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を受容ま た
はブ ロ ッ ク す る こ と で、 段階的に増大す る 防御の度合いが適用 さ れてい ます。 ま
た、 防御レベルで指定 さ れた範囲に IP ア ド レ ス ま たはポー ト を追加ま たは削除
す る こ と も で き ます。
防御レ ベルの再設定
Desktop Protector は、 コ ン ピ ュ ー タ の ス テー タ ス の変化に基づいて、 次の よ う に
防御レベルを自動的に再設定す る こ と がで き ます。
接続適応型防御 - デバ イ ス が ど こ か ら 接続 し てい る か ( 外部、 内部、 VPN) に基
づいて、 各エージ ェ ン ト の防御レベルを自動的に適応 さ せます。
動的な フ ァ イ アウ ォ ール - IDS エン ジ ンが特定のポー ト で攻撃を検出する と 、 事
前に定義 さ れた期間中、 そのホ ス ト か ら の ト ラ フ ィ ッ ク がすべて動的にブ ロ ッ ク
さ れます。
考慮すべき事項
防御レベルを使用 し て、 アセ ッ ト の位置 と 重要性を基にネ ッ ト ワ ー ク での防御に
変化をつけ ます。 次の よ う な場合には、 防御レベルの引 き 上げを検討 し て く だ さ
い。
●
104
VPN ま たはダ イ ヤルア ッ プ モデム を通 じ て通信 し てい る 、 ネ ッ ト ワ ー ク の
比較的脆弱な領域にデス ク ト ッ プが置かれてい る 場合 ( 接続適応型防御を参
照 )。
防御レ ベルを使用 し た、 デス ク ト ッ プへのア ク セ スの制御
●
デス ク ト ッ プ ま たは ラ ッ プ ト ッ プに、 価値の高い機密情報、 取引上の機密、
機密の従業員記録、 ま たは顧客情報が含まれ る 場合。
●
デス ク ト ッ プ ま たは ラ ッ プ ト ッ プが、 上層部お よ び人事担当者に よ っ て使用
さ れ る 場合。
SiteProtector Strategy Guide, Version 2.0 SP4
105
第 6 章 : 防御の調整 と ア ッ プデー ト
フ ァ イ アウ ォ ール ルールを使用 し た、 ホス ト へのア ク セス
の制御
は じ めに
RealSecure Desktop と Server Sensor の フ ァ イ ア ウ ォール ルールを使用 し て、 ホ ス
ト が ト ラ フ ィ ッ ク を受容ま たは拒否す る 方法を微調整 し ます。 ホ ス ト フ ァ イ ア
ウ ォールには、 ホ ス ト のセキ ュ リ テ ィ ポ リ シーが実施 さ れてい る 必要があ り ま
す。
ト ラ フ ィ ッ ク のブ ロ ッ ク
ト ラ フ ィ ッ ク を ブ ロ ッ ク す る 前に、 許可 さ れた ト ラ フ ィ ッ ク を拒否 し ていない こ
と 、 ホ ス ト IDS が重複 し ていない こ と 、 ネ ッ ト ワ ー ク フ ァ イ ア ウ ォールを不要
に制限 し ていない こ と を確認 し て く だ さ い。
高度な フ ァ イ アウ ォ ール 発信元お よ び宛先の IP ア ド レ ス と ポー ト の範囲に基づいて ト ラ フ ィ ッ ク を ブ
設定
ロ ッ ク す る よ う に、 Desktop Protector の高度な フ ァ イ ア ウ ォール設定を指定する
こ と がで き ます。 ポー ト ま たはプ ロ ト コ ルの種類に基づいた ト ラ フ ィ ッ ク フ ィ
ル タ リ ン グの詳 し いガ イ ド ラ イ ンについては、 「Desktop Protector の高度な フ ァ イ
ア ウ ォール設定の指定」 (108 ページ ) を参照 し て く だ さ い。
Firecell シグネチ ャ
Server Sensor の Firecell シグ ネチ ャ を作成 し て、 IP ア ド レ ス、 IP ア ド レ ス の範囲、
ポー ト 、 ま たはプ ロ ト コ ルの種類 (IP、 TCP、 UDP、 ICMP) に基づいて ト ラ
フ ィ ッ ク を ブ ロ ッ ク す る こ と がで き ます。
ホス ト フ ァ イ アウ ォ ー
ル ルールの作成で考慮
すべき事項
高度な フ ァ イ ア ウ ォール設定ま たは Firecell シ グネチ ャ を変更す る 場合は、 次の
点を考慮 し ます。
外部 IP ア ド レ スか らのイ ン タ ーネ ッ ト 以外の ト ラ フ ィ ッ ク を拒否する - ほ と ん
ど の場合、 内部ネ ッ ト ワ ー ク に置かれたデス ク ト ッ プ ま たはサーバーは、 外部
IP ア ド レ ス か ら 一方的に送 ら れ る ト ラ フ ィ ッ ク を受信 し てはな り ません。 ま た、
外部ア ド レ ス か ら の不正な通信の試みは、 証拠ま たは追跡の目的で記録 し ておい
て く だ さ い。
重要なサーバーに対する外部 ト ラ フ ィ ッ ク を拒否する - 重要なデー
タ を含むサー
重要な
バーは、 ト ラ フ ィ ッ ク が正当な も のであ っ て DMZ を通 じ てルーテ ィ ン グ さ れた
も のであ っ て も 、 イ ン タ ーネ ッ ト に接続 し てはな り ません。
攻撃者によ っ て悪用 さ れる こ と の多いサービ スで使用 さ れるポー ト での ト ラ
フ ィ ッ ク を拒否する - 攻撃者は、 ホ ス ト を悪用す る ために広範囲にわた る サービ
ス を利用 し ます。 こ れ ら のサービ スは、 ホ ス ト と の通信に特定のポー ト を使用 し
ます。 こ れ ら のサービ ス に よ っ て使用 さ れ る ポー ト を、 特に ト ラ フ ィ ッ ク が外部
の発信元ア ド レ ス か ら 発生 し てい る 場合にブ ロ ッ ク し ます。 ただ し 、 許可 さ れた
ト ラ フ ィ ッ ク を拒否 し ていない こ と 、 ホ ス ト ID が重複 し ていない こ と 、 ネ ッ ト
ワ ー ク フ ァ イ ア ウ ォールを不要に制限 し ていない こ と を確認 し て く だ さ い。 ま
106
フ ァ イ ア ウ ォ ール ルールを使用 し た、 ホ ス ト へのア ク セ スの制御
た、 ホ ス ト に よ っ て使用 さ れていないサービ ス に対応す る ポー ト も ブ ロ ッ ク し ま
す。
参照 : 攻撃者に よ っ て悪用 さ れ る こ と の多いサービ ス の一覧については、 CVE、
SANS、 CERT な ど の標準機構にお問い合わせ く だ さ い。 詳細については、 「新 し
い脅威か ら の組織の防御」 (77 ページ ) を参照 し て く だ さ い。
既知の侵入者から の ト ラ フ ィ ッ ク を拒否する - 攻撃者が特定の IP ア ド レ ス を通
じ てネ ッ ト ワ ー ク へのア ク セ ス を試みてい る こ と がわかっ てい る 場合は、 こ のア
ド レ ス のブ ロ ッ ク を検討 し ます。 ただ し 、 同 じ 攻撃者であ っ て も IP ア ド レ ス を
変更す る 可能性があ り 、 さ ら に悪い場合は信頼 さ れた ア ド レ ス を装 う 可能性があ
る ため、 こ の方法は絶対安全 と はいえ ません。 攻撃の牽制については、 「攻撃へ
の対応」 (159 ページ ) を参照 し て く だ さ い。
注記 : バージ ョ ン 6.0 よ り 後の Server Sensor は、 発信 ト ラ フ ィ ッ ク のブ ロ ッ ク を
サポー ト し てい ません。
SiteProtector Strategy Guide, Version 2.0 SP4
107
第 6 章 : 防御の調整 と ア ッ プデー ト
Desktop Protector の高度な フ ァ イ アウ ォ ール設定の指定
は じ めに
Desktop Protector の高度な フ ァ イ ア ウ ォール設定を使用 し て、 ネ ッ ト ワ ー ク ト ラ
フ ィ ッ ク 、 特に離れた場所か ら 通信 し てい る デス ク ト ッ プ ま たは ラ ッ プ ト ッ プ
を、 よ り 大づかみに制御 し ます。 こ の ト ピ ッ ク では、 次の基準に よ っ て フ ィ ル タ
リ ン グ を行 う よ う に高度な フ ァ イ ア ウ ォール設定を指定す る 場合のガ イ ド ラ イ ン
について説明 し ます。
●
IP ア ド レ ス
●
TCP お よ び UDP プ ロ ト コ ル
●
IP の種類
不正侵入防御シグネチ ャ
の役割
Desktop Protector には、 悪意のあ る 攻撃を ブ ロ ッ ク で き る 、 強固な一連の不正侵
入防御シグ ネチ ャ が備わっ てい ます。 高度な フ ァ イ ア ウ ォール機能を使用 し て、
こ れ ら の不正侵入防御シグ ネチ ャ を補完 し ます。
IP ア ド レ ス
デス ク ト ッ プ ト ラ フ ィ ッ ク の最 も 一般的な フ ィ ル タ リ ン グ方法は、 IP ア ド レ ス
を使っ た も のです。 次の目的を果たすには、 IP ア ド レ ス に よ る ト ラ フ ィ ッ ク の
フ ィ ル タ リ ン グ を検討 し ます。
TCP お よび UDP プ ロ ト
コル
●
立入禁止のネ ッ ト ワ ー ク ド メ イ ン ま たはホ ス ト に、 ユーザーがア ク セ ス し
ない よ う にす る
●
ユーザーが イ ン タ ーネ ッ ト を閲覧 し ない よ う にす る
●
リ モー ト ユーザーが許可 さ れた VPN を通 じ て通信 し ていない場合、 ネ ッ ト
ワ ー ク ア ク セ ス を制限する
TCP お よ び UDP ポー ト での ト ラ フ ィ ッ ク をブ ロ ッ ク す る 場合は、 こ のガ イ ド ラ
イ ン を使用 し ます。
リ モー ト ログ イ ン サービ ス と フ ァ イル転送サービ スのブ ロ ッ ク - こ れ ら のサー
ビ スはゲー ト ウ ェ イ で許可 さ れてい る 場合があ り 、 ク リ ア テキ ス ト で転送 さ れ る
ため、 攻撃者が Telnet や File Transfer Protocol (FTP) を使用 し てデス ク ト ッ プにア
ク セ スす る こ と が よ く あ り ます。 攻撃者は し ば し ば、 宛先ホ ス ト に ロ グオン し て
コ マ ン ド を実行で き る よ う に、 ポー ト 23 で Telnet 接続の確立を試みます。
攻撃者は、 FTP プ ロ ト コ ルを使用 し て、 セキ ュ リ テ ィ が侵害 さ れた ホ ス ト に悪意
のあ る フ ァ イ ルを送信 し ます。 Trivial File Transfer Protocol (TFTP) は、 悪用に対
し ていっ そ う 脆弱です。 離れた と こ ろにい る 社員、 特に技術サポー ト 担当者は、
ク ラ イ ア ン ト シ ス テ ムにア ク セ スする ために こ れ ら のプ ロ ト コ ルを使用する 必
要があ り ます。 こ れ ら のプ ロ ト コ ルがデフ ォ ル ト で無効化 さ れていて も 、 ユー
ザーが う っ か り 有効化 し て し ま う 場合があ り ます。 デス ク ト ッ プにおけ る FTP、
108
Desktop Protector の高度な フ ァ イ アウ ォ ール設定の指定
TFTP、 Telnet の正当な用途がない場合は、 こ の よ う な ト ラ フ ィ ッ ク のブ ロ ッ ク
を検討 し て く だ さ い。
注記 : ネ ッ ト ワ ー ク 管理者は、 Telnet サービ ス と フ ァ イ ル転送サービ ス を使用 し
て、 ネ ッ ト ワ ー ク の ト ラ ブルシ ュ ーテ ィ ン グ を行い ます。 こ れ ら サービ ス を ブ
ロ ッ ク す る 前に、 サービ ス の正当な用途について考慮 し て く だ さ い。
ピ ア ツーピ ア サービ スのブ ロ ッ ク - ピ ア ツーピ ア サービ スは、 デス ク ト ッ プに
脆弱点を も た ら し た り 、 コ ン テ ン ツの不正な共有に よ る 法的責任を発生 さ せた
り 、 ネ ッ ト ワ ー ク の帯域幅を大量に使用 し た り す る 可能性があ り ます。 容認で き
る 使用に関す る ポ リ シーを作成 し 、 ピ ア ツーピ ア サービ ス の使用お よ び著作権
で保護 さ れた資料のダ ウ ン ロ ー ド を禁止す る こ と を検討 し ます。 ピ ア ツーピ ア
サービ ス が使用す る ポー ト のブ ロ ッ ク を検討 し ます。 Kazaa な ど一部の ピ ア ツー
ピ ア プ ロ グ ラ ムの ト ラ フ ィ ッ ク は、 デフ ォル ト 以外のポー ト を使用する よ う に
簡単に設定変更で き る と い う 点に注意 し て く だ さ い。
IP の種類によ る ト ラ
フ ィ ッ ク のフ ィ ル タ リ ン
グ
高度な フ ァ イ ア ウ ォール設定で IP の種類の フ ィ ル タ を使用 し て、 IP 層プ ロ ト コ
ルを フ ィ ル タ リ ン グ し ます。 ICMP プ ロ ト コ ルはおそ ら く 、 IP 層で実行す る も の
の う ち最 も 悪用 さ れてい る プ ロ ト コ ルです。
ICMP ト ラ フ ィ ッ ク のブ ロ ッ ク - 攻撃者は、 発信 ICMP を使用 し て予備調査を行
い、 脆弱なデス ク ト ッ プでサービ ス不能攻撃を発生 さ せます。 攻撃者は悪意のあ
る コ マ ン ド を着信 ICMP パケ ッ ト に包み込み、 隠れたチ ャ ネルを作成す る こ と が
で き ます。 着信お よ び発信の ICMP メ ッ セージ を ブ ロ ッ ク す る こ と を検討 し ま
す。 特に ICMP 応答に正当な用途がない場合は、 こ れを ブ ロ ッ ク し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
109
第 6 章 : 防御の調整 と ア ッ プデー ト
110
ホス ト のア ク テ ィ ビ テ ィ と ユー
ザー動作の監視および制御
セ ク シ ョ ン C:
概要
は じ めに
Desktop Protector のアプ リ ケーシ ョ ン と シ ス テ ムの整合性を使用 し て、 企業内に
あ る コ ン ピ ュ ー タ でのア ク テ ィ ビ テ ィ を制御 し ます。 こ れ ら の機能を使用 し て、
特定アプ リ ケーシ ョ ン ( 不明なアプ リ ケーシ ョ ン、 ア ンチ ウ ィ ルス アプ リ ケー
シ ョ ン な ど ) がデス ク ト ッ プ上で実行す る よ う に し た り 、 実行を禁止 し た り す る
こ と がで き ます。
重要 : こ の ト ピ ッ ク で説明 さ れてい る 機能のい く つかは、 現在のバージ ョ ンの
Desktop Protector では利用で き ません。
ア プ リ ケーシ ョ ン と シ ス
テムの整合性
アプ リ ケーシ ョ ン と シ ス テ ムの整合性は、 デス ク ト ッ プ コ ン ピ ュ ー タ 上で実行
可能な ソ フ ト ウ ェ ア アプ リ ケーシ ョ ン を制御で き る よ う にする こ と で、 新たな
防御を付け加え ます。 Desktop Protector は、 ド ラ イ ブ上の場所ま たはレ ジ ス ト リ
項目に よ っ て、 こ の よ う なアプ リ ケーシ ョ ン を特定 し た り 、 アプ リ ケーシ ョ ンが
動作中であ る 場合は こ れを検出 し た り す る こ と がで き ます。 ま た、 アプ リ ケー
シ ョ ンがいつ変更 さ れたかに基づいてア ク シ ョ ン を実行す る こ と も で き ます。 ア
プ リ ケーシ ョ ン と シ ス テ ムの整合性設定で、 指定アプ リ ケーシ ョ ンの動作を次の
よ う に要求、 禁止、 制限す る こ と がで き ます。
要求する ア プ リ ケーシ ョ ン - アプ リ ケーシ ョ ン と シ ス テ ムの整合性を使用 し て、
コ ン ピ ュ ー タ ウ ィ ルス に対する 防御を維持お よ び実施する こ と がで き ます。 特
定のア ンチ ウ ィ ルス アプ リ ケーシ ョ ン と ウ ィ ルス定義フ ァ イ ルの実行を ユー
ザーに要求 し 、 定義フ ァ イ ルの期限が切れてい る ユーザーか ら のネ ッ ト ワ ー ク
ア ク セ ス を ブ ロ ッ ク す る こ と がで き ます。 ま た、 ポ リ シー サブ ス ク リ プシ ョ ン
グループご と に異な る ア ンチ ウ ィ ルス アプ リ ケーシ ョ ン を指定する こ と も で き
ます。
禁止する ア プ リ ケーシ ョ ン - 禁止 さ れたアプ リ ケーシ ョ ン を特定 し 、 ユーザーが
こ の よ う なアプ リ ケーシ ョ ン を イ ン ス ト ールま たは実行 し よ う と し た場合にブ
ロ ッ ク す る よ う に、 Desktop Protector を設定す る こ と がで き ます。
SiteProtector Strategy Guide, Version 2.0 SP4
111
第 6 章 : 防御の調整 と ア ッ プデー ト
不明なア プ リ ケーシ ョ ン - 不明なアプ リ ケーシ ョ ン をすべてブ ロ ッ ク す る こ と が
で き ます。 ま たは、 デス ク ト ッ プ上で不明なアプ リ ケーシ ョ ンの実行が試み ら れ
た場合や、 不明なアプ リ ケーシ ョ ンに よ る ネ ッ ト ワ ー ク ア ク セ ス が試み ら れた
場合に、 ユーザーへ通知す る こ と がで き ます。 不明なアプ リ ケーシ ョ ン をすべて
ブ ロ ッ ク す る 場合は、 ユーザーが使用を許可 さ れた アプ リ ケーシ ョ ンの一覧を作
成 し 、 正当な タ ス ク の実行を妨げない よ う に し て く だ さ い。
注意 : アプ リ ケーシ ョ ン と シ ス テ ムの整合性が正 し く 設定 さ れていない と 、 許
可 さ れたユーザーが自分のデス ク ト ッ プへのア ク セ ス を拒否 さ れた り 、 重要なア
プ リ ケーシ ョ ンが実行を妨げ ら れた り す る 可能性があ り ます。 こ の機能を使用す
る 場合は、 十分に注意 し て く だ さ い。
112
セ ク シ ョ ン D:
防御の拡張
概要
は じ めに
こ のセ ク シ ョ ンでは、 防御拡張のガ イ ド ラ イ ン を示 し ます。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
スキ ャ ン頻度の調整
114
防御の増強
115
SiteProtector Strategy Guide, Version 2.0 SP4
113
第 6 章 : 防御の調整 と ア ッ プデー ト
スキ ャ ン頻度の調整
は じ めに
ス キ ャ ン頻度は、 脆弱点デー タ の新 し さ を決定 し ます。 脆弱点デー タ を最新に保
つには、 ネ ッ ト ワ ー ク ス キ ャ ン と ホ ス ト ス キ ャ ンの頻度の調整を検討 し ます。
イ ベン ト 相関の精度
SecurityFusion Module を使用す る 場合、 ス キ ャ ン頻度が イ ベン ト 相関の精度に影
響を与え る こ と があ り ます。 た と えば、 ス キ ャ ン を実行 し た後に脆弱点を修正す
る と 、 も う 一度ス キ ャ ン を行 う ま で、 SiteProtector はホ ス ト が脆弱であ る と 引 き
続 き 示 し ます。 フ ィ ル タ リ ン グや脆弱点デー タ の古 さ な ど のその他要因 も 、 イ ベ
ン ト 相関の精度に影響す る 可能性があ り ます。
スキ ャ ン頻度を増やす場 次の よ う な場合に、 ス キ ャ ン頻度の増加を検討 し ます。
合
さ ら に強力な防御モデルを採用する場合 - 継続的なセキ ュ リ テ ィ プ ラ ンに、 時
間の経過に伴っ て防御を引 き 上げ る と い う 手続 き が含まれてい る 場合があ り ま
す。 た と えば、 特定のホ ス ト を も っ と 頻繁に ス キ ャ ンす る こ と を決定す る な ど で
す。
増大 し た リ ス ク に対応する場合 - あ る ホ ス ト グループに対す る 攻撃の危険度が、
今ま で考え ら れていた よ り も 高い場合です。 た と えば、 特定ホ ス ト が再設定の最
中であ る と わかっ てい る 場合に、 修正が完了す る ま でそのホ ス ト に対す る ス キ ャ
ンの頻度を増やす こ と を検討 し ます。
参照 : ス キ ャ ン頻度の詳細については、 第 9 章 「ス キ ャ ンの管理」 (177 ページ )
を参照 し て く だ さ い。
スキ ャ ン頻度を減ら す場 ス キ ャ ン対象のアセ ッ ト が、 今ま で考え ら れていた よ り も 脆弱性が低かっ た り 、
重要ではなかっ た よ う な場合に、 ス キ ャ ン頻度の低減を検討 し ます。
合
重要
114
防御の増強
防御の増強
は じ めに
ホス ト へのセ ンサーの追
加
防御の増強には、 次の よ う な タ ス ク があ り ます。
●
セ ンサーま たはエージ ェ ン ト へのホ ス ト の追加
●
ス キ ャ ンへのホ ス ト の追加
ホ ス ト にセ ンサーを追加す る 理由は、 次の と お り です。
さ ら に強力な防御モデルの採用 - た と えば、 ミ ニマ ム防御戦略か ら 外部脅威か ら
の防御戦略に移行す る と き 、 たいていは DMZ ホ ス ト ( 場合に よ っ ては イ ン ト ラ
ネ ッ ト に も ) にセンサーを追加 し ます。
ネ ッ ト ワー ク サイ ズの拡大 - 現在の防御モデルを参考に し て、 ネ ッ ト ワー ク に
追加 さ れた ホ ス ト へセンサーを追加 し ます。
スキ ャ ンへのホス ト の追
加
ス キ ャ ンにホ ス ト を追加す る 理由は、 次の と お り です。
さ ら に強力な防御モデルの採用 - た と えば、 ミ ニマ ム防御戦略か ら 外部脅威か ら
の防御戦略に移行す る と き 、 たいていは DMZ ス キ ャ ンにホ ス ト を追加 し ます。
ネ ッ ト ワー ク サイ ズの拡大 - 現在の防御モデルを参考に し て、 ネ ッ ト ワー ク に
追加 さ れた ホ ス ト へセンサーを追加 し ます。
参照 : 防御戦略の詳細については、 本書の 「パー
パー ト 1: 評価 と 企画」
企画 の各章を参
照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
115
第 6 章 : 防御の調整 と ア ッ プデー ト
116
セ ク シ ョ ン E:
防御のア ッ プデー ト
概要
は じ めに
こ のセ ク シ ョ ンでは、 X-Press Update、 Service Release、 お よ び Full Upgrade を
使っ た防御のア ッ プデー ト 手順について説明 し ます。
ア ッ プデー ト 適用に使わ 次の方法で、 Site Manager にア ッ プデー ト を適用す る こ と がで き ます。
れる方法
●
手動
●
ア ッ プデー ト の種類
SiteProtector Update Manager の使用
SiteProtector では、 SiteProtector Update Manager を使用 し て、 セ ンサー、 ス キ ャ
ナー、 コ ン ポーネ ン ト を Site Manager Console か ら ア ッ プデー ト す る こ と がで き
ます。 防御のア ッ プデー ト 方法は、 次の 3 通 り です。
X-Press Update - SiteProtector、 お よ びセ ンサー、 ス キ ャ ナー、 エージ ェ ン ト
を、 最新の防御にア ッ プデー ト し ます。 新規チ ェ ッ ク と ア ッ プデー ト さ れた
チ ェ ッ ク 、 ポ リ シーのシグ ネチ ャ 、 お よ び ISS マニ ュ アルに対する ア ッ プデー ト
が含まれてい ます。
Service Release - ソ フ ト ウ ェ ア バ イ ナ リ コ ー ド に対す る ア ッ プデー ト が含まれ
てい ます。 ただ し 、 セキ ュ リ テ ィ コ ン テ ン ツ に対する ア ッ プデー ト が含まれ る
場合 も あ り ます。 X-Press Update と 同時に リ リ ース さ れ る 場合があ り ます。
Full Upgrade - ソ フ ト ウ ェ アの メ ジ ャ ー リ リ ース を意味 し ます。 常にバ イ ナ リ
コー ド と セキ ュ リ テ ィ コ ン テ ン ツ が含まれてい ます。
重要 : Proventia M シ リ ーズ アプ ラ イ ア ン ス と System Scanner アプ リ ケーシ ョ ン
を SiteProtector Console か ら ア ッ プデー ト する こ と はで き ません。
ア ッ プデー ト 対象の
SiteProtector コ ンポー
ネン ト
ア ッ プデー ト には、 次の ソ フ ト ウ ェ ア コ ン ピ ュ ー タ の う ち 1 つ以上に対する
ア ッ プデー ト が含まれてい ます。
●
Application Server
●
Sensor Controller
●
Event Collector
●
Desktop Controller
●
Deployment Manager
SiteProtector Strategy Guide, Version 2.0 SP4
117
第 6 章 : 防御の調整 と ア ッ プデー ト
ア ッ プデー ト 対象のセ ン
サー、 スキ ャ ナ、 エー
ジェン ト
●
SiteProtector Console
●
デー タ ベース
ISS では、 セ ンサーま たはエージ ェ ン ト の種類ご と に、 個別のア ッ プデー ト を リ
リ ース し てい ます。 こ の よ う なア ッ プデー ト は、 SiteProtector のア ッ プデー ト や
その他のセ ンサー ア ッ プデー ト には含まれません。 SiteProtector Console か ら 、
次の コ ン ポーネ ン ト に対 し てア ッ プデー ト を適用す る こ と がで き ます。
●
Proventia G シ リ ーズ アプ ラ イ ア ン ス
●
Proventia A シ リ ーズ アプ ラ イ ア ン ス
●
Network Sensor
●
Server Sensor
●
Internet Scanner アプ リ ケーシ ョ ン
注記 : Proventia M シ リ ーズ アプ ラ イ ア ン ス ま たは System Scanner アプ リ ケー
シ ョ ンに SiteProtector Console か ら ア ッ プデー ト を適用する こ と はで き ません。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
118
ページ
ア ッ プデー ト の取 り 扱い
119
Update Manager を使用 し たア ッ プデー ト の適用
120
手動によ る ア ッ プデー ト の適用
121
ア ッ プデー ト の取 り 扱い
ア ッ プデー ト の取 り 扱い
は じ めに
こ の ト ピ ッ ク では、 Desktop Protection エージ ェ ン ト お よ びセンサーのチ ェ ッ ク と
シグ ネチ ャ のア ッ プデー ト 、 さ ら に X-Press Update の通知プ ロ セ ス について説明
し ます。
Desktop Protection
エージ ェ ン ト のア ッ プ
デー ト
ア ッ プデー ト は Desktop Controller に適用 し ます。 X-Press Update を個別のエー
ジ ェ ン ト に適用す る こ と はで き ません。 Desktop Protection エージ ェ ン ト は、
Desktop Controller に接続 し た と き にのみア ッ プデー ト を受け取 る こ と がで き ま
す。
ア ッ プデー ト によ っ て追 SiteProtector に レ ポー ト する セ ンサーにア ッ プデー ト を適用す る 場合、
SiteProtector への レ ポー ト を行 う セ ンサー と ス キ ャ ナーのデフ ォ ル ト ポ リ シー と
加 さ れる セ ンサー
カ ス タ ム ポ リ シーに、 ア ッ プデー ト に よ っ て新規チ ェ ッ ク ま たは新規シ グ ネ
チ ェ ッ ク およびシグネ
チ ャ が追加 さ れます。
チャ
デ フ ォル ト ポ リ シー - デフ ォ ル ト ポ リ シーの種類に基づいて、 新規チ ェ ッ ク と
新規シグ ネチ ャ が必要に応 じ て追加 さ れ、 有効にな り ます。
カ ス タ マ イ ズ さ れたポ リ シー - 新規チ ェ ッ ク と 新規シ グネチ ャ は追加 さ れます
が、 自動的には有効にな り ません。 カ ス タ ム ポ リ シーに追加 さ れた新規チ ェ ッ
ク と 新規シグ ネチ ャ は、 有効にす る 必要があ り ます。
重要 : 特定の種類のエージ ェ ン ト (Network ま たは Server) をすべて同時にア ッ プ
デー ト す る こ と をお勧め し ます。 その よ う に し ない と 、 ア ッ プデー ト さ れたポ リ
シーに含まれ る シグ ネチ ャ を、 そのシグ ネチ ャ を使 う よ う に設定 さ れていないセ
ンサーに適用す る 必要があ り ます。
X-Press Update 自動通
知プ ロ セス
SiteProtector は、 定期的に ISS の Web サ イ ト をチ ェ ッ ク し て、 新 し く 入手可能に
な っ た ア ッ プデー ト がないか確認 し ます。 新 し いア ッ プデー ト が見つか る と 、
ア ッ プデー ト を取得 し て、 シ ス テ ム内の該当す る デ ィ レ ク ト リ に配置 し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
119
第 6 章 : 防御の調整 と ア ッ プデー ト
Update Manager を使用 し たア ッ プデー ト の適用
は じ めに
累積ア ッ プデー ト
Update Manager を使用す る と 、 設定内のすべての コ ン ポーネ ン ト 、 セ ンサー、 お
よ びス キ ャ ナにア ッ プデー ト を適用で き ます。 Update Manager は、 バージ ョ ンや
ポ リ シー、 ラ イ セ ン ス間での互換性を保 と う と し なが ら も 柔軟に対応 し ます。
Update Manager は、 次の作業を行い ます。
●
累積ア ッ プデー ト を適用す る
●
ロ ールバ ッ ク を許可す る
●
ア ッ プデー ト の失敗か ら 復旧す る
セ ンサーま たは コ ン ポーネ ン ト に累積ア ッ プデー ト が必要な場合、 Update
Manager は必要な ア ッ プデー ト を自動的に イ ン ス ト ール し ます。 最新の状態にす
る 必要のあ る アプ リ ケーシ ョ ンが利用不可能な場合、 Update Manager は、 変更が
有効にな る 前にア ッ プデー ト プ ロ セ ス を停止 し ます。
注記 : Internet Scanner アプ リ ケーシ ョ ンのア ッ プデー ト は、 累積的ではあ り ませ
ん。 ア ッ プデー ト を ス キ ッ プす る こ と はで き ません。 ア ッ プデー ト は、 所定の順
序で適用す る 必要があ り ます。
ロールバ ッ ク
ほ と ん ど のセ ンサーお よ びス キ ャ ナのア ッ プデー ト では、 前のバージ ョ ンへ ロ ー
ルバ ッ ク す る こ と がで き ます。 最後に適用 さ れた ア ッ プデー ト に複数のバージ ョ
ンが含まれていた場合は、 ア ッ プデー ト に含まれてい る最後のバージ ョ ンのみが
ア ン イ ン ス ト ール さ れます。 ア ッ プデー ト を SiteProtector の コ ア コ ン ポーネ ン ト
ま で ロ ール バ ッ ク する こ と はで き ません。 代わ り に、 現在のバージ ョ ン を ア ン
イ ン ス ト ール し 、 前のバージ ョ ン を再 イ ン ス ト ールす る 必要があ り ます。
ア ッ プデー ト 失敗から の
復旧
ア ッ プデー ト を行 う 前に、 Update Manager は、 該当す る フ ァ イ ルをチ ェ ッ ク し て
ア ッ プデー ト が可能か ど う か確認 し ます。 ま た、 置 き 換え る フ ァ イ ルのバ ッ ク
ア ッ プを作成 し ます。 フ ァ イ ルを ア ッ プデー ト で き ない と 判断す る と 、 Update
Manager はア ッ プデー ト プ ロ セ ス を停止 し 、 既に置 き 換え ら れた フ ァ イ ルを復元
し ます。
120
手動に よ る ア ッ プデー ト の適用
手動に よ る ア ッ プデー ト の適用
は じ めに
こ の ト ピ ッ ク では、 Manual Upgrader を使用 し てア ッ プデー ト を適用す る 手順に
ついて説明 し ます。
Manual Upgrader
セキ ュ リ テ ィ 強化の手段 と し て、 セキ ュ リ テ ィ アプ リ ケーシ ョ ンが イ ン ス ト ー
ル さ れたサーバーに対す る イ ン タ ーネ ッ ト ア ク セ ス が制限 さ れてい る 場合があ
り ます。 セキ ュ リ テ ィ 担当者は多 く の場合、 ア ッ プデー ト フ ァ イ ルを手作業で
コ ン ピ ュ ー タ 間移動 し 、 ア ッ プデー ト を正 し く 適用で き る よ う に適切なデ ィ レ ク
ト リ 構造を再構築す る 必要があ り ます。 Manual Upgrader ユーテ ィ リ テ ィ を使用
す る と 、 こ れ ら ア ッ プデー ト の移動が自動化 さ れ、 適切なデ ィ レ ク ト リ 構造 も 維
持 さ れます。
Manual Upgrader の入
手先
Manual Upgrader は、 ISS の Web サ イ ト か ら ダ ウ ン ロ ー ド で き ます。
Internet Scanner ア プ
リ ケーシ ョ ンのア ッ プ
デー ト
Internet Scanner のア ッ プデー ト は、 累積的ではあ り ません。 Internet Scanner アプ
リ ケーシ ョ ンのア ッ プデー ト は、 リ リ ース さ れた順に適用す る 必要があ り ます。
ア ッ プデー ト を ス キ ッ プす る こ と はで き ません。
Network Sensor および
Server Sensor のア ッ プ
デー ト
Network Sensor お よ び Server Sensor のア ッ プデー ト は、 累積的です。 その他の
ア ッ プデー ト を順番に適用 し ていな く て も 、 最新のア ッ プデー ト を シ ス テ ムに適
用す る こ と がで き ます。
Desktop Controller の
ア ッ プデー ト
Desktop Controller のア ッ プデー ト は、 累積的です。 その他のア ッ プデー ト を順番
に適用 し ていな く て も 、 最新のア ッ プデー ト を シ ス テ ムに適用す る こ と がで き ま
す。
SiteProtector Strategy Guide, Version 2.0 SP4
121
第 6 章 : 防御の調整 と ア ッ プデー ト
122
第7章
ネ ッ ト ワーク脆弱点の特定と 解消
概要
は じ めに
こ の章では、 防御の維持におけ る ネ ッ ト ワ ー ク 脆弱点の特定 と 解消の役割につい
て説明 し ます。 ま た、 重要な脆弱点情報を提供す る レ ポー ト の例 も い く つか紹介
し ます。
こ の章の内容
こ の章では次のセ ク シ ョ ンについて説明 し ます。
セクシ ョ ン
ページ
脆弱点の特定 と 解消
125
脆弱点レポー ト
137
SiteProtector Strategy Guide, Version 2.0 SP4
123
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
124
セ ク シ ョ ン A:
脆弱点の特定 と 解消
概要
は じ めに
こ のセ ク シ ョ ンでは、 防御の維持におけ る ネ ッ ト ワ ー ク 脆弱点の特定 と 対応の役
割について説明 し ます。
脆弱点評価プ ラ ンの重要 脆弱点を効果的に特定 し て解消す る ため、 ISS では脆弱点評価プ ラ ンの作成をお
性
勧め し ます。 良い脆弱点評価プ ラ ン と は、 次の内容が定め ら れた も のです。
●
ス キ ャ ンに含め る ホ ス ト
●
ス キ ャ ンの頻度
●
影響を受け る シ ス テ ムの責任者
●
脆弱点を レ ポー ト 、 追跡、 お よ び解消す る プ ロ セ ス
●
脆弱点評価チームの次の よ う な責任範囲
■
チームの組織構造
■
上層経営陣 と の関係
■
提供 さ れ る サービ ス
注意 : こ の章では、 脆弱点評価プ ラ ンの作成を包括的に説明 し ません。 脆弱点
評価プ ラ ン作成の詳細については、 イ ン タ ーネ ッ ト セキ ュ リ テ ィ シ ス テ ム ズの
プ ロ フ ェ ッ シ ョ ナル サービ ス部ま でお問い合わせ く だ さ い。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
脆弱点の評価 と 解消のプ ロ セス
126
SiteProtector によ っ て生成 さ れる脆弱点デー タ
128
脆弱点イ ベン ト に関する情報の収集
130
脆弱点を解消するかど う かの決定
131
脆弱点の修正 と 緩和
132
ア ク シ ョ ン プ ラ ンの作成
135
ア ッ プグ レー ド と パ ッ チの実装
136
SiteProtector Strategy Guide, Version 2.0 SP4
125
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
脆弱点の評価 と 解消のプ ロ セス
は じ めに
こ の ト ピ ッ ク では、 脆弱点の評価 と 解消のプ ロ セ ス について概要を説明 し ます。
脆弱点を特定および解消 脆弱点を特定お よ び解消す る には :
する方法
1. 130 ページのガ イ ド ラ イ ン を使用 し て、 脆弱点 イ ベン ト に関す る 情報を収集
し ます。
2. 131 ページのガ イ ド ラ イ ン を使用 し て、 脆弱点を解消す る か ど う か決定 し ま
す。
3. 132 ページのガ イ ド ラ イ ン を使用 し て、 脆弱点を解消 し ます。
4. 135 ページのガ イ ド ラ イ ン を使用 し て、 脆弱点を解消す る ためのア ク シ ョ ン
プ ラ ン を作成 し ます。
5. 136 ページのガ イ ド ラ イ ン を使用 し て、 fix を導入 し ます。
126
脆弱点の評価 と 解消のプ ロ セ ス
脆弱点の評価 と 解消のプ
ロ セスの図
図 15 脆弱点の評価 と 解消のプ ロ セ ス を図解 し ます。
Categorize as
incident
y
Yes
Yes
Run scan
Gather information
about vulnerability
events
Resolve
vulnerability?
Develop action
plan for repair
y
apply vendorsupplied patches and
upgrades
reconfigure
vulnerable systems
Repair
vulnerability?
y
No
y
No
Categorize as
exception
y
monitor vulnerability
for specified period of
time
turn off systems that
run vulnerable
services
adjust firewall rules to
prevent access to
vulnerable services
図 15: 脆弱点の評価 と 解消のプ ロ セスの図
SiteProtector Strategy Guide, Version 2.0 SP4
127
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
SiteProtector に よ っ て生成 さ れる脆弱点デー タ
は じ めに
こ の ト ピ ッ ク では、 SiteProtector に よ っ て生成 さ れ る 脆弱点デー タ の種類 と 、 特
定の攻撃に関連 し た脆弱点について説明 し ます。
定義 : 脆弱点
脆弱点 と は、 ネ ッ ト ワ ー ク に存在す る 、 悪用 さ れ る 可能性のあ る 既知の不具合で
す。
脆弱点デー タ の種類
SiteProtector に よ っ て生成 さ れ る 脆弱点デー タ の種類は、 次の と お り です。
ネ ッ ト ワー ク ベース - Internet Scanner イ ン ス タ ン ス に よ っ て生成 さ れ る 情報。 攻
撃者は通常、 ネ ッ ト ワ ー ク 上の他のマシ ンに対 し て公開 さ れてい る サービ ス にア
ク セ スす る こ と で、 こ の よ う な脆弱点を悪用 し ます。 ネ ッ ト ワ ー ク ベース の脆弱
点は、 ホ ス ト と ネ ッ ト ワ ー ク の両方で発生す る 可能性があ り ます。
ホス ト ベース - System Scanner アプ リ ケーシ ョ ンに よ っ て検出 さ れ る 情報。 攻撃
者は、 ロ ーカルま たは リ モー ト のユーザー と し てホ ス ト に ロ グ イ ンす る こ と で、
ホ ス ト ベース の脆弱点を悪用 し ます。
脆弱点のカ テ ゴ リ
脆弱点のカ テ ゴ リ は、 次の と お り です。
製造元固有 - 商用の ソ フ ト ウ ェ ア ま たはハー ド ウ ェ アが正 し く 防御 さ れていない
状態。 ソ フ ト ウ ェ アのバグ、 オペレーテ ィ ン グ シ ス テ ム パ ッ チの欠落、 サービ
ス な ど。
不適切な設定 - 管理者が ソ フ ト ウ ェ アお よ びハー ド ウ ェ ア を適切に設定 し ていな
い状態。 パ ス ワ ー ド 作成、 ま たはシ ス テ ム設定 ( パ ッ チや hot fix のア ン イ ン ス
ト ール も 含む ) に対す る 許可のない変更に関 し て、 ポ リ シー定義が不完全であ る
場合な ど。
不適切なユーザー ア ク テ ィ ビ テ ィ - ユーザー側の不正使用ま たは怠慢。 許可 さ
れていない団体 と のデ ィ レ ク ト リ 共有、 ア ンチ ウ ィ ルス ソ フ ト ウ ェ アの不使用
ま たはア ッ プデー ト 未適用、 フ ァ イ ア ウ ォール ルールを回避する ためのダ イ ヤ
ルア ッ プ モデム使用な ど。
128
SiteProtector に よ っ て生成 さ れる脆弱点デー タ
特定の攻撃に関連 し た脆 特定の攻撃に関連 し た脆弱点についての説明は、 次の と お り です。
弱点
脆弱点
説明
バッ ク ド ア
次のいずれかが原因で生 じ た、 シ ス テムまたはア プ
リ ケーシ ョ ンのセキ ュ リ テ ィ ホール。
•
セキ ュ リ テ ィ 上の欠陥
•
隠 さ れたア ク セス手段
バ ッ フ ァ または フ ィ ール
ド のオーバー フ ロー
変数の フ ィ ール ド 長を超え る コ ー ド を変数に渡す こ
と を攻撃者に許すよ う な、 シ ステムの不具合。 この
コ ー ド は後で実行 し 、 攻撃者を ア ク セス可能に し ま
す。
デ フ ォル ト ア カ ウン ト
および不適切なア ク セス
権限
デ フ ォル ト で有効にな っ ているユーザー ア カ ウン
ト 、 事前定義 さ れたア カ ウン ト 、 またはア ク セス
レベルに見合 う よ り も多 く の リ ソ ースや コ マ ン ド に
ア ク セス可能なア カ ウン ト 。
脆弱なア ク セス制御
ア ク セス制御を弱める よ う なシ ス テムの設定 ミ ス。
空白や Null のパスワー ド の許可、 簡単に推測で き
るパスワー ド な ど。
情報の脆弱点
オペ レーテ ィ ング シ ス テムのバージ ョ ン な ど ホス
ト に関する予備調査情報を与え る よ う なシ ス テムの
欠陥。
表 24: 特定の攻撃に関連 し た脆弱点
SiteProtector Strategy Guide, Version 2.0 SP4
129
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
脆弱点イ ベン ト に関する情報の収集
は じ めに
ネ ッ ト ワ ー ク を ス キ ャ ン し 終わっ た ら 、 ス キ ャ ンに よ っ て生成 さ れた脆弱点 イ ベ
ン ト に関す る 情報を収集す る 必要があ り ます。 脆弱点 イ ベン ト に関す る 重要な詳
細へ ド リ ル ダ ウ ンする には、 アナ リ シ ス ビ ュ ーを使用 し ます。
アナ リ シス ビ ュ ーを
使っ た情報収集
次に示す SiteProtector のアナ リ シ ス ビ ュ ーを使用 し て、 脆弱点に関す る 情報を収
集 し ます。
ビ ュー
説明
Vuln Analysis - Vuln
Name
ネ ッ ト ワー ク で検出 さ れた脆弱点の種類に関する
高い レベルの情報が提供 さ れます。
Vuln Analysis - Host
この脆弱点によ っ て ク リ テ ィ カルなホス ト が影響
を受けるかど う かを判断する ための、 格好な開始
ポ イ ン ト が提供 さ れます。
Vuln Analysis - Object
脆弱点の影響を受ける可能性のあるポー ト や共有
名、 レ ジ ス ト リ キー、 ユーザー、 フ ァ イルなど、
ホス ト に関する詳細情報が提供 さ れます。
Vuln Analysis - Detail
ネ ッ ト ワー ク で検出 さ れた脆弱点に関する詳細情
報が提供 さ れます。
表 25: アナ リ シス ビ ュ ーを使 っ た情報収集
参照 : SiteProtector のアナ リ シ ス ビ ュ ーの詳細については、 SiteProtector のヘルプ
を参照 し て く だ さ い。
130
脆弱点を解消するかど う かの決定
脆弱点を解消するかど う かの決定
は じ めに
こ の ト ピ ッ ク では、 ど の脆弱点を解消す る か決定す る 際の手助け と な る 質問事項
を取 り 上げます。
脆弱点を解消するかど う
かの決定
脆弱点を解消す る か ど う か決定す る 場合は、 次の質問事項を使用 し て く だ さ い。
脆弱点は、 ク リ テ ィ カルなアセ ッ ト に影響を与え る で し ょ う か。 脆弱点を解消す
る か ど う か決定す る 場合に最 も 重要な要素は、 脆弱点の影響を受け る ホ ス ト ま た
はセグ メ ン ト が ク リ テ ィ カルであ る か ど う かです。
参照 : ネ ッ ト ワー ク の ど のアセ ッ ト が ク リ テ ィ カルであ る か判断す る 方法の詳細
については、 第 2 章 「組織の評価」 (9 ページ ) を参照 し て く だ さ い。
こ の脆弱点が悪用 さ れた場合の最悪のシナ リ オはどんな も ので し ょ う か。 攻撃に
よ る 影響は さ ま ざ ま です。 一部の脆弱点では、 組織内の ク リ テ ィ カルなホ ス ト す
べてが無効に さ れかねませんが、 別の脆弱点では、 価値の低い情報やま っ た く 価
値のない情報が攻撃者に提供 さ れます。
脆弱点によ っ て影響を受ける プ ラ ッ ト フ ォ ームは、 どの程度広 く 使用 さ れている
で し ょ う か。 脆弱点に よ っ て影響を受け る プ ラ ッ ト フ ォーム を実行 し てい る ホ
ス ト の数は、 脆弱点が悪用 さ れ る 可能性を決定付け る 場合があ り ます。 一般的
に、 脆弱なプ ラ ッ ト フ ォーム を実行 し てい る ホ ス ト が多いほ ど、 そのプ ラ ッ ト
フ ォームは攻撃 さ れやす く な り ます。
脆弱点を悪用する ために高度なスキルが必要 と さ れる で し ょ う か。 ほ と ん ど の攻
撃者は、 高度なハ ッ キ ン グ技術を持ち合わせてい ません。 し たがっ て、 高度な ス
キルが必要であれば、 脆弱点を悪用す る 可能性は低 く な り ます。
脆弱点は部外者によ っ て悪用可能で し ょ う か。 ロ ーカル ア カ ウ ン ト の権限を使
わずにユーザーが リ モー ト か ら 悪用可能な脆弱点は、 潜在す る 多数の攻撃者に対
し て ド ア を開 く こ と にな り ます。
SiteProtector Strategy Guide, Version 2.0 SP4
131
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
脆弱点の修正 と 緩和
は じ めに
脆弱点を解消す る こ と に決めた場合は、 次のいずれかを行い ます。
●
脆弱点の修正
●
脆弱点の危険度の緩和
修正
脆弱点を解消す る 最 も 効果的な方法は、 脆弱点を修正す る こ と です。 脆弱点を修
正す る 場合は、 影響を受け る シ ス テ ムが今後脆弱でな く な る よ う に、 シ ス テ ム を
修正ま たは再設定 し ます。
緩和
脆弱点を緩和す る 場合は、 脆弱点の与え る 影響の減少を試みますが、 削除は行い
ません。 脆弱点の緩和は、 一時的な手段 と 考え て く だ さ い。
例外 と イ ン シデン ト
SiteProtector では、 脆弱点を次の よ う に簡単に分類す る こ と がで き ます
ベース ラ イ ン機能
●
脆弱点を解消す る 場合は、 イ ン シデン ト と し て分類 し ます。
●
脆弱点を無視す る 場合は、 例外 と し て分類 し ます。
修正ま たは緩和 さ れた脆弱点を追跡す る には、 ベース ラ イ ン機能の使用を検討 し
ます。
ただ ちに解消で き ない脆 解消す る には非常に時間がかか る こ と がわかっ てい る 場合な ど の特殊な状況で
は、 脆弱点を例外 と し て分類す る こ と を検討 し ます。
弱点の措置
132
脆弱点の修正 と 緩和
脆弱点の解消
表 26 を参考に し て、 脆弱点を解消 し ます。
方法
タスク
イ ン シデン ト または例外
脆弱点を修正する
製造元が提供するパ ッ
チ またはア ッ プグレー
ド を適用する
パ ッ チ またはア ッ プグレー ド
の実装 と テ ス ト が終わる まで、
イ ン シデン ト と し て分類する
脆弱な シス テムを再設
定する
1. 脆弱なシ ス テムが正 し く 再
設定 さ れる まで、 イ ン シデ
ン ト と し て分類する
2. 例外 と し て分類 し 、 シ ス テ
ムに正 し く パ ッ チが適用 さ
れたか、 またはア ッ プグ
レー ド さ れた と き に期限切
れ と な る よ う にスケジ ュ ー
ルする
脆弱点を緩和する
指定の期間が経過する
まで脆弱点を監視する
脆弱なサービ ス を実行
し ている シス テムを無
効にする
イ ン シデン ト と し て分類する
1. 脆弱なサービ スが停止 さ れ
る まで、 イ ン シデン ト と し
て分類する
2. 例外 と し て分類 し 、 シ ス テ
ムに正 し く パ ッ チが適用 さ
れたか、 またはア ッ プグ
レー ド さ れた と き に期限切
れ と な る よ う にスケジ ュ ー
ルする
脆弱な シス テムへのア
ク セス を阻止する よ う
に フ ァ イ アウ ォ ール
ルールを調整する
注記 : この方法は、 絶
対安全 と はいえ ませ
ん。 攻撃者がフ ァ イ ア
ウ ォ ール ルールを回避
し て、 脆弱なホス ト に
ア ク セスする可能性が
あ り ます。
1. 脆弱なサービ スがブ ロ ッ ク
さ れる まで、 イ ン シデン ト
と し て分類する
2. 例外 と し て分類 し 、 シ ス テ
ムに正 し く パ ッ チが適用 さ
れたか、 またはア ッ プグ
レー ド さ れた後に期限切れ
と な る よ う にスケジ ュ ール
する
表 26: 脆弱点の解決
SiteProtector Strategy Guide, Version 2.0 SP4
133
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
参照 : 脆弱点修正の詳細については、 「ア ッ プグ レー ド と パ ッ チの実装」
(136 ページ ) を参照 し て く だ さ い。
134
ア ク シ ョ ン プ ラ ンの作成
ア ク シ ョ ン プ ラ ンの作成
は じ めに
脆弱点の修正ま たは緩和を決定 し た ら 、 脆弱点の詳細情報を含むプ ラ ンや、 解消
方法のプ ラ ン、 解消後に行 う テ ス ト 方法のプ ラ ン を作成す る 必要があ り ます。
ア ク シ ョ ン プ ラ ンの作
成方法
ア ク シ ョ ン プ ラ ンに含め る 情報は、 次の と お り です。
●
脆弱点の詳細情報
●
脆弱点の影響を受け る シ ス テ ムの一覧
●
脆弱点を修正ま たは緩和す る 方法の説明 ( 担当グループの指定やシ ス テ ム所
有者 と の連絡な ど を含む詳 し い実装手順な ど )
●
解決策の与え る 影響を評価す る 方法の説明 ( テ ス ト や ロ ールバ ッ ク の手順な
ど)
SiteProtector Strategy Guide, Version 2.0 SP4
135
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
ア ッ プグ レー ド と パ ッ チの実装
は じ めに
修正のア ク シ ョ ン プ ラ ン を作成 し た ら 、 ア ッ プグ レー ド と パ ッ チを実装する 必
要があ り ます。
定義 : ア ッ プグレー ド
ア ッ プグ レー ド と は、 すでに イ ン ス ト ール さ れてい る ハー ド ウ ェ ア ま たは ソ フ ト
ウ ェ ア製品の新 し いバージ ョ ン、 ま たはそれに対す る 追加です。 ア ッ プグ レー ド
には通常、 新規機能や再設計 さ れた コ ン ポーネ ン ト が含まれます。
定義 : パ ッ チ
パ ッ チ と は、 ソ フ ト ウ ェ ア ま たはハー ド ウ ェ アに対す る 一時的な修正であ り 、 通
常は特定のバグ ま たは不具合に対処 し ます。 パ ッ チには通常、 新規機能や再設計
さ れた コ ン ポーネ ン ト は含まれません。
正 し く 実装を行 う 方法
ア ッ プグ レー ド と パ ッ チを正 し く 実装す る には、 次の作業を行 う 必要があ り ま
す。
ア ッ プグレー ド やパ ッ チ
を実施する と き に検討す
る質問事項
次の手順
136
●
新 し い ソ フ ト ウ ェ ア、 ま たは再設定の内容を テ ス ト す る
●
パ ッ チ ま たはア ッ プグ レー ド の適用対象 と な る デバ イ ス の責任者であ る シ ス
テ ム所有者やビ ジネ ス マネージ ャ の協力を得る
ア ッ プグ レー ド やパ ッ チを実装す る 場合は、 次の質問事項を参考に し て く だ さ
い。
●
修正 し て も 、 シ ス テ ムが さ ら に脆弱にな る こ と はないで し ょ う か。
●
パ ッ チが適用 さ れた シ ス テ ム と 適用 さ れていないシ ス テ ムがネ ッ ト ワ ー ク に
存在す る こ と で、 互換性が失われないで し ょ う か。
●
1 つの脆弱点を修正す る ために実装 し てい る fix に よ っ て、 別の脆弱点が発
生す る よ う な こ と がないで し ょ う か。
●
Fix の導入に、 大規模なテ ス ト が必要 と さ れないで し ょ う か。 必要であれ
ば、 それに十分な時間が取れ る で し ょ う か。
ネ ッ ト ワ ー ク を再度ス キ ャ ン し て、 脆弱点が き ちん と 修正 さ れてい る か ど う か確
認 し ます。
セ ク シ ョ ン B:
脆弱点レポー ト
概要
は じ めに
こ のセ ク シ ョ ンでは、 脆弱点の特定に使用で き る い く つかの レ ポー ト に関す る 情
報を紹介 し ます。 ま た、 脆弱点の特定 と 修正に役立つレ ポー ト の例 も 紹介 し てい
ます。
参照
こ の章で説明す る レ ポー ト の詳細については、 次を参照 し て く だ さ い。
●
こ のセ ク シ ョ ンの内容
付録 A 「SiteProtector レ ポー ト 」 (187 ページ )
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
脆弱点の詳 し い調査
138
脆弱点の優先度の設定
139
ホス ト 別の脆弱点修正方法
140
企業のセキ ュ リ テ ィ ステー タ スの確認
141
SiteProtector Strategy Guide, Version 2.0 SP4
137
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
脆弱点の詳 し い調査
は じ めに
Vulnerability Analysis Details レ ポー ト を使用 し て、 脆弱点を詳 し く 調査 し ます。
Vulnerability Analysis Details レ ポー ト には、 タ グ名、 危険度、 ス テー タ ス、 タ ー
ゲ ッ ト IP ア ド レ ス、 DNS 名、 オブジ ェ ク ト の種類、 オブジ ェ ク ト 名、 発信元
ポー ト 、 ユーザー名な ど の情報が含ま れてい ます。
参照 : 脆弱点の修正ま たは緩和の詳細については、 「脆弱点の修正 と 緩和」
(132 ページ ) を参照 し て く だ さ い。
Vulnerability Analysis
Details レポー ト ( 一部 )
図 16 は、 Vulnerability Analysis Details レ ポー ト の一部です。 こ の レ ポー ト 例は、
[Sensor Analysis] タ ブの [Load analysis view] フ ィ ール ド で [Vuln Analysis - Detail]
を選択 し た状態で作成 さ れた も のです。
図 16: Vulnerability Analysis Details レポー ト ( 一部 )
参照 : こ の レ ポー ト の作成については、 「Sensor Analysis タ ブでの レ ポー ト 作成」
(192 ページ ) を参照 し て く だ さ い。
138
脆弱点の優先度の設定
脆弱点の優先度の設定
は じ めに
Vulnerability by Host レ ポー ト を使用 し て、 脆弱点を修正ま たは緩和す る 順番を決
定 し ます。 Vulnerability by Host レ ポー ト は、 ネ ッ ト ワー ク で検出 さ れた脆弱点
を、 ホ ス ト に照 ら し て危険度別 ( 高、 中、 低 ) に ソ ー ト し ます。 こ の レ ポー ト で
は、 各ホ ス ト の IP ア ド レ ス、 DNS 名、 ま たは NetBIOS ア ド レ ス情報が表示 さ
れ、 脆弱点の合計数 と 危険度レベルの全体か ら 見た割合が含まれてい ます。
Vulnerability by Host
レ ポー ト の例
図 17 は、 Vulnerability by Host レ ポー ト の一部です。 こ の レ ポー ト 例は、 [Sensor
Analysis] タ ブの [Load analysis view] フ ィ ール ド で [Vuln Analysis - Host] を選択 し
た状態で作成 さ れた も のです。
図 17: Vulnerability by Host レポー ト ( 一部 )
参照 : こ の レ ポー ト の作成については、 「Sensor Analysis タ ブでの レ ポー ト 作成」
(192 ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
139
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
ホス ト 別の脆弱点修正方法
は じ めに
Vulnerability Remedies by Host レ ポー ト を使用 し て、 脆弱点の修正方法を決定 し
ます。 こ の レ ポー ト では、 検出 さ れた脆弱点がホ ス ト 別に一覧表示 さ れ、 こ れ ら
の修正方法に関す る 対処法情報が紹介 さ れてい ます。
Vulnerability Remedies
by Host レポー ト の例
図 18 は、 Vulnerability Remedies by Host レ ポー ト の一部です。 こ の レ ポー ト 例
は、 [Reporting] タ ブで [Vulnerability Remedies by Host] レ ポー ト テ ンプ レー ト を
使用 し て作成 さ れた も のです。
図 18: Vulnerability Remedies by Host レポー ト ( 一部 )
参照 : こ の レ ポー ト の作成については、 「Reporting タ ブでの レ ポー ト 作成」
(195 ページ ) を参照 し て く だ さ い。
140
企業のセキ ュ リ テ ィ ス テー タ スの確認
企業のセキ ュ リ テ ィ ス テー タ スの確認
は じ めに
効果的なセキ ュ リ テ ィ を維持す る には、 組織全体にわた る 傾向を見極め、 実施 し
てい る セキ ュ リ テ ィ 手段の全体的な有効性を査定 し 、 セキ ュ リ テ ィ の現在お よ び
今後の状態を確認す る 必要があ り ます。 こ のセ ク シ ョ ンでは、 傾向の見極め方法
について説明 し ます。
定義 : 傾向分析
傾向分析では、 防御を適宜調整で き る よ う に、 長期に渡っ て意味のあ る ア ク テ ィ
ビ テ ィ のパ タ ーン を確認 し ます。 傾向分析に よ っ て、 次の作業を行 う こ と がで き
ます。
参照
●
ア ク テ ィ ビ テ ィ パ タ ーンの傾向 と 目的の特定
●
ア ク テ ィ ビ テ ィ パ タ ーンが損害を も た ら す可能性を持っ てい る か ど う かの
判断
●
今後の動作の予測
傾向分析に使用で き る レ ポー ト の例については、 次を参照 し て く だ さ い。
●
「セキ ュ リ テ ィ 状態の確認」 (168 ページ )
●
「今後のセキ ュ リ テ ィ 状態の確認」 (170 ページ )
●
「複数サ イ ト 間での傾向の分析」 (173 ページ )
SiteProtector Strategy Guide, Version 2.0 SP4
141
第 7 章 : ネ ッ ト ワー ク 脆弱点の特定 と 解消
142
パー ト II
®
防御の維持
第8章
脅威の特定と 対応
概要
は じ めに
こ の章では、 防御の維持におけ る ネ ッ ト ワ ー ク 脆弱点の特定 と 対応の役割につい
て説明 し ます。 ま た、 脅威に関す る 重要な情報を提供す る レ ポー ト の例 も い く つ
か紹介 し ます。
緊急対応プ ラ ンの重要性 ISS では、 緊急対応プ ラ ンの作成をお勧め し ます。 良い緊急対応プ ラ ンには、 内
部の緊急対応チーム も 含まれます。 プ ラ ンには、 コ ン ピ ュ ー タ セキ ュ リ テ ィ イ
ン シデン ト への対応に関す る 次の よ う な義務を明確に定義す る 必要があ り ます。
●
プ ラ ンの全体的な目標
●
緊急対応チームの次の よ う な責任範囲 :
●
■
組織構造
■
上層経営陣 と の関係
■
提供 さ れ る サービ ス
イ ン シデン ト が発生 し た場合の情報フ ロ ー
注意 : こ の章では、 緊急対応プ ラ ンの作成を包括的に説明 し ません。 緊急対応
プ ラ ン作成の詳細については、 イ ン タ ーネ ッ ト セキ ュ リ テ ィ シ ス テ ム ズのプ ロ
フ ェ ッ シ ョ ナル サービ ス部ま でお問い合わせ く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
145
第 8 章 : 脅威の特定 と 対応
脅威の特定 と 対応の図
図 19 を参考に し て、 脅威の特定 と 対応を行っ て く だ さ い。
Categorize as
incident
No
Collect evidence
Are you
blocking this
attack?
Yes
Yes
Respond to attack
based on severity
Are you
vulnerable?
Categorize as
incident
Yes
No
Identify possible
related attacks
Is the attack
significant?
Yes
Don't know
Yes
Gather information
about intrusion
events
Is the event(s)
an attack?
Categorize as
incident
No
No
Does event(s)
occur frequently?
No
Categorize as
exception
図 19: 脅威の特定 と 対応の図
こ の章の内容
146
こ の章では次のセ ク シ ョ ンについて説明 し ます。
セクシ ョ ン
ページ
脅威の特定
147
脅威の分類 と 対応
155
脅威に関する レポー ト
165
セ ク シ ョ ン A:
脅威の特定
概要
は じ めに
こ のセ ク シ ョ ンでは、 疑わ し いア ク テ ィ ビ テ ィ に関す る 情報収集の基準 と 、 こ れ
が脅威であ る か ど う かの判断基準について説明 し ます。
脅威の特定
脅威の特定 と は、 疑わ し いア ク テ ィ ビ テ ィ ま たは悪意のあ る ア ク テ ィ ビ テ ィ がな
いかネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を監視 し 、 複数のパ タ ーンについて ト ラ フ ィ ッ
ク の詳細を分析す る プ ロ セ ス です。 攻撃、 False Positive、 お よ び誤報を見分け る
には、 自分の環境で イ ベン ト が与え る 影響を理解す る 必要があ り ます。
攻撃ではない イ ベン ト
攻撃ではない イ ベン ト は、 次の と お り です。
False Positive - 疑わ し い も の と 誤っ て認識 さ れた イ ベン ト 。
誤報 - 疑わ し い も の と し て正 し く 認識 さ れたけれど も 、 脅威 と はみな さ れない イ
ベン ト 。 成功 し なかっ た攻撃、 監査 イ ベン ト な ど。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
イ ベン ト に関する情報の収集
148
疑わ し いア ク テ ィ ビ テ ィ の基準
150
攻撃パ タ ーン を使用 し た関連ア ク テ ィ ビ テ ィ の特定
152
フ ァ イ アウ ォ ール イ ベン ト を使用 し た関連ア ク テ ィ ビ テ ィ の特
定
154
SiteProtector Strategy Guide, Version 2.0 SP4
147
第 8 章 : 脅威の特定 と 対応
イ ベン ト に関する情報の収集
は じ めに
SiteProtector Console での イ ベン ト の量ま たは種類に異常なパ タ ーンが見 ら れ る 場
合は、 Site Manager の次の機能を使っ てア ク テ ィ ビ テ ィ に関す る 情報を さ ら に収
集す る 必要があ り ます。
●
ビ ュー
●
ガ イ ド 付 き 質問
●
日付の範囲
●
Active Directory 情報
●
攻撃パ タ ーン
参照 : アナ リ シ ス ビ ュ ー使用方法の詳細については、 次を参照 し て く だ さ い。
●
イ ベン ト の調査方法
SiteProtector ビ ュ ー
「Sensor Analysis タ ブでの レ ポー ト 作成」 (192 ページ )
Site Manager では、 単一 イ ベン ト ま たは イ ベン ト の集合について次の方法で調査
し ます。
●
SiteProtector のビ ュ ーを使用 し て、 調査の焦点を合わせ る
●
右 ク リ ッ ク メ ニ ュ ーに表示 さ れ る ガ イ ド 付き 質問を選択 し て、 イ ベン ト に
関す る 情報を見つけ る
●
エ ク ス プ ロ イ ト の種類や攻撃の意図を確認で き る 場合は、 オプシ ョ ンの
SecurityFusion Module に よ っ て提供 さ れ る パ タ ーン情報を使用す る
表 27 では、 イ ベン ト に関す る 情報の収集に使用す る SiteProtector の [Analysis] タ
ブを示 し てい ます。 [Event Analysis-Event Name] と [Event Analysis-Target] は、 調
査の開始ポ イ ン ト と な る 可能性が最 も 高いビ ュ ーです。
ビ ュー
説明
Event Analysis - Event
Name
ネ ッ ト ワー ク で検出 さ れた イ ベ ン ト の種類に関す
る高い レベルの情報が提供 さ れます。
Event Analysis - Target
攻撃の タ ーゲ ッ ト と な る可能性のあるホス ト を特
定するための、 格好な開始ポ イ ン ト が提供 さ れま
す。 このよ う なホス ト は、 攻撃の最終的な タ ー
ゲ ッ ト と な る場合、 またはな ら ない場合があ り ま
す。
表 27: SiteProtector ビ ュ ー
148
イ ベ ン ト に関する情報の収集
ビ ュー
説明
Event Analysis - Attacker
疑わ し い ト ラ フ ィ ッ クの発信元ホス ト を特定する
ための、 格好な開始ポ イ ン ト が提供 さ れます。 こ
のよ う なホス ト は、 侵入者が攻撃の起点 と し てい
るネ ッ ト ワー ク内外のホス ト である可能性があ り
ます。
Event Analysis ñ Target
Object
攻撃の影響を受け る可能性のあるポー ト や共有名、
レ ジ ス ト リ キー、 ユーザー、 フ ァ イルな ど、 タ ー
ゲ ッ ト ホス ト に関する詳細情報が提供 さ れます。
このビ ュ ーを使用 し て、 疑わ し いア ク テ ィ ビ テ ィ
の影響を受け る特定ホス ト についての詳細情報を
入手 し ます。
表 27: SiteProtector ビ ュ ー ( 続き )
Active Directory 情報
Active Directory 情報を使用 し て、 内部ホ ス ト に現在 ロ グオン し てい る ユーザーを
確認 し ます。 SiteProtector は、 ユーザーの氏名、 電話番号、 ド メ イ ン、 Active
Directory ユーザー オブジ ェ ク ト への完全修飾パ ス を取 り 出 し ます。 SiteProtector
は、 ホ ス ト が Active Directory か ら イ ン ポー ト さ れていない場合や別の Active
Directory フ ォ レ ス ト か ら イ ン ポー ト さ れてい る 場合で も 、 Active Directory か ら
ユーザー名を取 り 出す こ と がで き ます。
右ク リ ッ ク メ ニ ュ ーの
ガ イ ド 付き質問
分析用ウ ィ ン ド ウ 枠で イ ベン ト を右 ク リ ッ ク す る と 、 選択 し た イ ベン ト に関す る
ガ イ ド 付 き 質問がい く つか表示 さ れます。 追加の質問を選択す る こ と で、 イ ベン
ト に関す る 情報を さ ら に収集す る こ と がで き ます。 質問事項の例は次の と お り で
す。
●
What are the targets of this attack? ( こ の攻撃が狙 う のは何か )
●
What are the sources of this attack? ( こ の攻撃の発信元はどれか )
●
What are the target objects of this attack? ( こ の攻撃が狙 う オブジ ェ ク ト はどれか
)
SiteProtector Strategy Guide, Version 2.0 SP4
149
第 8 章 : 脅威の特定 と 対応
疑わ し いア ク テ ィ ビ テ ィ の基準
は じ めに
次の内容を判断す る こ と で、 疑わ し いア ク テ ィ ビ テ ィ を評価 し ます。
●
イ ベン ト が攻撃であ る か ど う か
●
攻撃の重要性
●
攻撃が脅威であ る か ど う か
イ ベン ト が攻撃であるか 攻撃ではない イ ベン ト は、 無視す る か、 ま たは例外 と し て分類す る 必要があ り ま
す。 イ ベン ト が攻撃であ る か ど う か判断す る 場合は、 次の点を確認 し ます。
ど う かの判断
許可済みの脆弱点スキ ャ ン - こ の よ う な ス キ ャ ンでは、 短期間に疑わ し い ト ラ
フ ィ ッ ク が大量に生成 さ れ る こ と があ り ます。 こ の ト ラ フ ィ ッ ク は通常、 疑わ し
い も の と し て正 し く 識別 さ れますが、 攻撃ではあ り ません。 ただ し 、 内部での ス
キ ャ ン と 攻撃者が開始 し た ス キ ャ ン を区別す る のは困難です。 ス キ ャ ンが
Internet Scanner イ ン ス タ ン ス に よ っ て実行 さ れてい る 場合は、 こ れ ら の イ ベン ト
を Site Manager Console か ら フ ィ ル タ リ ン グす る こ と を検討 し て く だ さ い。
Internet Scanner Scan の攻撃パ タ ーン - 次の内容を無視す る よ う に、 Internet
Scanner Scan の攻撃パ タ ーン を設定す る こ と がで き ます。
●
許可 さ れた IP ア ド レ ス ま たは SiteProtector に登録 さ れた Internet Scanner アプ
リ ケーシ ョ ンか ら 開始 さ れた ス キ ャ ン を無視す る
●
Internet Scanner に よ っ て開始 さ れ る ス キ ャ ンの対象 と な っ てい る 、 個別の (
ま たは一群の ) IP ア ド レ ス、 DNS 名、 ま たは コ ン ピ ュ ー タ 名を無視す る
False Positive - 通常のア ク テ ィ ビ テ ィ を センサーが攻撃 と し て誤っ て解釈 し た
場合に発生 し ます。 た と えば、 見慣れない文字を含む Web ア ド レ ス を セ ンサー
が HTTP-Shells 攻撃 と し て解釈 し た場合は、 False Positive と 考え る こ と がで き ま
す。
150
疑わ し い ア ク テ ィ ビ テ ィ の基準
攻撃の重要性の判断
攻撃を調査す る こ と を決め る 前に、 その重要性を検討 し ます。 攻撃準備調査 よ り
も 、 ユーザー、 ネ ッ ト ワ ー ク 、 シグ ネチ ャ 、 ま たはその他 リ ソ ースへのサービ ス
を拒否す る よ う な攻撃の方が重要です。 重要ではない攻撃は、 例外 と し て分類す
る こ と を検討 し て く だ さ い。 頻繁に発生す る よ う であれば、 イ ン シデン ト と し て
の分類を検討 し ます。
次の手順に従っ て、 攻撃が重要であ る か ど う か決定 し ます。
攻撃が脅威であるかど う
かの判断
●
攻撃のア ク テ ィ ビ テ ィ を、 「 イ ン シデン ト の危険度の判断」 (157 ページ ) で
説明 さ れてい る イ ン シデン ト の危険度カ テ ゴ リ の特徴 と 比較す る
●
Site Manager Console に表示 さ れてい る イ ベン ト の危険度 ( 高、 中、 低 ) を考
慮す る
攻撃が脅威であ る か ど う か判断す る 場合は、 次の点を考慮 し ます。
攻撃の自動ブ ロ ッ ク - フ ァ イ ア ウ ォールま たはセ ンサーで攻撃のブ ロ ッ ク を行っ
てい る 場合は、 ネ ッ ト ワ ー ク に対す る 脅威ではあ り ません。 攻撃がブ ロ ッ ク さ れ
てい る こ と がわかっ ていれば、 イ ン シデン ト と し ての分類を検討 し て く だ さ い。
場合に よ っ ては、 SiteProtector のオプシ ョ ンであ る SecurityFusion Module が、 特
定の イ ベン ト がセ ンサーに よ っ てブ ロ ッ ク さ れてい る こ と を確認 し ます。
攻撃の タ ーゲ ッ ト が脆弱ではない - タ ーゲ ッ ト ホ ス ト が脆弱ではない場合、 攻
撃は脅威ではない可能性があ り ます。 こ の よ う な攻撃を イ ン シデン ト と し て分類
し てお き 、 関連が予想 さ れ る ア ク テ ィ ビ テ ィ の識別を試みて く だ さ い。 ホ ス ト が
脆弱であ る か ど う かを判断す る 方法には、 次の 2 つがあ り ます。
●
Site Manager Console でオプシ ョ ンの SecurityFusion Module を使用 し 、 ネ ッ ト
ワ ー ク の脆弱ではない部分に対す る すべての攻撃を フ ィ ル タ リ ン グす る
●
Internet Scanner イ ン ス タ ン ス ま たは System Scanner イ ン ス タ ン ス に よ っ て提
供 さ れた、 攻撃の タ ーゲ ッ ト と な っ た特定のホ ス ト に関す る 現在の脆弱点
デー タ を見直す
注意 : 最新ではない脆弱点デー タ は、 不正確な場合があ り 、 ネ ッ ト ワ ー ク に関
し て誤っ たセキ ュ リ テ ィ 感覚を持たせ る 可能性があ り ます。
ホス ト のオペレーテ ィ ング シス テムが影響を受けに く い - こ の攻撃の影響を受
けに く いオペレーテ ィ ン グ シ ス テ ムがホ ス ト で動作 し てい る 場合です。 UNIX ホ
ス ト のセキ ュ リ テ ィ のみを侵害可能なエ ク ス プ ロ イ ト に よ っ て攻撃を受けてい る
Windows ホ ス ト は、 影響を受けに く いオペレーテ ィ ン グ シ ス テ ムの一例です。
SiteProtector Strategy Guide, Version 2.0 SP4
151
第 8 章 : 脅威の特定 と 対応
攻撃パ タ ーン を使用 し た関連ア ク テ ィ ビ テ ィ の特定
は じ めに
関連す る 攻撃ア ク テ ィ ビ テ ィ を確認す る には、 オプシ ョ ンの SecurityFusion
Module の攻撃パ タ ーン を使用 し ます。
攻撃パ タ ーン
SecurityFusion Module は、 深刻なセキ ュ リ テ ィ イ ン シデン ト お よ び攻撃の前兆を
示すア ク テ ィ ビ テ ィ のパ タ ーン を認識 し ます。 こ れ ら のパ タ ーンは 1 つの イ ン シ
デン ト に ま と め ら れ る ので、 イ ベン ト デー タ がい っ そ う 管理 し やす く な り ます。
こ の ト ピ ッ ク に含まれる
カ テゴ リ
こ の ト ピ ッ ク では、 攻撃パ タ ーン を次のカ テ ゴ リ に分けてい ます。 攻撃者は多 く
の場合、 攻撃シナ リ オ手順の全体にわた り 、 1 つ以上のカ テ ゴ リ に分類 さ れ る い
く つかのエ ク ス プ ロ イ ト を展開 し ます。
●
情報収集
●
侵入の試み
●
サービ ス不能攻撃
●
回避
重要 : こ の ト ピ ッ ク で紹介 さ れ る 攻撃パ タ ーンの一覧は、 すべて を網羅 し た も
のではあ り ません。 完全な一覧については、 SecurityFusion Module のヘルプを参
照 し て く だ さ い。
情報収集
攻撃者は、 攻撃の前に、 多様な方法を使用 し て情報を集め ます。 Whois 照会や対
象シ ス テ ムでの逆参照な ど、 無害な方法 も あ り ますが、 ホ ス ト やオペレーテ ィ ン
グ シ ス テ ム、 ネ ッ ト ワ ー ク ト ポ ロ ジ、 ア ク セ ス ポ イ ン ト に関す る 詳細情報を求
めてネ ッ ト ワ ー ク リ ソ ース を積極的に調査する な ど、 その他の方法は よ り 侵入
的です。
次の攻撃パ タ ーンは、 情報収集 と 関連 し てい ます。
ネ ッ ト ワー ク 調査 - こ れ ら のパ タ ーンは、 事前情報を求めて ホ ス ト を調査 し てい
る 攻撃者を特定 し ます。 攻撃者は、 よ り 対象を絞っ た予備調査ま たは侵入を行 う
ために、 こ の種の調査を攻撃の初期に行っ て情報を入手 し ます。 た と えば、 攻撃
対象 と な り 得 る 対象を特定す る ために、 攻撃者は し ば し ば情報収集ツール (ping
や Nmap な ど ) を使用 し てサブネ ッ ト 全体を捜索 し 、 ア ク テ ィ ブなホ ス ト を確認
し ます。
標的を絞っ た調査 - こ れ ら のパ タ ーンは、 ホ ス ト 上で動作 し てい る 特定のサービ
ス、 プ ロ ト コ ル、 ま たはアプ リ ケーシ ョ ンに関す る 情報を調査 し てい る 攻撃者を
特定 し ます。 目的は、 攻撃者が悪用に成功す る 可能性の高い一握 り の脆弱点に調
査を絞 り 込む こ と です。 た と えば、 攻撃者は し ば し ば、 サーバー上にあ る 有益な
ホ ス ト 情報にア ク セ ス で き る よ う に、 さ ら に悪い場合には信頼 さ れていないホ ス
152
攻撃パ タ ーン を使用 し た関連ア ク テ ィ ビ テ ィ の特定
ト へ信頼 さ れた通信を リ ダ イ レ ク ト す る ために、 フ ァ イ ア ウ ォールのポー ト 53
(UDP) を ス キ ャ ン し て DNS サーバーが ど こ で待機 し てい る のか特定 し ます。
侵入の試み
侵入 と は、 バ ッ フ ァ オーバーフ ロ ー、 ブルー ト フ ォース な ど の技術を使用 し て
不正ア ク セ ス し よ う と す る 試みです。 攻撃者は し ば し ば、 侵入の試みを別の種類
のエ ク ス プ ロ イ ト ( サービ ス不能攻撃、 回避攻撃な ど ) と 併用 し ます。
ログオ ンの試み - こ れ ら のパ タ ーンは、 一般的に短期間にホ ス ト への ロ グオン を
繰 り 返す攻撃者を特定 し ます。 ア ク セ ス のポ イ ン ト が数多 く 存在す る ため、 攻撃
者はデー タ ベース プ ロ グ ラ ム、 電子 メ ール プ ロ グ ラ ム、 イ ン ス タ ン ト メ ッ セー
ジ ン グ プ ロ グ ラ ム な ど一連のサービ ス、 アプ リ ケーシ ョ ン、 お よ びオペレー
テ ィ ン グ シ ス テ ムに ロ グオン を試みます。
標的を絞っ た侵入の試み - こ れ ら のパ タ ーンは、 ホ ス ト を制御で き る よ う に 1 つ
の発信元ア ド レ ス か ら 攻撃を組み合わせて仕掛け る 攻撃者を特定 し ます。 多 く の
場合、 こ れ ら のパ タ ーンには、 次の も のを伴 う 不正な ロ グ イ ンが含まれます。
サービ ス不能攻撃
ス 不能攻撃
●
シ ス テ ムが タ ーゲ ッ ト ホ ス ト で実行で き る よ う にする 、 悪意のあ る コ ー ド
の不正な実行
●
回避攻撃ま たはサービ ス不能攻撃
サービ ス不能攻撃 (DoS) は、 シ ス テ ム ま たはアプ リ ケーシ ョ ンが正 し く 機能す る
のを妨げます。 こ の よ う な攻撃の目的は、 多 く の場合次の と お り です。
●
破壊行為を行 う
●
ホ ス ト 間の通信を無効にす る
た と えば、 分散型サービ ス不能攻撃 (DDoS) では、 セキ ュ リ テ ィ が侵害 さ れたい
く つかのホ ス ト か ら タ ーゲ ッ ト ホ ス ト に向けて一連の攻撃が仕掛け ら れます。
こ れ ら の要求は日常的な ト ラ フ ィ ッ ク の よ う に見え る ため、 タ ーゲ ッ ト ホ ス ト
は通常、 こ れ ら を受け付け ます。 大量の要求に よ っ て、 ホ ス ト の CPU リ ソ ース
がすぐ に 100% 消費 さ れます。
回避
回避は、 攻撃者が信頼 さ れた ホ ス ト ま たはサービ ス に偽装 し よ う と す る 場合、 ま
たはネ ッ ト ワ ー ク 監視ツールが見破れない よ う なや り 方で攻撃を断片化 し て隠そ
う と す る 場合に発生 し ます。 TCP 重複攻撃は、 回避の よ い例です。 こ のエ ク ス
プ ロ イ ト では重複 し たデー タ を使っ て接続を構築す る ので、 ネ ッ ト ワ ー ク 監視
ツールは接続の意図を誤っ て解釈 し 、 ト ラ フ ィ ッ ク を誤っ て受け付け ます。
ICMP 重複攻撃は こ れ と 似てい ますが、 ICMP ト ラ フ ィ ッ ク はネ ッ ト ワ ー ク の ト
ラ ブルシ ュ ーテ ィ ン グで必要 と さ れ る こ と が多いため、 ネ ッ ト ワ ー ク 監視ツール
に よ っ て フ ィ ル タ リ ン グ さ れ る 可能性は高 く あ り ません。
SiteProtector Strategy Guide, Version 2.0 SP4
153
第 8 章 : 脅威の特定 と 対応
フ ァ イ アウ ォ ール イ ベン ト を使用 し た関連ア ク テ ィ ビ テ ィ
の特定
は じ めに
SiteProtector の Third Party Module が フ ァ イ ア ウ ォールか ら 収集 し た イ ベン ト を使
用 し て、 攻撃者がネ ッ ト ワ ー ク を調査 し ていないか、 ま たは不正なア ク テ ィ ビ
テ ィ が フ ァ イ ア ウ ォールで発生 し ていないかを判断 し ます。 こ の ト ピ ッ ク では、
攻撃者が フ ァ イ ア ウ ォールへのア ク セ ス を試みてい る こ と 、 ま たはア ク セ ス に成
功 し た こ と を示すフ ァ イ ア ウ ォール イ ベン ト について説明 し ます。
フ ァ イ アウ ォ ール ポ リ
シーまたはオブ ジ ェ ク ト
の変更
攻撃者は、 信頼 さ れた グループ ま たはサービ ス にア ク セ ス で き る よ う に、 フ ァ イ
ア ウ ォール ポ リ シーの変更を試みます。 た と えば、 攻撃者が Web サーバー グ
ループへの ロ グ イ ン ア カ ウ ン ト 追加に成功する と 、 攻撃者は こ れ ら の信頼 さ れ
たサーバーを使用 し て、 内部ネ ッ ト ワ ー ク への攻撃を開始す る こ と がで き ます。
シ ス テ ム管理者が フ ァ イ ア ウ ォールを再設定す る と き にポ リ シーま たはオブジ ェ
ク ト を不注意で変更 し て し ま い、 攻撃者に攻撃の機会を与え て し ま う 可能性があ
り ます。
フ ァ イ アウ ォ ールに対す
る ログ イ ンの失敗
同 じ 発信元か ら フ ァ イ ア ウ ォールま たはホ ス ト に対 し て複数回の不正な ロ グ イ ン
があ る 場合は、 攻撃者がネ ッ ト ワ ー ク へのア ク セ ス を試みてい る こ と を示す可能
性があ り ます。
Ping ス イープ と ポー ト
スキ ャ ン
攻撃者は さ ま ざ ま な ツールを使用 し て、 ネ ッ ト ワ ー ク 上のア ク テ ィ ブなホ ス ト や
待機中のサービ ス を特定 し ます。 攻撃者は こ の情報を使用 し て、 脆弱点を持つ、
ま たは設定に誤 り のあ る シ ス テ ムお よ びアプ リ ケーシ ョ ン を特定す る こ と がで き
ます。 フ ァ イ ア ウ ォール IDS イ ベン ト は、 攻撃に先だっ て行われ る こ と の多い
予備調査に関す る 情報を提供 し ます。
154
概要
セ ク シ ョ ン B:
脅威の分類 と 対応
概要
は じ めに
こ のセ ク シ ョ ンでは、 疑わ し いア ク テ ィ ビ テ ィ の評価 と 対応方法の決定のガ イ ド
ラ イ ンについて説明 し ます。 ま た、 脅威の特定に役立つレ ポー ト の例 も 紹介 し て
います。
対応のプ ロ セス
脅威への対応のプ ロ セ ス には、 センサー と エージ ェ ン ト の レ ス ポ ン ス を設定す る
こ と か ら 攻撃者に対す る 法的措置ま で、 あ ら ゆ る も のが含まれます。
こ のセ ク シ ョ ンの内容
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
疑わ し いア ク テ ィ ビ テ ィ の評価
156
イ ン シデン ト の危険度の判断
157
攻撃への対応
159
証拠の収集
162
SiteProtector Strategy Guide, Version 2.0 SP4
155
第 8 章 : 脅威の特定 と 対応
疑わ し いア ク テ ィ ビ テ ィ の評価
は じ めに
こ の ト ピ ッ ク では、 疑わ し いア ク テ ィ ビ テ ィ の評価方法 と ア ク テ ィ ビ テ ィ の適切
な分類方法について説明 し ます。
定義 : イ ン シデン ト
イ ン シデン ト と は、 重要な イ ベン ト です。 攻撃を脅威であ る と 判断 し た場合は、
イ ン シデン ト と し て分類 し ます。
定義 : 例外
例外 と は、 次のいずれかであ る と 判断 し た イ ベン ト です。
イ ン シデン ト と 例外のガ
イ ド ライン
●
重大な脅威ではない
●
すぐ には対処で き ない
表 28 を使用 し て、 イ ベン ト が イ ン シデン ト か例外か を判断 し て く だ さ い。
侵入
動作
同 じ 発信元 と タ ーゲ ッ ト IP で継続 し てい
る False Positive または誤報
イ ン シデン ト と し て分類する
1 度だけ発生 し た False Positive または誤
報
例外 と し て分類する
判断で き ない イ ベン ト
確認する まで、 イ ベン ト を イ ン シ
デン ト と し て分類する
表 28: イ ン シデン ト と 例外のガ イ ド ラ イ ン
156
イ ン シデン ト の危険度の判断
は じ めに
攻撃を脅威であ る と 判断 し た ら 、 イ ン シデン ト の範囲 と 影響に基づいて危険度レ
ベルを判断 し ます。
参照 : イ ベン ト に優先度を付け る レ ポー ト の例については、 「攻撃 イ ン シデン ト
の優先度の設定」 (167 ページ ) を参照 し て く だ さ い。
対象範囲
イ ン シデン ト の範囲 と は、 イ ン シデン ト の影響を受け る シ ス テ ム ま たはアプ リ
ケーシ ョ ンの数、 ま たは攻撃者に よ っ てシ ス テ ムやアプ リ ケーシ ョ ンへのア ク セ
ス が試み ら れた回数を指 し ます。
影響
イ ン シデン ト の影響 と は、 イ ン シデン ト に よ っ て発生す る 実質的な損害の程度、
ま たは潜在的な損害の程度です。
イ ン シデン ト の危険度の 表 29 のガ イ ド ラ イ ン を使用 し て、 危険度を基に イ ン シデン ト を分類 し ます。
判断方法
危険度レベル
特徴
1
•
内部シ ス テムで検出 さ れた、 回数の少ないシス テム調査、
スキ ャ ン、 および類似のア ク テ ィ ビ テ ィ
•
配置 さ れている ア ン チウ ィ ルス ソ フ ト ウ ェ ア で簡単に対
処で き る、 既知のコ ン ピ ュ ー タ ウ ィ ルス またはワームの
単一発生事例
•
内部シ ス テムで検出 さ れた、 回数の少ないシス テム調査、
スキ ャ ン、 および類似のア ク テ ィ ビ テ ィ
•
組織が脆弱性を持つ可能性のある脅威に関 し て受け取っ
た情報
•
全般的な攻撃危険度の増加
•
集中 し て行われた予備調査のパ タ ーン を示す、 顕著な レ
ベルのネ ッ ト ワー ク 調査、 スキ ャ ン、 および類似のア ク
テ ィ ビテ ィ
•
組織には影響を与えずに試みら れた侵入またはサービ ス
不能攻撃
•
配置 さ れている ア ン チウ ィ ルス ソ フ ト ウ ェ ア で簡単に対
処で き る、 既知のコ ン ピ ュ ー タ ウ ィ ルス またはワームの
広範囲に及ぶ発生事例
•
配置 さ れている ア ン チウ ィ ルス ソ フ ト ウ ェ ア では対処で
き ない、 新 し い コ ン ピ ュ ー タ ウ ィ ルス またはワームの単
一発生事例
•
限ら れた数のア セ ッ ト に対する攻撃の危険度の増加
2
3
表 29: イ ン シデン ト の危険度の判断方法
SiteProtector Strategy Guide, Version 2.0 SP4
157
第 8 章 : 脅威の特定 と 対応
危険度レベル
特徴
4
•
組織への影響は限ら れている、 単発または複数の侵入あ
るいはサービ ス不能攻撃
•
最低限の成功であ り 、 制御または対抗が容易
• セキ ュ リ テ ィ を侵 さ れたシス テムの数が少ない
5
•
機密デー タ の損害が少ない、 または損害がない
•
重要なシ
ス テムまたはア プ リ ケーシ ョ ンの損害がな
重要
い
•
配置 さ れている ア ン チウ ィ ルス ソ フ ト ウ ェ ア では対処で
き ない、 既知のコ ン ピ ュ ー タ ウ ィ ルス またはワームの広
範囲に及ぶ発生事例
•
経理または広報活動に与え る悪影響の危険性が小 さ い
•
確認 さ れたけれど も 特定ア セ ッ ト に限定 さ れない攻撃
•
組織に大き な影響を与え る、 単発または複数の成功 し た
侵入あるいはサービ ス不能攻撃
•
非常に功を奏 し 、 制御または対抗が困難
•
セキ ュ リ テ ィ を侵 さ れたシス テムの数が多い
•
機密デー タ の損害が大き い
•
重要なシ
ス テムまたはア プ リ ケーシ ョ ンの損害
重要
•
経理または広報活動に与え る悪影響の危険性が大き い
•
イ ン ス ト ール さ れたア ン チウ ィ ルス ソ フ ト ウ ェ ア では対
処で き ない、 ウ ィ ルス またはワームの発生によ る シス テ
ムの低下または損害
•
確認 さ れた広範囲に及ぶ攻撃
表 29: イ ン シデン ト の危険度の判断方法 ( 続き )
次の手順
158
攻撃への対応方法を決定 し ます。
攻撃への対応
攻撃への対応
は じ めに
攻撃の危険度レベルを判断 し た ら 、 専門家への警告、 攻撃の阻止、 ま たは法的措
置の準備に よ っ て、 攻撃に対応す る こ と がで き ます。
定義 : 手動によ る ブ ロ ッ
ク
手動に よ る ブ ロ ッ ク では、 攻撃が発生 し てい る 最中に、 攻撃者の通信を阻害す る
こ と で攻撃を封 じ 込め ます。 手動ブ ロ ッ ク の例は、 次の と お り です。
対応の種類
●
ブ ロ ッ ク コ マ ン ド の実行
●
ネ ッ ト ワ ー ク レベル と ホ ス ト レベルの両方で攻撃者の通信をブ ロ ッ ク す る
よ う に フ ァ イ ア ウ ォール ルールを変更
攻撃への対応には、 次の種類があ り ます。
監視 - イ ン シデン ト のア ク テ ィ ビ テ ィ を追跡す る プ ロ セ ス。
通信 - 個人ま たはシ ス テ ムへ、 イ ン シデン ト について手動ま たは自動的に警告す
る プ ロ セ ス。 こ の通信は、 Network Sensor や Server Sensor のポ リ シーで レ ス ポ ン
ス を定義す る こ と で自動化す る こ と がで き ます。
封 じ 込め - 影響を受け る アプ リ ケーシ ョ ン ま たはシ ス テ ムに対 し て イ ン シデン ト
が こ れ以上損害を起 こ さ ない よ う に阻止す る プ ロ セ ス、 ま たはネ ッ ト ワ ー ク 内の
その他のアプ リ ケーシ ョ ン ま たはシ ス テ ムに イ ン シデン ト が広が ら ない よ う に阻
止す る プ ロ セ ス。 攻撃者の通信が進行 し てい る 最中に手動で通信を ブ ロ ッ ク す る
こ と で、 イ ン シデン ト を阻止 し ます。 ただ し 、 次の作業に よ っ て攻撃を封 じ 込め
る こ と も で き ます。
●
影響を受け る ホ ス ト の脆弱点を修正す る
●
攻撃者に よ っ て作成 さ れた不正なユーザー ア カ ウ ン ト を削除する
●
影響を受け る ホ ス ト を シ ャ ッ ト ダ ウ ンす る
●
影響を受け る ホ ス ト にホ ス ト 防御手段 (Server Sensor や Desktop Protector エー
ジ ェ ン ト な ど ) を導入す る
法的 - 証拠集めのプ ロ セ ス、 場合に よ っ ては法的措置の準備のプ ロ セ ス。 こ の対
応は、 イ ン シデン ト の危険度に よ っ て さ ま ざ ま です。
参照 : RealSecure センサーでの レ ス ポ ン ス使用の詳細については、 「RealSecure
Network Sensor Policy Guide 」 お よ び 「RealSecure Server Sensor Policy Guide」 を参
照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
159
第 8 章 : 脅威の特定 と 対応
適切な対応の判断
前述の ト ピ ッ ク で説明 さ れてい る イ ン シデン ト 危険度のガ イ ド ラ イ ン を使用 し
て、 攻撃に対す る 適切な対応を決定 し ます。
イ ン シデン ト の危
険度レベル
検討内容
1
•
イ ン シデン ト ア ク テ ィ ビ テ ィ の記録
•
攻撃者に さ ら さ れている脆弱な シス テムの修正
•
イ ン シデン ト の追跡
•
パ ッ チ、 ウ ィ ルス ソ フ ト ウ ェ ア、 フ ァ イ アウ ォ ール
ルールのア ッ プデー ト
2
3
4
•
イ ン シデン ト ア ク テ ィ ビ テ ィ の記録
•
攻撃者に さ ら さ れている脆弱な シス テムの修正
•
イ ン シデン ト の追跡
•
攻撃者の通信のブ ロ ッ ク
•
パ ッ チ、 ウ ィ ルス ソ フ ト ウ ェ ア、 フ ァ イ アウ ォ ール
ルールのア ッ プデー ト
•
イ ン シデン ト ア ク テ ィ ビ テ ィ の記録
•
攻撃者に さ ら さ れている脆弱な シス テムの修正
•
イ ン シデン ト の追跡
•
パ ッ チ、 ウ ィ ルス ソ フ ト ウ ェ ア、 フ ァ イ アウ ォ ール
ルールのア ッ プデー ト
•
攻撃者の通信のブ ロ ッ ク
•
イ ン シデン ト 対応チームの始動 ( 可能な場合 )
•
イ ン シデン ト ア ク テ ィ ビ テ ィ の記録
•
攻撃者に さ ら さ れている脆弱な シス テムの修正
•
イ ン シデン ト の追跡
•
攻撃者の通信のブ ロ ッ ク
•
セキ ュ リ テ ィ を侵 さ れたシス テムへのア ク セスすべ
ての禁止
•
証拠収集 と 法的措置の準備
•
イ ン シデン ト 対応チームの始動
表 30: 適切な対応の判断
160
攻撃への対応
イ ン シデン ト の危
険度レベル
検討内容
5
•
イ ン シデン ト ア ク テ ィ ビ テ ィ の記録
•
攻撃者に さ ら さ れている脆弱な シス テムの修正
•
イ ン シデン ト の追跡
•
攻撃者の通信のブ ロ ッ ク
•
セキ ュ リ テ ィ を侵 さ れたシス テムへのア ク セスすべ
ての禁止
•
証拠収集 と 法的措置の準備
•
イ ン シデン ト 対応チームの始動
•
影響を受ける シス テムすべての、 修正 さ れる までの
シ ャ ッ ト ダウン
表 30: 適切な対応の判断
次の手順
さ ら に証拠を集め る 必要があ る と 判断 し た場合は、 次の ト ピ ッ ク 「証拠の収集」
(162 ページ ) に進みます。
SiteProtector Strategy Guide, Version 2.0 SP4
161
第 8 章 : 脅威の特定 と 対応
証拠の収集
は じ めに
こ の ト ピ ッ ク では、 証拠の種類 と 証拠収集のため従業員に必要 と さ れ る 条件な
ど、 証拠収集の一般的なガ イ ド ラ イ ンについて説明 し ます。
重要 : 証拠を適切に扱わない と 、 法的手続 き で証拠が不適当 と 見な さ れ る 可能
性があ り ます。 知識の豊富な コ ン ピ ュ ー タ 犯罪捜査の専門家は、 証拠を確実に正
し く 扱 う こ と がで き ます。
証拠の種類
脅威の具体的な性質に応 じ て、 複数の種類の証拠を集め る こ と がで き ます。 証拠
には、 次の種類があ り ます。
ネ ッ ト ワー ク 侵入 - シ ス テ ム ロ グ、 ユーザー ロ グ、 プ ロ キ シ ロ グ、 ルー タ ーお
よ びフ ァ イ ア ウ ォールの ロ グ、 犯罪捜査用の画像。
電子 メ ールの脅威 - メ ール サーバーやルー タ ー、 フ ァ イ ア ウ ォールの ロ グ。 個
別の PC、 ネ ッ ト ワ ー ク に接続 し てい る ラ ッ プ ト ッ プ、 犯罪捜査用の画像。
内部従業員のア ク テ ィ ビ テ ィ - シ ス テ ム ロ グ、 メ ール サーバー ロ グ、 ユーザー
ロ グ、 プ ロ キ シ ロ グ、 物理的なセキ ュ リ テ ィ ロ グ、 フ ァ イ ア ウ ォール ロ グ、 個
別の ワ ー ク ス テーシ ョ ン。
重要 : 攻撃の範囲や危険度は後にな る ま でわか ら ない こ と があ る ので、 ISS で
は、 脅威の深刻 さ に関係な く で き る だけ多 く 証拠を集め る こ と をお勧め し ます。
セ ンサーおよびエージ ェ
ン ト のログの分析
Server Sensor お よ び Desktop Protector エージ ェ ン ト の ロ グか ら は、 有効な証拠を
得 る こ と がで き ます。 ロ グには、 センサーま たはエージ ェ ン ト で有効にな っ てい
る ロ グの種類に応 じ て、 攻撃に関す る 一般的な情報か ら 非常に詳 し い情報にいた
る ま で記載 さ れてい ます。
参照 : Server Sensor の ロ グに関す る 詳細については、 本書の第 3 章 「Server
Sensor と Desktop Protector の監査機能」 を参照 し て く だ さ い。
162
証拠の収集
証拠収集の必要条件
従業員は、 次の分野で十分な ト レーニ ン グ と 経験を積んでい る 必要があ り ます。
●
証拠のルール
●
証拠の完全性 と 連続性
●
法的手続 き
●
適切な書類作成
SiteProtector Strategy Guide, Version 2.0 SP4
163
第 8 章 : 脅威の特定 と 対応
164
概要
セ ク シ ョ ン C:
脅威に関する レポー ト
概要
は じ めに
こ のセ ク シ ョ ンでは、 脅威の特定に使用で き る レ ポー ト に関す る 情報を紹介 し ま
す。
参照
こ の章で説明す る レ ポー ト の詳細については、 次を参照 し て く だ さ い。
こ のセ ク シ ョ ンの内容
●
付録 A 「SiteProtector レ ポー ト 」 (187 ページ )
●
SiteProtector のヘルプ
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
発生 し う る攻撃の優先度設定
166
攻撃イ ン シデン ト の優先度の設定
167
セキ ュ リ テ ィ 状態の確認
168
今後のセキ ュ リ テ ィ 状態の確認
170
複数サイ ト 間での傾向の分析
173
SiteProtector Strategy Guide, Version 2.0 SP4
165
第 8 章 : 脅威の特定 と 対応
発生 し う る攻撃の優先度設定
は じ めに
発生す る 可能性のあ る 攻撃に優先度を付け、 セキ ュ リ テ ィ に対 し て どれが最大の
脅威であ る か決定す る こ と がで き ます。 Attack Trend レ ポー ト では、 脅威が危険
度順 ( 高、 中、 低 ) に一覧表示 さ れてお り 、 脅威が発生 し た時間的範囲 と 攻撃の
合計数 も 表示 さ れてい ます。
Attack Trend by Month
レ ポー ト の例
図 20 は、 Attack Trend by Month レ ポー ト の一部です。 こ の こ の レ ポー ト 例は、
[Reporting] タ ブで [Attack Trend] レ ポー ト テ ンプ レー ト を使用 し 、 [Filter Settings]
の [Month] オプシ ョ ン を選択 し た状態で作成 さ れた も のです。
図 20: Attack Trend by Month レ ポー ト ( 一部 )
参照 : こ の レ ポー ト の作成については、 「Reporting タ ブでの レ ポー ト 作成」
(195 ページ ) を参照 し て く だ さ い。
166
攻撃イ ン シデン ト の優先度の設定
は じ めに
攻撃 イ ン シデン ト に優先度を付け る には、 適切な時期に特定ポ イ ン ト で最 も 重要
であ る 攻撃 イ ン シデン ト を正確に イ メ ージす る 必要があ り ます。 Attack Incidents
レ ポー ト では、 最 も 重要な攻撃 イ ン シデン ト の スナ ッ プシ ョ ッ ト が表示 さ れま
す。 選択す る 内容に よ っ て、 レ ポー ト を危険度レベル ( 高、 中、 低 ) で ソ ー ト し
た り 、 発信元総数 と タ ーゲ ッ ト 総数の情報、 イ ン シデン ト の説明、 イ ン シデン ト
が発生 し た日時を レ ポー ト に含めた り す る こ と がで き ます。
参照 : 脅威の特定の詳細については、 「脅威の特定」 (147 ページ ) を参照 し て く
だ さ い。
Attack Incidents レ ポー
ト の例
図 21 は、 Attack Incidents レ ポー ト の一部です。 こ の レ ポー ト 例は、 [Reporting]
タ ブで [Attack Incidents] レ ポー ト テ ンプ レー ト を使用 し て作成 さ れた も のです。
図 21: Attack Incidents レ ポー ト ( 一部 )
参照 : こ の レ ポー ト の作成については、 「Reporting タ ブでの レ ポー ト 作成」
(195 ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
167
第 8 章 : 脅威の特定 と 対応
セキ ュ リ テ ィ 状態の確認
は じ めに
効果的なセキ ュ リ テ ィ を維持す る には、 その時々のセキ ュ リ テ ィ 状態を判断可能
であ る 必要があ り ます。 SiteProtector の Current State Comparison レ ポー ト を使用
し て、 組織が ど の よ う に脆弱なのか、 そ う し た脆弱点を攻撃者が ど の程度悪用 し
てい る のかを確認 し ます。 こ の ト ピ ッ ク には、 Current State Comparison レ ポー ト
の例が記載 さ れてい ます。
含めるべき イ ベン ト
デー タ
ISS では、 次のそれぞれについて レ ポー ト を個別に生成す る こ と を推奨 し てい ま
す。
●
脆弱点
●
攻撃
●
攻撃を受けた脆弱点
注記 : 攻撃を受けた脆弱点は、 オプシ ョ ンの SecurityFusion Module が イ ン ス ト ー
ル さ れてい る 場合にのみ表示 さ れます。
Current State
Comparison レポー ト
の例 - 脆弱点のみ
図 22 は、 Current State Comparison レ ポー ト の一部です。 こ の レ ポー ト 例は、
Enterprise Dashboard の [Current State Comparison] タ ブで [Vulnerabilities] のオプ
シ ョ ンだけ を選択 し た状態で作成 さ れた も のです。
図 22: Current State Comparison レポー ト ( 一部 ) - 脆弱点のみ
168
セキ ュ リ テ ィ 状態の確認
Current State
Comparison レポー ト
の例 - 攻撃のみ
図 23 は、 Current State Comparison レ ポー ト の一部です。 こ の レ ポー ト 例は、
Enterprise Dashboard の [Current State Comparison] タ ブで [Attacks] のオプシ ョ ンだ
け を選択 し た状態で作成 さ れた も のです。
図 23: Current State Comparison レポー ト ( 一部 ) - 攻撃のみ
Current State
Comparison レポー ト
の例 - 攻撃を受けた脆弱
点のみ
図 24 は、 Current State Comparison レ ポー ト の一部です。 こ の レ ポー ト 例は、
Enterprise Dashboard の [Current State Comparison] タ ブで [Attacked Vulnerabilities]
のオプシ ョ ンだけ を選択 し た状態で作成 さ れた も のです。
図 24: Current State Comparison レポー ト ( 一部 ) - 攻撃を受けた脆弱点のみ
参照
こ れ ら レ ポー ト の作成については、 「Enterprise Dashboard での レ ポー ト の作成」
(203 ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
169
第 8 章 : 脅威の特定 と 対応
今後のセキ ュ リ テ ィ 状態の確認
は じ めに
効果的なセキ ュ リ テ ィ を維持す る には、 組織全体にわた る 傾向を見極め る こ と が
で き なければな り ません。 傾向を参照す る こ と で、 攻撃の頻度が高 く な っ ていな
いか ど う か、 ネ ッ ト ワ ー ク が さ ら に脆弱にな っ ていないか ど う かを確認す る こ と
がで き ます。 SiteProtector の詳細な レ ポー ト ( 月ご と の傾向レ ポー ト ) を使用 し
て、 指定期間中のセキ ュ リ テ ィ 実施方法を確認 し ます。 こ の ト ピ ッ ク には、 こ れ
ら レ ポー ト の例が記載 さ れてい ます。
含めるべき イ ベン ト
デー タ
ISS では、 次のそれぞれについて レ ポー ト を個別に生成す る こ と を推奨 し てい ま
す。
●
脆弱点
●
攻撃
注記 : 攻撃を受けた脆弱点は、 オプシ ョ ンの SecurityFusion Module が イ ン ス ト ー
ル さ れてい る 場合にのみ表示 さ れます。
170
今後のセキ ュ リ テ ィ 状態の確認
月別傾向レ ポー ト の例 脆弱点のみ
図 25 は、 Vulnerability Trend by Month レ ポー ト の一部です。 こ の レ ポー ト 例は、
[Reporting] タ ブで [Vulnerability Trend] レ ポー ト テ ンプ レー ト を使用 し 、 [Filter
Settings] の [Month] オプシ ョ ン を選択 し た状態で作成 さ れた も のです。
図 25: Vulnerability Trend by Month レポー ト ( 一部 )
SiteProtector Strategy Guide, Version 2.0 SP4
171
第 8 章 : 脅威の特定 と 対応
月別傾向レ ポー ト の例 攻撃のみ
図 26 は、 攻撃のみを含む Attack Trend by Month レ ポー ト の一部です。 こ の レ
ポー ト 例は、 [Reporting] タ ブで [Attack Trend] レ ポー ト テ ンプ レー ト を使用 し 、
[Filter Settings] の [Month] オプシ ョ ン を選択 し た状態で作成 さ れた も のです。
図 26: Attack Trend by Month レポー ト ( 一部 )
参照
172
こ れ ら レ ポー ト の作成については、 付録 A 「Reporting タ ブでの レ ポー ト 作成」
(195 ページ ) を参照 し て く だ さ い。
複数サイ ト 間での傾向の分析
複数サイ ト 間での傾向の分析
は じ めに
管理用レ ポー ト の目的
Enterprise Dashboard の右側ウ ィ ン ド ウ 枠にあ る ビ ュ ーを使用 し て、 グループ ま た
はサ イ ト を定期的に監視 し ます。 各ビ ュ ーは、 サ イ ト のデー タ を グ ラ フ ま たは
チ ャ ー ト 形式で比較 し 、 体系化 し ます。 タ ブは次の と お り です。
●
Metrics
●
Current State Comparison
●
Comparison
●
Detail
傾向レ ポー ト は、 さ ま ざ ま な目的に使用 し ます。 傾向レ ポー ト 使用の最 も 重要な
目的は、 次の と お り です。
セキ ュ リ テ ィ の現況 - 企業内各サ イ ト の現在の攻撃総数お よ び脆弱点総数。
今後の状態 - 過去数 ヶ 月の攻撃総数お よ び脆弱点総数の傾向。
傾向分析を行 う 場合
1 つのサ イ ト と 別のサ イ ト 、 ま たはあ る サ イ ト グループ と 別のサ イ ト グループ
と の間で、 セキ ュ リ テ ィ 統計値を比較 し たい場合に、 傾向を分析 し ます。 分析 し
たいグループ ま たはサ イ ト を選択す る こ と で、 傾向の比較がで き ます。 組織に
よ っ ては、 日常的な傾向分析を検討 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
173
第 8 章 : 脅威の特定 と 対応
174
パー ト III
®
実装戦略
第9章
スキャ ンの管理
概要
は じ めに
こ の章では、 使用環境におけ る Internet Scanner アプ リ ケーシ ョ ン を使っ たネ ッ ト
ワ ー ク ス キ ャ ンの実装 と 管理の方法について説明 し ます。
こ の章の内容
こ の章では次の ト ピ ッ ク について説明 し ます。
トピック
ページ
ネ ッ ト ワー ク上のホス ト の識別
178
脆弱点デー タ の完全性 と 正確性の確保
179
脆弱点スキ ャ ンのスケジ ュ ー リ ング
181
スキ ャ ン実行に必要な時間の短縮
182
SiteProtector Strategy Guide, Version 2.0 SP4
177
第 9 章 : スキ ャ ンの管理
ネ ッ ト ワー ク 上のホス ト の識別
は じ めに
ネ ッ ト ワ ー ク 上のホ ス ト を識別す る には、 次の よ う なデ ィ ス カバ リ ス キ ャ ンの
実行を検討 し ます。
●
SiteProtector の イ ン ス ト ール後、 ホ ス ト 情報を生成す る
●
定期的に ス キ ャ ン し て、 ネ ッ ト ワ ー ク 上の新規ホ ス ト を識別す る
定義 : デ ィ ス カバ リ ス
キャ ン
デ ィ ス カバ リ ス キ ャ ンでは、 Internet Scanner のデ ィ ス カバ リ ポ リ シーを使用 し
ます。 こ れ ら のポ リ シーは、 ホ ス ト のオペレーテ ィ ン グ シ ス テ ム と 、 シ ス テ ム
で現在動作 し てい る サービ ス と を識別 し 、 基本的な脆弱点チ ェ ッ ク を行い ます。
デ ィ ス カバ リ スキ ャ ン
実行の目的
デ ィ ス カバ リ ス キ ャ ンは、 その他の Internet Scanner ポ リ シーで有効にな っ てい
る 時間のかか る チ ェ ッ ク を行わずに、 ネ ッ ト ワ ー ク 上のホ ス ト に関す る 有益な情
報を提供 し ます。 デ ィ ス カバ リ ス キ ャ ンに よ っ て、 次の作業を行 う こ と がで き
ます。
デ ィ ス カバ リ スキ ャ ン
によ っ て提供 さ れる ホス
ト 情報
●
ネ ッ ト ワ ー ク 上の新規ホ ス ト を識別す る
●
次の も のを確認す る :
■
ネ ッ ト ワ ー ク での ス キ ャ ンの分割方法 と 、 使用す る ポ リ シー
■
ホ ス ト のオペレーテ ィ ン グ シ ス テ ムが最新の も のか、 ま たは社内標準に
従っ てい る か ど う か
■
ネ ッ ト ワ ー ク にア ク セ ス し てい る ユーザーがア ク セ ス を許可 さ れてい る
かど う か
■
ネ ッ ト ワ ー ク 上のすべてのプ ラ ッ ト フ ォームに対応す る ために十分な IT
ス タ ッ フ がそ ろ っ てい る か ど う か
デ ィ ス カバ リ ス キ ャ ンに よ っ て、 ホ ス ト テーブルに次の情報が追加 さ れます。
●
IP ア ド レ ス
●
NetBIOS 名
●
DNS 名
●
OS 名
●
NetBIOS ド メ イ ン名
注記 : Internet Scanner の接続要求にホ ス ト が応答 し ない場合、 そのホ ス ト はホ ス
ト テーブルに追加 さ れません。
178
脆弱点デー タ の完全性 と 正確性の確保
脆弱点デー タ の完全性 と 正確性の確保
は じ めに
脆弱点デー タ の完全性 と 正確性を確保す る には、 次の作業を行い ます。
●
ス キ ャ ンの一貫性を保つ
●
すべてのホ ス ト を ア ク セ ス可能にす る
●
で き る 限 り 高い レベルのユーザー ア ク セ ス権を使用する
スキ ャ ン間での一貫性の 一貫性を保つには、 次の内容を検討 し ます。
維持
●
脆弱点が修正 さ れたか ど う か確認す る 場合は、 前回の ス キ ャ ン と 同 じ ポ リ
シーお よ び XPU の レベルを使用す る
ホス ト のア ク セス性の確
保
●
前回の ス キ ャ ン と 同 じ ア カ ウ ン ト 権限お よ びス キ ャ ナ設定を使用す る
●
ス キ ャ ン周期の合間に XPU やス キ ャ ナ ポ リ シーを適用す る
●
通常の ス キ ャ ン ス ケ ジ ュ ール中に利用で き ないホ ス ト を ス キ ャ ンする ため
に、 ス キ ャ ン時間を変え る
●
悪用 さ れ る 可能性のあ る 脆弱点を識別で き る よ う に、 ス キ ャ ン と 侵入検知を
組み合わせ る
ホ ス ト を ア ク セ ス可能にす る には、 次の作業を行い ます。
ホス ト を利用で き る よ う にする - 次の よ う な事情で、 ホ ス ト を利用で き ない場合
があ り ます。
●
電源が入っ ていない
●
IP ネ ッ ト ワ ー ク に接続 さ れていない
●
標準以外のサービ ス を実行 し てい る
●
標準以外のポー ト を通 じ て通信 し てい る
SiteProtector Strategy Guide, Version 2.0 SP4
179
第 9 章 : スキ ャ ンの管理
フ ァ イ アウ ォ ールが通信を許すよ う にする - 特定の フ ァ イ ア ウ ォール設定では、
ホ ス ト と の接続を確立す る ために Internet Scanner が使用す る 次の よ う な ト ラ
フ ィ ッ ク がブ ロ ッ ク さ れます。
●
ICMP 要求
●
Internet Scanner イ ン ス タ ン ス に よ っ て使用 さ れ る ホ ス ト か ら の通信
注記 : Internet Scanner イ ン ス タ ン ス が ス キ ャ ン対象のアセ ッ ト と 同 じ セグ メ ン ト
にあ る 場合は、 最高のパフ ォーマン ス を得 る こ と がで き ます。
最高レ ベルのユーザー
ア ク セス権の使用
180
すべてのシ ス テ ム リ ソ ース にア ク セ スする ため、 ISS ではス キ ャ ン時のア ク セ ス
権を引 き 上げ る こ と をお勧め し ます。 ク リ テ ィ カルな
カル ド メ イ ン ま たはホ ス ト を ス
キ ャ ンす る 場合は、 ド メ イ ン管理者の権限を使用 し ます。 ド メ イ ン管理者の権限
を使っ た ス キ ャ ンは、 完了ま でに非常に時間がかか り ます。
脆弱点スキ ャ ンのスケジ ュ ー リ ン グ
脆弱点スキ ャ ンのスケジ ュ ー リ ング
は じ めに
ネ ッ ト ワ ー ク に与え る 影響が最 も 少な く 済み、 有益なデー タ が得 ら れ る よ う な時
間帯に、 ス キ ャ ン を ス ケ ジ ュ ール し ます。
考慮すべき事項
脆弱点ス キ ャ ンの ス ケ ジ ュ ールを準備す る 場合は、 次の点を考慮 し ます。
シ ステム所有者 と の連携 - ス キ ャ ンの時間について、 常にシ ス テ ム所有者 と 調整
を行い ます。
複数の タ イ ム ゾーン を考慮に入れる - 1 つ以上の タ イ ム ゾーンでサービ ス を提
供す る ネ ッ ト ワ ー ク が存在す る 場合は、 すべての タ イ ム ゾーンのユーザーに対
応で き る よ う に、 ス キ ャ ン セ ッ シ ョ ン をず ら す こ と を検討 し て く だ さ い。
企業ポ リ シーに従 う - デバ イ ス が利用不可能な と き に ス キ ャ ン し ない よ う に、 ス
キ ャ ン を ス ケ ジ ュ ール し ます。 デス ク ト ッ プな ど特定のデバ イ ス を次の時間帯に
シ ャ ッ ト ダ ウ ンする よ う に、 企業ポ リ シーで求め ら れてい る 場合があ り ます。
●
業務の終了時
●
定期的な メ ン テナン ス期間中
ピー ク 時のク リ テ ィ カルなサーバーを避ける - シ ス テ ム パフ ォーマン ス に影響
を与え る のを避け る ため、 大勢のユーザーがア ク セ ス を試み る よ う な ピー ク 時に
ク リ テ ィ カルなアプ リ ケーシ ョ ン サーバーを ス キ ャ ン し ないで く だ さ い。
特定ホス ト のスキ ャ ン時 表 31 では、 ス キ ャ ンの ス ケ ジ ュ ー リ ン グに関す る 提案事項を示 し てい ます。
期
時間帯
スキ ャ ンの種類
早朝
デス ク ト ッ プ
昼間
ク リ テ ィ カルではない NT サー
バーまたは UNIX サーバー
夜 / 深夜
•
ク リ テ ィ カルなア プ リ ケーシ ョ
ン サーバー
•
プ リ ン タ サーバー
表 31: 特定ホス ト のスキ ャ ン時期
SiteProtector Strategy Guide, Version 2.0 SP4
181
第 9 章 : スキ ャ ンの管理
スキ ャ ン実行に必要な時間の短縮
は じ めに
ネ ッ ト ワ ー ク ス キ ャ ンでは、 大量のデー タ が生成 さ れ る 可能性があ り ます。 ま
た、 時間がかかっ た り 、 Internet Scanner イ ン ス タ ン ス のパフ ォーマ ン スやネ ッ ト
ワ ー ク に影響を与えた り す る 可能性 も あ り ます。 ス キ ャ ン実行に必要な時間を短
縮す る には、 次の点を考慮 し ます。
●
ネ ッ ト ワ ー ク の帯域幅 と ア ク セ ス し やす さ を改善す る
●
ス キ ャ ンに含まれ る ホ ス ト の数を制限す る
●
デフ ォ ル ト ポ リ シー レベルを引 き 下げ る 、 ま たはポ リ シーに含まれ る 脆弱
点チ ェ ッ ク の数を制限す る
ネ ッ ト ワー ク の帯域幅 と ネ ッ ト ワ ー ク の帯域幅 と ア ク セ ス し やす さ を改善す る には、 次の点を考慮 し ま
ア ク セス し やす さ の改善 す。
ネ ッ ト ワー ク 帯域幅の改善 - ネ ッ ト ワー ク 上のデバ イ ス がパケ ッ ト に応答す る 速
度は、 ス キ ャ ン時間に影響 し ます。 Ping の応答や Internet Control Message Protocol
(ICMP) エ コ ー要求が 50 ミ リ 秒 よ り 長い と 、 ス キ ャ ン時間が著 し く 増加 し ます。
Ping の応答が遅い場合は、 ネ ッ ト ワ ー ク 帯域幅が十分か ど う か確認 し て く だ さ
い。
ア ク セス し やす さ の改善 - Ping 応答な し で ス キ ャ ン を実行す る よ う に設定 さ れた
境界ス キ ャ ンは、 さ ら に時間がかか り ます。 ス キ ャ ン時間を短縮す る 必要のあ る
場合は、 ス キ ャ ン を行 う デバ イ ス を フ ァ イ ア ウ ォールの内側に置 く こ と を検討 し
て く だ さ い。
スキ ャ ンに含まれる ホス
ト の制限
ス キ ャ ンに含まれ る ホ ス ト を制限す る には、 次の点を考慮 し ます。
全体的なホス ト 数を制限する - ISS では、 ス キ ャ ン セ ッ シ ョ ン ご と に 2500 ホ ス
ト だけ を ス キ ャ ンす る こ と をお勧め し ます。 こ の数を超え る と 、 ス キ ャ ンが正常
に完了 し ない こ と があ り ます。 1 つのセ ッ シ ョ ンで ス キ ャ ン可能なホ ス ト の最大
数は、 ネ ッ ト ワ ー ク のパフ ォーマン ス と ス キ ャ ナー エン ジ ンが イ ン ス ト ール さ
れてい る デバ イ ス のパフ ォーマン ス に よ っ て異な り ます。
ド メ イ ン コ ン ト ロー ラ ホス ト を制限する - ユーザー ア カ ウ ン ト の大規模な レ ジ
ス ト リ を持つ ド メ イ ン コ ン ト ロ ー ラ ホ ス ト は、 ユーザー ア カ ウ ン ト の列挙 と パ
ス ワ ー ド チ ェ ッ ク のため、 ス キ ャ ンに時間がかか り ます。 ド メ イ ン コ ン ト ロ ー
ラ を ス キ ャ ンす る 場合に こ の よ う なチ ェ ッ ク を無効にす る か、 ま たは こ の よ う な
ホ ス ト を ス キ ャ ンか ら 削除す る こ と を検討 し て く だ さ い。
デ フ ォル ト ポ リ シー レ
ベルの引き下げ
182
中～高レベルの ス キ ャ ン ポ リ シーは、 低レベルのポ リ シー よ り も 実行に時間が
かか り ます。 最後の手段 と し て、 デフ ォ ル ト のポ リ シー レベルの引き 下げま た
はポ リ シーに含まれ る 脆弱点チ ェ ッ ク の数の制限を検討 し ます。
スキ ャ ン実行に必要な時間の短縮
参照 : デフ ォル ト ポ リ シーの詳細については、 第 6 章 「デフ ォ ル ト のセンサー
ポ リ シー レベルの調整」 (91 ページ ) を参照 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
183
第 9 章 : スキ ャ ンの管理
184
TM
付録
付録 A
SiteProtector レポー ト
概要
は じ めに
SiteProtector 内の次の場所で、 レ ポー ト を作成する こ と がで き ます。
●
[Sensor Analysis] タ ブ
注意 : 「Sensor Analysis」 は こ の タ ブのデフ ォ ル ト 名ですが、 選択 さ れてい
る 脆弱点アナ リ シ ス ビ ュ ーに よ っ て名前が変わ り ます。
●
[Reporting] タ ブ
●
Enterprise Dashboard
こ の付録では、 こ れ ら の場所か ら レ ポー ト を作成す る 方法について説明 し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
187
付録 A: SiteProtector レ ポー ト
SiteProtector レ ポー ト
の作成
表 32 では、 SiteProtector 内で作成可能な レ ポー ト の種類 と 作成を行 う 場所を示 し
ます。
レポー ト 作成場所
含まれる情報の種類
[Sensor Analysis] タ ブ
アナ リ シ ス ビ ュ ーに基づいた、 柔軟性のある
カ ス タ マ イズ可能な レポー ト
注記 : こ の タ ブのデ フ ォル ト 名は 「Sensor
Analysis」 ですが、 選択 さ れている脆弱点アナ
リ シ ス ビ ュ ーによ っ て名前が変わ り ます。
[Reporting] タ ブ
形式の決ま っ た、 グ ラ フ ィ カルな管理レベルの
レポー ト ( カ ス タ マ イ ズ範囲は限定 さ れる )
Enterprise Dashboard
サイ ト の比較や同一グループの比較など、 複数
サイ ト にわた る傾向 と 概要の情報を示すレポー
ト
表 32: SiteProtector でのレポー ト の作成
こ の付録の内容
こ の付録では、 次のセ ク シ ョ ンについて説明 し ます。
セクシ ョ ン
188
ページ
Sensor Analysis タ ブ でのレポー ト 作成
189
Reporting タ ブ でのレポー ト 作成
195
Enterprise Dashboard でのレポー ト の作成
203
セ ク シ ョ ン A:
Sensor Analysis タ ブ でのレポー
ト 作成
は じ めに
こ のセ ク シ ョ ンでは、 [Analysis] タ ブでの レ ポー ト 作成に使用する デー タ のエ ク
ス ポー ト 方法について説明 し ます。
注記 : こ の タ ブのデフ ォ ル ト 名は 「Sensor Analysis」 ですが、 選択 さ れてい る 脆
弱点アナ リ シ ス ビ ュ ーに よ っ て タ ブの名前が変わ り ます。
参照 : [Sensor Analysis] タ ブでの レ ポー ト の作成 と 操作については、 SiteProtector
のヘルプを参照 し て く だ さ い。
アナ リ シス ビ ュ ーの特
徴
こ のセ ク シ ョ ンの内容
[Sensor Analysis] タ ブで作成 さ れた レ ポー ト には、 次の よ う な特徴があ り ます。
●
柔軟性
●
標準のビ ュ ー ( 定義済み )
●
カ ス タ マ イ ズ可能な ビ ュ ー
●
ド リ ルダ ウ ン と 迅速な分析が可能
●
動的
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
ページ
Sensor Analysis タ ブ でのデー タ のエ ク スポー ト
190
Sensor Analysis タ ブ でのレポー ト 作成
192
カ ス タ ム レポー ト の作成
193
SiteProtector Strategy Guide, Version 2.0 SP4
189
付録 A: SiteProtector レ ポー ト
Sensor Analysis タ ブ でのデー タ のエ ク スポー ト
は じ めに
[Sensor Analysis] タ ブで、 エ ク ス ポー ト し て レ ポー ト 作成に使用す る デー タ を選
択 し ます。
標準のビ ュ ー
[Sensor Analysis] タ ブの ビ ュ ーを使用 し て、 エ ク ス ポー ト し て レ ポー ト 作成に使
用す る デー タ を選択 し ます。 標準の ( 定義済みの ) ビ ュ ーは、 次の と お り です。
フ ィ ルタ
カ ラム
190
●
Event Analysis - Attacker
●
Event Analysis - Detail Time
●
Event Analysis - Details
●
Event Analysis - Event Name
●
Event Analysis - Incidents
●
Event Analysis - OS
●
Event Analysis - Sensor
●
Event Analysis - Target Object
●
Event Analysis - Target
●
Vuln Analysis - Detail
●
Vuln Analysis - Host
●
Vuln Analysis - Object
●
Vuln Analysis - Vuln Name
SiteProtector の フ ィ ル タ を使用 し て、 [Sensor Analysis] タ ブに表示 さ れ る 情報を制
御す る こ と がで き ます。 現在の フ ィ ル タ をすべて一覧表示する には、 アナ リ シ ス
ツールバーの [Advanced] ア イ コ ン を使用 し ます。 次に示すのは、 フ ィ ル タ に関
す る 注意事項です。
●
フ ィ ル タ は Site DB ではな く ク ラ イ ア ン ト マシ ンに格納 さ れます。
●
フ ィ ル タ は一時的な も のです。 フ ィ ル タ 設定は、 アナ リ シ ス フ ァ イ ルに保
存 さ れません。 ロ グオ フす る と 、 フ ィ ル タ は解除 さ れます。
●
フ ィ ル タ 設定 と カ ラ ム設定を アナ リ シ ス フ ァ イ ルに保存する こ と がで き ま
す。 こ の フ ァ イ ルは ク ラ イ ア ン ト 上に保存 さ れてお り 、 必要に応 じ て再 ロ ー
ド す る こ と がで き ます。
よ り 詳 し い情報を表示す る には、 カ ラ ム を追加 し ます。 アナ リ シ ス ビ ュ ーに表
示可能なカ ラ ムは、 次の と お り です。
Sensor Analysis タ ブ でのデー タ のエ ク スポー ト
レ ポー ト 形式
●
回数に関す る カ ラ ム - イ ベン ト の回数ま たは数に関す る 情報を アナ リ シ ス
ビ ュ ーに表示 し ます。
●
イ ベン ト に関す る カ ラ ム - イ ベン ト に関す る 情報を アナ リ シ ス ビ ュ ーに表
示 し ます。
●
タ ーゲ ッ ト と 発信元に関す る カ ラ ム - タ ーゲ ッ ト と 発信元に関す る 情報を ア
ナ リ シ ス ビ ュ ーに表示 し ます。
●
時刻に関す る カ ラ ム - イ ベン ト 発生時の日付 と 時刻に関す る 情報を アナ リ シ
ス ビ ュ ーに表示 し ます。
[Sensor Analysis] タ ブでエ ク ス ポー ト さ れたデー タ か ら 作成 さ れた レ ポー ト を、
次の形式で印刷ま たは保存す る こ と がで き ます。
●
ハ イ パーテキ ス ト マー ク ア ッ プ言語 (HTML)
●
カ ンマ区切 り (CSV)
●
Portable Document Format (PDF)
レ ポー ト デー タ を コ ピー し て電子 メ ール、 ス プ レ ッ ド シー ト 、 ま たはテ キ ス ト
フ ァ イ ルに貼 り 付け る こ と がで き ます。
SiteProtector Strategy Guide, Version 2.0 SP4
191
付録 A: SiteProtector レ ポー ト
Sensor Analysis タ ブ でのレ ポー ト 作成
は じ めに
[Sensor Analysis] タ ブで レ ポー ト を作成す る 場合は、 適切なデー タ を選択 し てエ
ク ス ポー ト し 、 エ ク ス ポー ト さ れたデー タ を使っ て レ ポー ト を作成 し ます。
手順
[Sensor Analysis] タ ブで レ ポー ト を作成す る には :
1. Site Manager のグループ ツ リ ーで、 使用す る グループ ま たはサブグループを
選択 し 、 [Sensor Analysis] タ ブ を ク リ ッ ク し ます。
2. 生成す る レ ポー ト の種類に対応す る アナ リ シ ス ビ ュ ーを選択 し ます。
3. [Analysis] → [Data Export] → [Print Data] の順に選択 し ます。
[ 印刷 ] ウ ィ ン ド ウ が開 き ます。
4. [ 一般 ] タ ブで、 次の内容を指定 し ます。
■
プリ ンタ
■
印刷す る ページ
■
印刷部数
5. 必要であれば、 [ ページ設定 ] タ ブを使用 し て用紙サ イ ズ と 方向を変更 し ま
す。
6. [ 印刷 ] を ク リ ッ ク し ます。
注意 : 一度に 10 個を超え る ジ ョ ブ を ス ケ ジ ュ ー リ ン グす る と 、 最初の レ
ポー ト が実行 さ れ る 間、 後続の 9 個の レ ポー ト が [Analysis Data Export Jobs]
ウ ィ ン ド ウ 枠で待ち行列入 り し てジ ョ ブが失敗す る 可能性があ り ます。
192
カ ス タ ム レ ポー ト の作成
カ ス タ ム レ ポー ト の作成
は じ めに
レ ポー ト 生成の前に、 標準のカ ラ ム を追加ま たは削除、 ま たはカ ラ ム順序を変更
す る こ と で、 レ ポー ト を カ ス タ マ イ ズす る こ と がで き ます。
手順
カ ス タ ム デー タ カ ラ ム を伴 う レ ポー ト を作成す る には :
1. Site Manager のグループ ツ リ ーで、 使用す る グループを選択 し 、 [Sensor
Analysis] タ ブを選択 し ます。
2. 生成す る レ ポー ト の種類に対応す る アナ リ シ ス ビ ュ ーを選択 し ます。
3. [Analysis] → [Configure] → [Add/Remove Data Columns] の順に選択 し ます。
[Advance Filter] ウ ィ ン ド ウ が表示 さ れます。
4. [Displayed] ウ ィ ン ド ウ で、 削除す る 列を選択 し て [Remove] を ク リ ッ ク し ま
す。
5. [Available] ウ ィ ン ド ウ で、 レ ポー ト に追加す る 列を選択 し 、 [Add] を ク リ ッ
ク し ます。
6. [Up] お よ び [ Down ] ボ タ ン を使用 し て、 [Available] ウ ィ ン ド ウ内の名前を
ソ ー ト し ます。
7. [OK] を ク リ ッ ク し ます。
8. [Analysis] メ ニ ュ ーか ら 、 [Data Export] → [Export Data] の順に選択 し ます。
9. [Open] ウ ィ ン ド ウ で、 レ ポー ト の名前を入力 し て [Save] を ク リ ッ ク し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
193
付録 A: SiteProtector レ ポー ト
194
セ ク シ ョ ン B:
は じ めに
Reporting タ ブ でのレポー ト 作成
[Reporting] タ ブで作成す る レ ポー ト は、 概要的な管理レ ポー ト です。 組織全体に
わた る 傾向を見極め、 セキ ュ リ テ ィ 手段の全体的な有効性を査定 し 、 現在お よ び
今後のセキ ュ リ テ ィ 状態を確認す る こ と がで き ます。 こ の ト ピ ッ ク では、
[Reporting] タ ブを使用 し た レ ポー ト 作成方法について説明 し ます。
参照 : [Reporting] タ ブでの レ ポー ト の作成 と 操作については、 SiteProtector のヘ
ルプを参照 し て く だ さ い。
特徴
レ ポー ト のカ テ ゴ リ
レ ポー ト 形式
注意事項
[Reporting] タ ブで作成 さ れた レ ポー ト には、 次の よ う な特徴があ り ます。
●
非分析的静的レ ポー ト
●
事前定義 さ れた テ ンプ レー ト
●
カ ス タ マ イ ズのオプシ ョ ン
●
マネージ ャ 、 管理職、 アナ リ ス ト 向け
●
週、 月、 年単位の概要的デー タ
レ ポー ト は次のカ テ ゴ リ に分類 さ れます。
●
Assessment ( 評価 )
●
Attack Activity ( 攻撃ア ク テ ィ ビ テ ィ )
●
Desktop Protection
●
Management ( 管理 )
●
SecurityFusion
●
Virus Activity ( ウ ィ ルス ア ク テ ィ ビ テ ィ )
[Reporting] タ ブで作成 さ れた レ ポー ト を、 次の形式で印刷ま たは保存す る こ と が
で き ます。
●
Portable Document Format (PDF) - デフ ォル ト
●
ハ イ パーテキ ス ト マー ク ア ッ プ言語 (HTML)
●
カ ンマ区切 り (CSV)
レ ポー ト テ ンプ レー ト を作成する 場合は、 次の点に注意 し て く だ さ い。
SiteProtector Strategy Guide, Version 2.0 SP4
195
付録 A: SiteProtector レ ポー ト
こ のセ ク シ ョ ンの内容
●
一度に 10 個を超え る ジ ョ ブ を ス ケ ジ ュ ー リ ン グ し ないで く だ さ い。 最初の
レ ポー ト が処理中で、 続 く 10 個のジ ョ ブが待ち行列にあ る 場合、 それ以外
のジ ョ ブはすべて失敗 し ます。
●
一部の レ ポー ト は、 30 ページ を超え る 場合があ り ます。 その よ う な場合は、
HTML 形式を使用す る と 、 レ ポー ト 内のテ キ ス ト が重複 し て読めな く な り
ます。 30 ページ を超え る 可能性のあ る レ ポー ト を実行す る 場合は、 PDF 形
式か CSV 形式を使用 し て く だ さ い。
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
196
ページ
レポー ト テ ン プ レー ト の使用
197
レポー ト の作成
201
レポー ト の表示
202
レ ポー ト テ ン プ レ ー ト の使用
レポー ト テ ン プ レー ト の使用
は じ めに
SiteProtector には定義済みの レ ポー ト テ ンプ レー ト が備わ っ てお り 、 [Reporting]
タ ブか ら レ ポー ト を作成す る 場合に使用で き ます。 こ れ ら のテ ンプ レー ト には、
レ ポー ト 作成に必要なすべてのパ ラ メ ー タ ( ヘ ッ ダー、 フ ッ タ ー、 フ ィ ル タ 、 形
式 ) が含まれてい ます。
定義済みのテ ンプ レー ト を使用す る こ と も 、 特定のニーズに合わせてテ ンプ レー
ト を カ ス タ マ イ ズす る こ と も で き ます。 レ ポー ト のカ ス タ マ イ ズについては、 プ
ロ フ ェ ッ シ ョ ナル サービ ス部ま でお問い合わせ く だ さ い。
Reporting タ ブのテ ン プ
レー ト
表 33 では、 [Reporting] タ ブで作成可能な レ ポー ト について説明 し ます。
カ テゴ リ
レポー ト 名
説明
Assessment
Top Vulnerabilities
指定 さ れたグループ と 時刻について、
上位の脆弱点が頻度別に一覧表示 さ れ
ます。
Vulnerability by
Group
選択 さ れたグループのサブグループ間
で脆弱点を比較 し ます。
Vulnerability by OS
オペ レーテ ィ ング システム別に脆弱
点数を比較 し ます。
Vulnerability by Host
指定 さ れたグループ と 時刻について、
上位のホス ト が脆弱点数別に一覧表示
さ れます。
Operating System
Summary
ホス ト のパーセ ン テージ と 数が、 自動
ネ ッ ト ワー ク スキ ャ ン で発見 さ れた
オペ レーテ ィ ング システム別に表示
さ れます。
Vulnerability Counts
検出 さ れた脆弱点が、 合計数別、 パー
セ ン テージ別に一覧表示 さ れます。
表 33: Reporting タ ブのレ ポー ト
SiteProtector Strategy Guide, Version 2.0 SP4
197
付録 A: SiteProtector レ ポー ト
カ テゴ リ
レポー ト 名
説明
Host Assessment
Summary
見つかっ たホス ト が一覧表示 さ れ、 各
ホス ト のネ ッ ト ワー ク サービ ス と 脆
弱点が特定 さ れます。
Vulnerability Counts
By Host
各ホス ト について、 脆弱点の数 と 危険
度が一覧表示 さ れます。
Operating System
Summary By Host
ネ ッ ト ワー ク 上で検出 さ れたオペ レー
テ ィ ング シ ステムが一覧表示 さ れま
す。
Service Summary
スキ ャ ン対象ホス ト で検出 さ れたネ ッ
ト ワー ク サービ ス を特定 し ます。
Vulnerability Names
By Host
検出 さ れた脆弱点が DNS 名別、 IP ア
ド レ ス別、 および脆弱点名別に表示 さ
れます。
Vulnerability
Summary By Host
検出 さ れた脆弱点が DNS 名別、 IP ア
ド レ ス別、 オペ レーテ ィ ング システ
ム別、 および脆弱点名別に表示 さ れま
す。
Host Assessment
Detail
見つかっ たホス ト が、 ネ ッ ト ワー ク
サービ ス と 脆弱点に関する詳細情報 と
と も に一覧表示 さ れます。
Service Summary By
Host
各スキ ャ ン対象ホス ト で検出 さ れた
ネ ッ ト ワー ク サービ ス を特定 し ます。
Vulnerability
Remedies By Host
検出 さ れた脆弱点がホス ト 別に表示 さ
れ、 対処法情報が表示 さ れます。
Vulnerability Detail
By Host
検出 さ れた脆弱点がホス ト 別に表示 さ
れます。 DNS 名、 IP ア ド レ ス、 オペ
レーテ ィ ング シ ステムの種類、 対処
法情報が表示 さ れます。
表 33: Reporting タ ブのレ ポー ト ( 続き )
198
レ ポー ト テ ン プ レ ー ト の使用
カ テゴ リ
レポー ト 名
説明
Attack Activity
Attacks by Group
選択 さ れたグループのサブグループ間
で攻撃数を比較 し ます。
Top Attacks
指定 さ れたグループ と 時刻について、
上位の攻撃名が頻度別に一覧表示 さ れ
ます。
Top Sources of
Attack
指定 さ れたグループ と 時刻について、
上位の攻撃元が頻度別に一覧表示 さ れ
ます。
Top Targets of
Attack
指定 さ れたグループ と 時刻について、
上位の攻撃 タ ーゲ ッ ト が頻度別に一覧
表示 さ れます。
Desktop
Desktop Protection
保護 さ れている ホス ト の数 と 保護 さ れ
ていないホス ト の数が、 バージ ョ ン詳
細 と と も に表示 さ れます。
Management
Attack Trend
日 / 週 / 月 / 四半期 / 年ご と の攻撃ア ク
テ ィ ビテ ィ 。
Protection Report
ISS ホス ト プ ロ テ ク シ ョ ン エージ ェ
ン ト によ っ て保護 さ れている ホス ト と
保護 さ れていないホス ト の合計数が表
示 さ れます。
Attack Incidents
指定時間に作成 さ れたセキ ュ リ テ ィ
イ ン シデン ト がすべて一覧表示 さ れま
す。
Virus Activity Trend
日 / 週 / 月 / 四半期 / 年ご と のウ ィ ルス
アクテ ィ ビテ ィ 。
Vulnerability Trend
日 / 週 / 月 / 四半期 / 年ご と の脆弱点。
Attack Status
Summary
指定 さ れたグループ と 時刻について、
フ ュ ージ ョ ン ステー タ ス イ ベン ト の
合計数が表示 さ れます。
SecurityFusion
表 33: Reporting タ ブのレ ポー ト ( 続き )
SiteProtector Strategy Guide, Version 2.0 SP4
199
付録 A: SiteProtector レ ポー ト
カ テゴ リ
レポー ト 名
説明
Virus Activity
Top Virus Activity
指定 さ れたグループ と 時刻について、
上位のウ ィ ルスが頻度別に一覧表示 さ
れます。
Virus Activity by
Group
選択 さ れたグループのサブグループ間
でウ ィ ルス ア ク テ ィ ビ テ ィ を比較 し
ます。
Virus Activity by
Host
指定 さ れたグループ と 時刻について、
上位のホス ト がウ ィ ルス ア ク テ ィ ビ
テ ィ 数別に一覧表示 さ れます。
表 33: Reporting タ ブのレ ポー ト ( 続き )
200
レ ポー ト の作成
レポー ト の作成
は じ めに
[Reporting] タ ブで レ ポー ト を作成す る 場合は、 希望す る レ ポー ト テ ンプ レー ト
を選択 し 、 レ ポー ト の変数を定義 し て、 レ ポー ト を作成 し ます。
手順
[Reporting] タ ブで レ ポー ト を作成す る には :
1. Site Manager で、 [Reporting] タ ブ を ク リ ッ ク し ます。
2. 使用す る レ ポー ト テ ンプ レー ト を選択 し ます。
3. テ ンプ レー ト 名を右 ク リ ッ ク し 、 [Run Report] を選択 し ます。
[Run Report] ダ イ ア ロ グが開 き ます。
4. [Report Specification] タ ブで、 [Report Title] に レ ポー ト タ イ ト ルを入力 し 、
オプシ ョ ンで レ ポー ト の説明
の説明を入力 し ます。
5. [Report Period] セ ク シ ョ ンで、 [Standard Time Period] ま たは [Custom] を オ
ンに し 、 続いて レ ポー ト の期間を選択 し ます。
6. カ ス タ ム レ ポー ト で使用する 設定を選択 し ます。
注意 : レ ポー ト 作成に関す る 詳細については、 SiteProtector のヘルプを参照
し て く だ さ い。
7. [Recurrence] タ ブで、 必要に応 じ て [Recurrence pattern]、 [Event Time]、
[Range of recurrence] を指定 し ます。
8. [OK] を ク リ ッ ク し ます。
ジ ョ ブに関す る 情報は、 [Report Jobs] ウ ィ ン ド ウ枠に表示 さ れます。
注意 : 一度に 10 個を超え る ジ ョ ブ を ス ケ ジ ュ ー リ ン グす る と 、 最初の レ
ポー ト が実行 さ れ る 間、 後続の 9 個の レ ポー ト が待ち行列入 り し て失敗す る
可能性があ り ます。
SiteProtector Strategy Guide, Version 2.0 SP4
201
付録 A: SiteProtector レ ポー ト
レポー ト の表示
は じ めに
[Reporting] タ ブで レ ポー ト を作成 し た ら 、 レ ポー ト を表示 し て正 し い情報が含ま
れてい る こ と を確認 し ます。
手順
特定のテ ンプ レー ト に基づいてカ ス タ ム レ ポー ト を表示する には :
1. Site Manager で、 [Reporting] タ ブ を選択 し ます。
2. カ ス タ ム レ ポー ト の表示に使用する レ ポー ト テ ンプ レー ト を選択 し ます。
3. 右 ク リ ッ ク し 、 メ ニ ュ ーの [List Reports] を選択 し ます。
[Reports for Group] ウ ィ ン ド ウ が開き 、 選択 し たテ ンプ レー ト に基づいて カ
ス タ ム レ ポー ト が表示 さ れます。
4. 開 く レ ポー ト を選択 し 、 [View] を ク リ ッ ク し ます。
読み取 り 専用の レ ポー ト が開 き ます。
202
Enterprise Dashboard でのレポー
ト の作成
セ ク シ ョ ン C:
は じ めに
Enterprise Dashboard には、 Enterprise Dashboard に レ ポー ト を行 う 複数のサ イ ト に
関す る 情報が含まれてい ます。 Enterprise Dashboard で作成する レ ポー ト は、 傾向
と 概要の情報を提供 し 、 組織のセキ ュ リ テ ィ 状態を判断 し て防御を適切に調整で
き る よ う に、 長期に渡っ て意味のあ る ア ク テ ィ ビ テ ィ パ タ ーン を特定 し ます。
参照 : Enterprise Dashboard での レ ポー ト の作成 と 操作については、 SiteProtector
のヘルプを参照 し て く だ さ い。
特徴
Enterprise Dashboard
のビ ュ ー
Enterprise Dashboard で作成 さ れた レ ポー ト には、 次の よ う な特徴があ り ます。
●
複数サ イ ト にわた る レ ポー ト
●
サ イ ト の比較
●
同一グループの比較
●
傾向 と 概要
Enterprise Dashboard の右側ウ ィ ン ド ウ 枠にあ る タ ブを使用 し て、 グループ ま たは
サ イ ト を定期的に監視 し ます。 各ビ ュ ーは、 サ イ ト のデー タ を グ ラ フ ま たは
チ ャ ー ト 形式で比較 し 、 体系化 し ます。 こ の情報を、 レ ポー ト 形式で保存ま たは
印刷す る こ と がで き ます。 次の タ ブがあ り ます。
●
Metrics
●
Current State Comparison
●
Comparison
●
Detail
SiteProtector Strategy Guide, Version 2.0 SP4
203
付録 A: SiteProtector レ ポー ト
レ ポー ト 形式
こ のセ ク シ ョ ンの内容
Enterprise Dashboard で作成 さ れた レ ポー ト を、 次の形式で印刷ま たは保存する こ
と がで き ます。
●
ハ イ パーテキ ス ト マー ク ア ッ プ言語 (HTML)
●
Portable Document Format (PDF)
こ のセ ク シ ョ ンでは次の ト ピ ッ ク について説明 し ます。
トピック
204
ページ
レポー ト の印刷
205
レポー ト の保存
206
レポー ト のスケジ ュ ー リ ング
207
レ ポー ト の印刷
レポー ト の印刷
は じ めに
Enterprise Dashboard で レ ポー ト を作成する 場合は、 作成する レ ポー ト の種類 と 日
時の フ ィ ル タ を選択 し 、 プ リ ン タ 設定を指定 し ます。
手順
Enterprise Dashboard で レ ポー ト を印刷する には :
1. Enterprise Dashboard で、 使用する サ イ ト と グループを選択 し ます。
2. 右ウ ィ ン ド ウ 枠で、 作成す る レ ポー ト の種類に応 じ た タ ブを次の う ちか ら 選
択 し ます。
■
Metrics
■
Current State Comparison
■
Comparison
■
Detail
3. [Start Date] フ ィ ル タ と [End Date] フ ィ ル タ を設定 し 、 使用する デー タ の日
時を表示 し ます。
4. 使用す る 危険度フ ィ ル タ チ ェ ッ ク ボ ッ ク ス を選択 し ます。
5. Site Manager の メ ニ ュ ー バーで、 [Reporting] → [Print Report] の順に選択 し
ます。
[ 印刷 ] ウ ィ ン ド ウ が開 き ます。
6. 必要に応 じ て、 印刷設定を変更 し ます。
7. [ 印刷 ] を ク リ ッ ク し ます。
注意 : 一度に 10 個を超え る ジ ョ ブ を ス ケ ジ ュ ー リ ン グす る と 、 最初の レ
ポー ト が実行 さ れ る 間、 後続の 9 個の レ ポー ト が [Scheduled Jobs] ウ ィ ン ド
ウ 枠で待ち行列入 り し てジ ョ ブが失敗す る 可能性があ り ます。
SiteProtector Strategy Guide, Version 2.0 SP4
205
付録 A: SiteProtector レ ポー ト
レポー ト の保存
は じ めに
Enterprise Dashboard で レ ポー ト を保存する 場合は、 作成する レ ポー ト の種類 と 日
時の フ ィ ル タ を選択 し 、 フ ァ イ ルの種類を指定 し ます。
手順
Enterprise Dashboard で レ ポー ト を保存する には :
1. Enterprise Dashboard で、 使用する サ イ ト と グループを選択 し ます。
2. 右ウ ィ ン ド ウ 枠で、 作成す る レ ポー ト の種類に応 じ た タ ブを次の う ちか ら 選
択 し ます。
■
Metrics
■
Current State Comparison
■
Comparison
■
Detail
3. [Start Date] フ ィ ル タ と [End Date] フ ィ ル タ を設定 し 、 使用する デー タ の日
時を表示 し ます。
4. 使用す る 危険度フ ィ ル タ チ ェ ッ ク ボ ッ ク ス を選択 し ます。
5. Site Manager の メ ニ ュ ー バーで、 [Reporting] → [Save Report] の順に選択 し
ます。
[ 保存 ] ウ ィ ン ド ウ が開 き ます。
6. [ 保存 ] の矢印を使用 し て、 レ ポー ト の保存場所を指定 し ます。
7. [ フ ァ イ ル名 ] ボ ッ ク ス に、 フ ァ イ ルの名前を入力 し ます。
8. [ フ ァ イ ル タ イ プ ] の矢印を使用 し て、 次のいずれかの形式を選択 し ます。
■
CSV
■
PDF
■
HTML
9. [ 保存 ] を ク リ ッ ク し ます。
注意 : Enterprise Dashboard を使用 し て レ ポー ト を保存 し た場合、 脆弱点情報
は利用で き ません。
206
レ ポー ト のスケジ ュ ー リ ン グ
レポー ト のスケジ ュ ー リ ング
は じ めに
Enterprise Dashboard の レ ポー ト を ス ケ ジ ュ ー リ ン グする 場合は、 作成する レ ポー
ト の種類 と 日時の フ ィ ル タ を選択 し 、 出力設定を指定 し ます。
手順
ス ケ ジ ュ ールに従っ て レ ポー ト を生成す る には :
1. グループ ツ リ ーで、 使用する グループ と サブグループを選択 し ます。
2. 右ウ ィ ン ド ウ 枠で、 作成す る レ ポー ト の種類に応 じ た タ ブを次の う ちか ら 選
択 し ます。
■
Metrics
■
Current State Comparison
■
Comparison
■
Detail
3. [Start Date] フ ィ ル タ と [End Date] フ ィ ル タ を設定 し 、 使用する 日時を表示
し ます。
4. Site Manager の メ ニ ュ ー バーで、 [Reporting] → [Schedule Report] の順に選
択 し ます。
[New Report Creation Schedule] ウ ィ ン ド ウ が開 き ます。
5. [Output Parameters] セ ク シ ョ ンで、 次を行い ます。
■
レ ポー ト の完全修飾パ ス ま たは Universal Naming Convention (UNC) に基づ
いたパ ス を、 [File name] ボ ッ ク ス に入力する
■
レ ポー ト でカバーす る 時間を指定す る
■
使用す る 形式を指定す る
■
日、 週、 月単位で繰 り 返 し レ ポー ト を生成 さ せる 場合は、 [Edit Schedule]
を ク リ ッ ク し て ス ケ ジ ュ ールを確定す る
デフ ォ ル ト では、 レ ポー ト は直ちに生成 さ れます。 完全修飾パ ス ではな く 相
対パ ス を指定す る と 、 レ ポー ト は Application Server\Temp フ ォルダに保存 さ
れます。
6. [Current View Selection] セ ク シ ョ ンで、 選択内容を見直 し ます。
7. 表示 さ れた選択内容を使用 し ますか。
■
使用す る 場合は、 [OK] を ク リ ッ ク し ます。
レ ポー ト が ス ケ ジ ュ ー リ ン グ さ れます。
■
使用 し ない場合は [Cancel] を ク リ ッ ク し 、 手順 1 ～ 6 を繰 り 返 し ます。
8. [OK] を ク リ ッ ク し ます。
SiteProtector Strategy Guide, Version 2.0 SP4
207
付録 A: SiteProtector レ ポー ト
Enterprise Dashboard を使用 し て レ ポー ト を ス ケ ジ ュ ー リ ン グ し た場合は、 脆
弱点情報を利用で き ません。
208
索引
a
Analysis タ ブ
レ ポー ト 188
Attack Incidents レポー ト 199
Attack Status Summary レポー ト 199
Attack Trend レポー ト 166, 199
Attacks by Group レポー ト 199
b
Banner レ スポン ス
e
Email
脅威 162
レ ス ポ ン ス 96
Enterprise Dashboard
ジオグ ラ フ ィ カル モデル 61
責任範囲モデル 67
レ ポー ト 188
Event Analysis-Event Name ビ ュ ー
Event Analysis-Source ビ ュ ー 149
Event Analysis-Target Object ビ ュ ー
Event Analysis-Target ビ ュ ー 148
95
c
CheckPoint FireWall、 ブ ロ ッ ク
148
149
97
f
d
Desktop Protection レポー ト
Display レ スポン ス 95
DMZ 29, 31
サーバー と デス ク ト ッ プ 46, 47
ホ ス ト の ス キ ャ ン 29
DoS →サービ ス不能を参照
Drop レ スポン ス 96
Dynamic Blocking レ スポン ス 96
199
SiteProtector Strategy Guide, Version 2.0 SP4
False Positive 147, 150, 156
Firecell シグネチ ャ 106
Fusion → SecurityFusion Module を参照
209
索引
h
n
Host Assessment Detail レポー ト 198
Host Assessment Summary レポー ト 198
Network Sensor
RealSecure Network Sensor 7.0 81
イ ベン ト を正 し く 検出 し てい る か ど う か
配置
DMZ 29, 31, 33, 35
VPN 31
イ ン ト ラ ネ ッ ト 31, 33, 36
フ ァ イ ア ウ ォールの外側 31
i
ICMP 要求 180, 182
Internet Scanner 150
E-commerce サ イ ト の ス キ ャ ン 30
イ ン ト ラ ネ ッ ト ス キ ャ ン 28, 29, 31, 32, 34,
37
境界ス キ ャ ン を参照
ス キ ャ ンのガ イ ド ラ イ ン 29, 31, 34, 37
ルー タ ー ス キ ャ ン を参照
Internet Scanner Scan 150
Internet Security Systems
Web サ イ ト xiv
テ ク ニ カル サポー ト xiv
LOGDB レ スポン ス 97
LogEvidence レ スポ ン ス
LogWithRaw 97
m
210
o
Operating System Summary by Host レポー
ト 198
Operating System Summary レポー ト 197
OPSEC レ スポン ス 97
p
l
Manual Upgrader
74
121
97
Ping 応答、 スキ ャ ンにおける役割 182
Protection Report 199
Proventia M シ リ ーズ ア プ ラ イ ア ン ス 33, 36
Proventia G シ リ ーズ 24
索引
r
Strategy Guide
対象読者 xi
目的 xi
Suspend レ スポン ス 97
System Scanner
配置 45, 46, 47
配置モデル 50–55
防御レベル 43
ホ ス ト ス キ ャ ン 43
Reporting タ ブ
テ ンプ レー ト 195
レ ポー ト 188
レ ポー ト テ ンプ レー ト 197
レ ポー ト のカ テ ゴ リ 195
レ ポー ト の作成 201
レ ポー ト の表示 202
RSKILL レ スポン ス 97
t
s
Security Incidents レポー ト 167
SecurityFusion Module 148, 151
Sensor Analysis タ ブ
デー タ のエ ク ス ポー ト 190
ビ ュ ー 190
フ ィ ル タ 190
分析用レ ポー ト のデー タ のエ ク ス ポー ト
レ ポー ト 188
Server Sensor
イ ベン ト を正 し く 検出 し てい る か ど う か
配置 45
DMZ 44, 46, 47
イ ン ト ラ ネ ッ ト 44, 45, 46, 47
ホ ス ト シ ス テ ム ロ グの監視 41
Service Release 117
Service Summary by Host レポー ト 198
Service Summary レポー ト 198
Site Manager
グルーピ ン グ ツ リ ー 60
グルーピ ン グ ツ リ ーで行 う タ ス ク 59
ジオグ ラ フ ィ カル モデル 61
責任範囲モデル 67
SiteProtector レポー ト 187
SNMP Trap レ スポン ス 97
SiteProtector Strategy Guide, Version 2.0 SP4
189
74
TCP ポー ト 、 範囲のブ ロ ッ ク 104
TCP リ セ ッ ト パケ ッ ト 、 RSKILL レ スポン スで使
用 97
Third Party Module 154
Top Attacks レ ポー ト 199
Top Sources of Attack レポー ト 199
Top Targets of Attack レポー ト 199
Top Virus Activity レポー ト 200
Top Vulnerabilities レポー ト 197
u
UDP ポー ト 、 範囲のブ ロ ッ ク
104
v
Virus Activity by Group レ ポー ト 200
Virus Activity by Host レポー ト 200
Virus Activity Trend レポー ト 199
211
索引
VPN
アプ リ ケーシ ョ ン制御に よ る 防御 40
外部脅威か ら の防御戦略に よ る 防御 31
大規模な Web が存在 し ない 35
デス ク ト ッ プ と ラ ッ プ ト ッ プ 45, 47
デス ク ト ッ プ防御の役割 45
Vulnerability by Group レポー ト 197
Vulnerability by Host レポー ト 139, 197
Vulnerability by OS レポー ト 197
Vulnerability Counts by Host レポー ト 198
Vulnerability Counts レ ポー ト 197
Vulnerability Detail by Host レポー ト 198
Vulnerability Names by Host レポー ト 198
Vulnerability Remedies by Host レポー ト 198
Vulnerability Summary by Host レポー ト 198
Vulnerability Trend レポー ト 199
あ
ア ク シ ョ ン、 デス ク ト ッ プ防御レ スポン スで使
用 98
ア ク セス制御
最高レベルのユーザー ア ク セ ス権を使っ た ス
キ ャ ン 180
不適切なユーザー ア ク テ ィ ビ テ ィ が原因の脆弱
点 128
不適切ま たは脆弱 129
ア ッ プグレー ド 117
脆弱点修正におけ る 役割 136
ア プ リ ケーシ ョ ン と シ ステムの整合性 40, 111
ア ラ ー ト と ア ド バイザ リ 79
w
い
Web サイ ト 、 Internet Security Systems xiv
Web に面 し たホス ト 29, 30, 31, 34, 37
イ ベン ト
判断で き ない 156
量の削減 86
イ ベン ト に関する カ ラ ム 191
イ ベン ト フ ィ ル タ 86, 93
印刷上の表記規則 xvii, xviii
イ ン シデン ト 133, 156
脆弱点の分類 132, 133
セキ ュ リ テ ィ レベル 157
分類 さ れた False Positive と 誤報 156
分類 さ れた攻撃 156
優先度設定 167
イ ン シデン ト の影響 157
イ ン シデン ト の範囲 157
イン ト ラネッ ト
サーバー と デス ク ト ッ プ 45, 46, 47
ス キ ャ ン 32, 34, 37
ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク 31, 33
ミ ニマム防御戦略に よ る 防御 29
イ ン ト ラ ネ ッ ト スキ ャ ン 29
x
X-Force の Research Web サイ ト 80
X-Press Update 117–121
ISS メ ー リ ン グ リ ス ト 79
ス キ ャ ン間での維持 179
セ ンサー ポ リ シーに追加 さ れ る チ ェ ッ ク と シ グ
ネチ ャ 119
正 し いア ッ プデー ト の判別 121
通知プ ロ セ ス 119
212
索引
イ ン ラ イ ン シ ミ ュ レーシ ョ ン 24
イ ン ラ イ ン プ ロ テ ク シ ョ ン 24
お
オペレーテ ィ ング シ ス テム
グループ分けの基準 64, 65
基準、 デス ク ト ッ プ防御レ スポン スで使用
既知の侵入者から の ト ラ フ ィ ッ ク 107
機密関係 ト ラ フ ィ ッ ク
Network Sensor を使用 し た ミ ラ ー リ ン グ
グループ分けの基準 61
ホ ス ト のグループ分け 66
脅威
特定 155
防御、 説明図 78
脅威の特定
説明図
か
回数に関する カ ラ ム 191
回避 153
外部 IP ア ド レ スか らのイ ン タ ーネ ッ ト 以外の ト ラ
フ ィ ッ ク 106
外部脅威から の防御戦略
概要 12
使用す る 場合 16
説明図
き
53
例 53
外部スキ ャ ン→境界スキ ャ ン を参照
カ テ ゴ リ 、 レ ポー ト テ ン プ レー ト 195
カ ラム
イ ベン ト 191
回数 191
時刻 191
タ ーゲ ッ ト と 発信元 191
監査機能 41
監視
攻撃への対応におけ る 役割 159
ホ ス ト シ ス テ ム ロ グ 41
99
33, 36
146
境界スキ ャ ン 31, 34, 37
許可 さ れたスキ ャ ンの攻撃パ タ ーン を使っ た無視
攻撃パ タ ーン 150
緊急対応プ ラ ン、 重要性 145
禁止する ア プ リ ケーシ ョ ン、 デス ク ト ッ プ防御ポ リ
シー 111
く
グルーピ ング モデル
サービ ス 65
ジオグ ラ フ ィ カル
責任範囲 67
説明図
61
61, 62, 63, 65
63
ト ポ ロ ジカル
ポ リ シー 62
け
継続的なセキ ュ リ テ ィ プ ラ ン、 重要性
SiteProtector Strategy Guide, Version 2.0 SP4
87
213
索引
権限の引き上げ 25, 31, 34, 37
現在のセキ ュ リ テ ィ 状態 168
こ
攻撃 147
False Positive 147
イ ン シデン ト 156
影響を受けに く いオペレーテ ィ ン グ シ ス テ
ム 151
関連す る ア ク テ ィ ビ テ ィ 152
危険度 95
既知の脆弱点を悪用 95
攻撃の危険度 94
誤報 147
自動ブ ロ ッ ク 151
重要性 151
情報収集 152
侵入の試み 153
脆弱ではない タ ーゲ ッ ト 151
定義 22
例外 156
攻撃者によ っ て悪用 さ れる こ と の多いサービ スで使
用 さ れるポー ト 106
攻撃の優先度の設定 166
異な る ソ フ ト ウ ェ ア バージ ョ ン を使っ たセ ンサー
のグルーピ ング 59
誤報 147, 156
コ マ ン ド ア ン ド コ ン ト ロール タ ス ク
セ ンサー 59
デス ク ト ッ プ防御 60
今後のセキ ュ リ テ ィ 状態 170
214
さ
サービ ス
グループ分けの基準 64, 65
サービ ス不能 153
サイ ト 、 複数
傾向の分析 173
作成、 レ ポー ト 188
Sensor Analysis タ ブ 189
さ ら に強力な防御モデル、 採用
115
し
シグネチ ャ
対応す る チ ェ ッ ク がない 83
フ ァ イ ア ウ ォール攻撃に限定 31
利用で き ない場合の一時的手段 83
時刻に関する カ ラ ム 191
システム識別チ ェ ッ ク 59
集約ポ イ ン ト 36
集約ポ イ ン ト 、 定義 23
重要なサーバーに対する外部 ト ラ フ ィ ッ ク 106
重要なホス ト 41, 47, 180
DMZ 内 35
イ ン ト ラ ネ ッ ト 内 31, 33, 34, 36, 37, 46
影響を与え る 脆弱点 131
ピー ク 時の回避 181
手動によ る ブ ロ ッ ク 159
証拠、 種類 162
使用する最良の戦略 12–13
情報収集 152
索引
情報 リ ソ ース、 セキ ュ リ テ ィ
CERT Coordination Center 83
CVE 84
SANS Institute 83
X-Force に よ る 脅威 と ア ド バ イ ザ リ のサービ
ス 80
メ ー リ ン グ リ ス ト 、 ISS 79
侵入検知
定義 22
侵入の試み 153
信頼 さ れたホス ト 30
す
スキ ャ ン
ネ ッ ト ワ ー ク ス キ ャ ンの種類
ホ ス ト の追加 115
スキ ャ ンのガ イ ド ラ イ ン
外部脅威か ら の防御戦略 31
内部脅威か ら の防御戦略 34
マキシマ ム防御戦略 37
ミ ニマ ム防御戦略 29
スキ ャ ン頻度
イ ベン ト 相関の精度 114
増やす場合 114
スキ ャ ン ポ リ シー 26
27–28
SiteProtector Strategy Guide, Version 2.0 SP4
せ
脆弱点
悪用 さ れた場合の最悪シナ リ オ 131
悪用す る 高度なハ ッ カー 131
解消 132
カ テ ゴ リ 128
監視 133
監視に最適な ビ ュ ー 130
緩和 132–133
許可 さ れた ス キ ャ ンに よ っ て生成 さ れたデー
タ 150
情報 129
脆弱ではない攻撃 タ ーゲ ッ ト 151
ただちに解消で き ない 132
調査 138
部外者に よ る 悪用 131
脆弱点に関する ア ク シ ョ ン プ ラ ン 135
脆弱点の修正 132–133
脆弱点の評価 と 解消のプ ロ セス、 説明図 127
脆弱点評価スキ ャ ン
大規模な ス キ ャ ンの管理 182
プ ラ ンの作成 181
脆弱点、 優先度設定 139
製造元
Bulletin 番号 79
固有の脆弱点 128
提供す る パ ッ チ 133
問い合わせ 80
セキ ュ リ テ ィ イ ン シデン ト
優先度設定 167
セキ ュ リ テ ィ 状態
現在 168
今後 170
セ ンサー ポ リ シーの検索 81
215
索引
そ
通知プ ロ セス、 X-Press Update
組織の評価 9
外部脅威か ら の防御戦略
内部脅威か ら の防御戦略
マキシマ ム防御戦略 18
ミ ニマ ム防御戦略 15
て
16
17
た
タ ーゲ ッ ト と 発信元に関する カ ラ ム
191
ち
チェ ッ ク
重要な通信ま たはサービ ス を中断 さ せ る チ ェ ッ
ク 30
対応す る シ グ ネチ ャ がない 83
利用で き ない場合の一時的手段 83
調査
ネ ッ ト ワ ー ク 152
標的の絞 り 込み 152
調査→情報収集を参照
調査、 脆弱点 138
チ ョ ー ク ポ イ ン ト →集約ポ イ ン ト を参照
つ
通信、 攻撃への対応
216
159
119
デ ィ ス カバ リ スキ ャ ン 178
デー タ のエ ク スポー ト
Sensor Analysis タ ブ 189, 190
テ ク ニ カル サポー ト 、 Internet Security
Systems xiv
デス ク ト ッ プ防御
VPN 内 45, 47
テ ス ト 環境、 SiteProtector 配置のガ イ ド ラ イ
ン 74
デ フ ォル ト ポ リ シー 90
調整 91
テ ン プ レー ト 、 レ ポー ト 197
と
統合テ ス ト 74
動作モー ド 、 Proventia G 24
ド メ イ ン管理者権限、 スキ ャ ンにおける役
割 180
ド メ イ ン コ ン ト ロー ラ ホス ト 、 スキ ャ ンにおける
役割 182
索引
な
ふ
内部脅威から の防御戦略
概要 12
使用す る 場合 17
フ ァ イ アウ ォ ール
ア ク セ ス防止のためのルール調整 127, 133
ス キ ャ ンのブ ロ ッ ク 180
外側にあ る ルー タ ーの ス キ ャ ン 29
定義 23
デー タ のグループ化 63
デス ク ト ッ プ防御に使われ る ルール セ ッ
ト 106
ルール 106
ロ グ イ ンの失敗 154
フ ィ ル タ 190
Sensor Analysis タ ブ 190
封 じ 込め、 攻撃への対応 159
フ ォ ン ホーム 60
複数のサイ ト
傾向の分析 173
不適切な設定、 脆弱点の原因 128
不明なア プ リ ケーシ ョ ン、 デス ク ト ッ プ防御ポ リ
シー 112
ブ ロ ッ ク 151, 159
分析
複数サ イ ト 間の傾向 173
説明図
54
は
配置プ ラ ン 9
バ ッ ク ド ア 129
パ ッ シ ブ モニ タ リ ング 24
パッチ
脆弱点修正におけ る 役割 133, 136
セキ ュ リ テ ィ ア ド バ イ ザ リ 80
バ ッ フ ァ オーバー フ ロー 129
ひ
日替わ り の AlertCon 80
必要条件、 証拠収集 163
非武装地帯→ DMZ を参照
ビ ュー
Sensor Analysis タ ブ 190
Site Manager Console のベース ラ イ ンに最適な
ビ ュ ー 75
発生 し う る 攻撃に関す る 情報の収集に最
適 148
表記規則、 印刷上
コ マ ン ド xviii
手順 xvii
本書 xvii
標的を絞っ た侵入の試み 153
SiteProtector Strategy Guide, Version 2.0 SP4
へ
ベース ラ イ ン、 シ ステム 43
ベース ラ イ ン タ ス ク 75
ベス ト プ ラ ク テ ィ ス、 セキ ュ リ テ ィ
xi
217
索引
ほ
目的
防御戦略
移行経路 13
概要 12
防御戦略の開始ポ イ ン ト 12
防御のア ッ プデー ト 117
防御の拡張 115
継続的プ ラ ンの一部 85
ネ ッ ト ワ ー ク サ イ ズ拡大のため 85
防御レ ベル
定義 104
ホス ト
攻撃を受けに く い 151
ス キ ャ ン中の可用性 179
ス キ ャ ンに含まれ る 数の制限 182
ホス ト の追加、 スキ ャ ン 115
ポ リ シー
サブ ス ク リ プシ ョ ン グループ 60
準拠 43
ス キ ャ ン間での維持 179
ス キ ャ ン ポ リ シー 26
チ ェ ッ ク と シグ ネチ ャ の変更 93
デフ ォ ル ト ス キ ャ ン ポ リ シーの レベル引 き 下
げ 182
デフ ォ ル ト と カ ス タ ム 119
デフ ォ ル ト ポ リ シーの調整 91–92
マキシマム防御戦略
概要 12
使用す る 場合 18
55
マニ ュ アル
Strategy Guide
対象読者
218
み
右ク リ ッ ク メ ニ ュ ーの質問 148, 149
ガ イ ド 付き質問→右ク リ ッ ク メ ニ ュ ーの質問を参
照
ミ ニ マム防御戦略
概要 12
使用す る 場合 15
説明図
52
ゆ
優先度設定
脆弱点 139
優先度の設定、 攻撃 166
優先度の設定、 セキ ュ リ テ ィ イ ン シデン ト
ユニ ッ ト テ ス ト 74
167
よ
ま
説明図
xi
xi
要求する ア プ リ ケーシ ョ ン、 デス ク ト ッ プ防御ポ リ
シー 111
予備調査→情報収集を参照
索引
り
リ モー ト ア ク セス、 SiteProtector のテ ス ト
る
ルー タ ー スキ ャ ン
29, 32, 34, 37
れ
例外
86, 133, 156
132
False Positive と 誤報の分類
脆弱点の分類 132
レ スポン ス
使用の理由 94
タ イ プ 95
定義 22
デス ク ト ッ プ防御 98
デフ ォ ル ト 95
ユーザー定義 94
156
SiteProtector Strategy Guide, Version 2.0 SP4
74
レ ポー ト 187
Attack Incidents 199
Attack Status Summary 199
Attack Trend 166, 199
Attacks by Group 199
Host Assessment Detail 198
Host Assessment Summary 198
Operating System Summary 197
Operating System Summary by Host 198
Protection Report 199
Security Incidents 167
Service Summary 198
Service Summary by Host 198
Top Attacks 199
Top Sources of Attack 199
Top Targets of Attack 199
Top Virus Activity 200
Top Vulnerabilities 197
Virus Activity by Group 200
Virus Activity by Host 200
Virus Activity Trend 199
Vulnerabilities by Group 197
Vulnerabilities by Host 197
Vulnerability by Host 139
Vulnerability by OS 197
Vulnerability Counts 197
Vulnerability Counts by Host 198
Vulnerability Detail by Host 198
Vulnerability Names by Host 198
Vulnerability Remedies by Host 198
Vulnerability Summary by Host 198
Vulnerability Trend 199
Desktop Protection 199
Enterprise Dashboard 188
Reporting タ ブ 188
Sensor Analysis タ ブ 188
Sensor Analysis タ ブの ビ ュ ー 190
作成 188
レ ポー ト 作成 187
レ ポー ト テ ン プ レー ト 197
カ テ ゴ リ 195
レ ポー ト の作成 201
レ ポー ト の表示 202
219
索引
ろ
ロギング 41
サーバー パフ ォーマ ン スへの影響
証拠収集 162
証拠 ロ グ 42
パケ ッ ト ロ グ 42
ログオ ンの試み 153
220
41
Internet Security Systems, Inc. Software License Agreement
THIS SOFTWARE PRODUCT IS PROVIDED IN OBJECT CODE AND IS LICENSED, NOT SOLD. BY INSTALLING,
ACTIVATING, COPYING OR OTHERWISE USING THIS SOFTWARE PRODUCT, YOU AGREE TO ALL OF THE PROVISIONS OF THIS SOFTWARE LICENSE AGREEMENT (“LICENSE”). IF YOU ARE NOT WILLING TO BE BOUND BY
THIS LICENSE, RETURN ALL COPIES OF THE SOFTWARE PRODUCT AND LICENSE KEYS TO ISS WITHIN FIFTEEN (15) DAYS OF RECEIPT FOR A FULL REFUND OF ANY PAID LICENSE FEE. IF THE SOFTWARE PRODUCT
WAS OBTAINED BY DOWNLOAD, YOU MAY CERTIFY DESTRUCTION OF ALL COPIES AND LICENSE KEYS IN
LIEU OF RETURN.
1. License - Upon payment of the applicable fees, Internet Security Systems, Inc. (“ISS”) grants to you as the only end user (“Licensee”) a
nonexclusive and nontransferable, limited license for the accompanying ISS software product and the related documentation (“Software”)
and the associated license key(s) for use only on the specific network configuration, for the number and type of devices, and for the time
period (“Term”) that are specified in ISS’ quotation and Licensee’s purchase order, as accepted by ISS. ISS limits use of Software based
upon the number of nodes, users and/or the number and type of devices upon which it may be installed, used, gather data from, or report
on, depending upon the specific Software licensed. A device includes any network addressable device connected to Licensee’s network,
including remotely, including but not limited to personal computers, workstations, servers, routers, hubs and printers. A device may also
include ISS hardware delivered with pre-installed Software and the license associated with such shall be a non-exclusive, nontransferable, limited license to use such pre-installed Software only in conjunction with the ISS hardware with which it is originally supplied and
only during the usable life of such hardware. Except as provided in the immediately preceding sentence, Licensee may reproduce, install
and use the Software on multiple devices, provided that the total number and type are authorized by ISS. Licensee acknowledges that
the license key provided by ISS may allow Licensee to reproduce, install and use the Software on devices that could exceed the number
of devices licensed hereunder. Licensee shall implement appropriate safeguards and controls to prevent loss or disclosure of the license
key and unauthorized or unlicensed use of the Software. Licensee may make a reasonable number of backup copies of the Software and
the associated license key solely for archival and disaster recovery purposes. In connection with certain Software products, ISS licenses
security content on a subscription basis for a Term and provides Licensee with a license key for each such subscription. Content subscriptions are licensed pursuant to this License based upon the number of protected nodes or number of users. Security content is regularly updated and includes, but is not limited to, Internet content (URLs) and spam signatures that ISS classifies, security algorithms,
checks, decodes, and ISS’ related analysis of such information, all of which ISS regards as its confidential information and intellectual
property. Security content may only be used in conjunction with the applicable Software in accordance with this License. The use or reuse of such content for commercial purposes is prohibited. Licensee’s access to the security content is through an Internet update using
the Software. In addition, unknown URLs may be automatically forwarded to ISS through the Software, analyzed, classified, entered in to
ISS’ URL database and provided to Licensee as security content updates at regular intervals. ISS’ URL database is located at an ISS
facility or as a mirrored version on Licensee’s premises. Any access by Licensee to the URL database that is not in conformance with this
License is prohibited. Upon expiration of the security content subscription Term, unless Licensee renews such content subscription, Licensee shall implement appropriate system configuration modifications to terminate its use of the content subscription. Upon expiration of
the license Term, Licensee shall cease using the Software and certify return or destruction of it upon request.
2. Migration Utilities – For Software ISS markets or sells as a Migration Utility, the following shall apply. Provided Licensee holds a valid license to the ISS Software
to which the Migration Utility relates (the “Original Software”), ISS grants to Licensee as the only end user a nonexclusive and nontransferable, limited license to
the Migration Utility and the related documentation (“Migration Utility”) for use only in connection with Licensee’s migration of the Original Software to the
replacement software, as recommended by ISS in the related documentation. The Term of this License is for as long as Licensee holds a valid license to the
applicable Original Software. Licensee may reproduce, install and use the Migration Utility on multiple devices in connection with its migration from the Original
Software to the replacement software. Licensee shall implement appropriate safeguards and controls to prevent unlicensed use of the Migration Utility. Licensee
may make a reasonable number of backup copies of the Migration Utility solely for archival and disaster recovery purposes.
3. Third-party Products - Use of third party product(s) supplied hereunder, if any, will be subject solely to the manufacturer’s terms and conditions that will be provided to Licensee upon delivery. ISS will pass any third party product warranties through to Licensee to the extent authorized. If ISS supplies Licensee with
Crystal Decisions Runtime Software, then the following additional terms apply: Licensee agrees not to alter, disassemble, decompile, translate, adapt or
reverse-engineer the Runtime Software or the report file (.RPT) format, or to use, distribute or integrate the Runtime Software with any general-purpose report
writing, data analysis or report delivery product or any other product that performs the same of similar functions as Crystal Decisions’ product offerings; Licensee
agrees not to use the Software to create for distribution a product that converts the report file (.RPT) format to an alternative report file format used by any general-purpose report writing, data analysis or report delivery product that is not the property of Crystal Decisions; Licensee agrees not to use the Runtime Software on a rental or timesharing basis or to operate a service bureau facility for the benefit of third–parties unless Licensee first acquires an Application Service
Provider License from Crystal Decisions; Licensee may not use the Software or Runtime Software by itself or as part of a system to regularly deliver, distribute
or share Reports outside of the Runtime Software environment: (a) to more than fifty (50) end users directly, or (b) to a location that is accessible to more than
50 end users without obtaining an additional license from Crystal Decisions; CRYSTAL DECISIONS AND ITS SUPPLIERS DISCLAIM ALL WARRANTIES,
EXPRESS, OR IMPLIED, INCLUDING WITHOUT LIMITATION THE WARRANTIES OF MERCHANTABILITY, FIRNESS FOR A PARTICULAR PURPOSE,
AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. CRYSTAL DECISIONS AND ITS SUPPLIERS SHALL HAVE NO LIABILITY WHATSOEVER
UNDER THIS AGREEMENT OR IN CONNECTION WITH THE SOFTWARE. In this section 3 “Software” means the Crystal Reports software and associated
documentation supplied by ISS and any updates, additional modules, or additional software provided by Crystal Decisions in connection therewith; it includes
Crystal Decisions’ Design Tools, Report Application Server and Runtime Software, but does not include any promotional software of other software products
provided in the same package, which shall be governed by the online software license agreements included with such promotional software or software product.
4. Beta License – If ISS is providing Licensee with the Software, security content and related documentation as a part of an alpha or beta test, the following terms
of this Section 4 additionally apply and supercede any conflicting provisions herein or any other license agreement accompanying, contained or embedded in
the subject Beta Software or any associated documentation. ISS grants to Licensee a nonexclusive, nontransferable, limited license to use the ISS alpha/prototype software program, security content, if any, and any related documentation furnished by ISS (“Beta Software”) for Licensee’s evaluation and comment (the
“Beta License”) during the Test Period. ISS’ standard test cycle, which may be extended at ISS’ discretion, extends for sixty (60) days, commencing on the
date of delivery of the Beta Software (the “Test Period”). Upon expiration of the Test Period or termination of the License, Licensee shall, within thirty (30) days,
return to ISS or destroy all copies of the Beta Software, and shall furnish ISS written confirmation of such return or destruction upon request. Licensee will provide ISS information reasonably requested by ISS regarding Licensee’s experiences with the installation and operation of the Beta Software. Licensee agrees
that ISS shall have the right to use, in any manner and for any purpose, any information gained as a result of Licensee’s use and evaluation of the Beta Software. Such information shall include but not be limited to changes, modifications and corrections to the Beta Software. Licensee grants to ISS a perpetual, royalty-free, non-exclusive, transferable, sublicensable right and license to use, copy, make derivative works of and distribute any report, test result, suggestion or
other item resulting from Licensee’s evaluation of its installation and operation of the Beta Software. If Licensee is ever held or deemed to be the owner of any
copyright rights in the Beta Software or any changes, modifications or corrections to the Beta Software, then Licensee hereby irrevocably assigns to ISS all such
rights, title and interest and agrees to execute all documents necessary to implement and confirm the letter and intent of this Section. Licensee acknowledges
and agrees that the Beta Software (including its existence, nature and specific features) constitute Confidential Information as defined in Section 18. Licensee
further agrees to treat as Confidential Information all feedback, reports, test results, suggestions, and other items resulting from Licensee’s evaluation and testing of the Beta Software as contemplated in this Agreement. With regard to the Beta Software, ISS has no obligation to provide support, maintenance,
upgrades, modifications, or new releases. However, ISS agrees to use its reasonable efforts to correct errors in the Beta Software and related documentation
within a reasonable time, and will provide Licensee with any corrections it makes available to other evaluation participants. The documentation relating to the
Beta Software may be in draft form and will, in many cases, be incomplete. Owing to the experimental nature of the Beta Software, Licensee is advised not to
rely exclusively on the Beta Software for any reason. LICENSEE AGREES THAT THE BETA SOFTWARE AND RELATED DOCUMENTATION ARE BEING
DELIVERED “AS IS” FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION
ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. LICENSEE ACKNOWLEDGES AND AGREES THAT THE BETA SOFTWARE MAY CONTAIN DEFECTS, PRODUCE ERRONEOUS AND UNINTENDED RESULTS AND MAY
AFFECT DATA NETWORK SERVICES AND OTHER MATERIALS OF LICENSEE. LICENSEE’S USE OF THE BETA SOFTWARE IS AT THE SOLE RISK
OF LICENSEE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR DAMAGES, DIRECT OR INDIRECT, OF ANY
NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEE’S SOLE AND EXCLUSIVE REMEDY SHALL BE TO TERMINATE THE BETA SOFTWARE LICENSE BY WRITTEN NOTICE TO ISS.
5. Evaluation License - If ISS is providing Licensee with the Software, security content and related documentation on an evaluation trial basis at no cost, such
license Term is 30 days from installation, unless a longer period is agreed to in writing by ISS. ISS recommends using Software and security content for evaluation in a non-production, test environment. The following terms of this Section 5 additionally apply and supercede any conflicting provisions herein. Licensee
agrees to remove or disable the Software and security content from the authorized platform and return the Software, security content and documentation to ISS
upon expiration of the evaluation Term unless otherwise agreed by the parties in writing. ISS has no obligation to provide support, maintenance, upgrades, modifications, or new releases to the Software or security content under evaluation. LICENSEE AGREES THAT THE EVALUATION SOFTWARE, SECURITY
CONTENT AND RELATED DOCUMENTATION ARE BEING DELIVERED “AS IS” FOR TEST AND EVALUATION PURPOSES ONLY WITHOUT WARRANTIES OF ANY KIND, INCLUDING WITHOUT LIMITATION ANY IMPLIED WARRANTY OF NONINFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A
PARTICULAR PURPOSE. IN NO EVENT WILL ISS BE LIABLE TO LICENSEE OR ANY OTHER PERSON FOR DAMAGES, DIRECT OR INDIRECT, OF
ANY NATURE, OR EXPENSES INCURRED BY LICENSEE. LICENSEE’S SOLE AND EXCLUSIVE REMEDY SHALL BE TO TERMINATE THE EVALUATION LICENSE BY WRITTEN NOTICE TO ISS.
6. Covenants - ISS reserves all intellectual property rights in the Software, security content and Beta Software. Licensee agrees: (i) the Software, security content
or Beta Software is owned by ISS and/or its licensors, is a valuable trade secret of ISS, and is protected by copyright laws and international treaty provisions; (ii)
to take all reasonable precautions to protect the Software, security content or Beta Software from unauthorized access, disclosure, copying or use; (iii) not to
modify, adapt, translate, reverse engineer, decompile, disassemble, or otherwise attempt to discover the source code of the Software, security content or Beta
Software; (iv) not to use ISS trademarks; (v) to reproduce all of ISS’ and its licensors’ copyright notices on any copies of the Software, security content or Beta
Software; and (vi) not to transfer, lease, assign, sublicense, or distribute the Software, security content or Beta Software or make it available for time-sharing,
service bureau, managed services offering, or on-line use.
7. Support and Maintenance – Depending upon what maintenance programs Licensee has purchased, ISS will provide maintenance, during the period for which
Licensee has paid the applicable maintenance fees, in accordance with its prevailing Maintenance and Support Policy that is available at http://documents.iss.net/maintenance_policy.pdf. Any supplemental Software code or related materials that ISS provides to Licensee as part of any support and maintenance service are to be considered part of the Software and are subject to the terms and conditions of this License, unless otherwise specified.
8. Limited Warranty - The commencement date of this limited warranty is the date on which ISS furnishes to Licensee the license key for the Software. For a period
of ninety (90) days after the commencement date or for the Term (whichever is less), ISS warrants that the Software or security content will conform to material
operational specifications described in its then current documentation. However, this limited warranty shall not apply unless (i) the Software or security content
is installed, implemented, and operated in accordance with all written instructions and documentation supplied by ISS, (ii) Licensee notifies ISS in writing of any
nonconformity within the warranty period, and (iii) Licensee has promptly and properly installed all corrections, new versions, and updates made available by
ISS to Licensee. Furthermore, this limited warranty shall not apply to nonconformities arising from any of the following: (i) misuse of the Software or security content, (ii) modification of the Software or security content, (iii) failure by Licensee to utilize compatible computer and networking hardware and software, or (iv)
interaction with software or firmware not provided by ISS. If Licensee timely notifies ISS in writing of any such nonconformity, then ISS shall repair or replace the
Software or security content or, if ISS determines that repair or replacement is impractical, ISS may terminate the applicable licenses and refund the applicable
license fees, as the sole and exclusive remedies of Licensee for such nonconformity. THIS WARRANTY GIVES LICENSEE SPECIFIC LEGAL RIGHTS, AND
LICENSEE MAY ALSO HAVE OTHER RIGHTS THAT VARY FROM JURISDICTION TO JURISDICTION. ISS DOES NOT WARRANT THAT THE SOFTWARE OR THE SECURITY CONTENT WILL MEET LICENSEE’S REQUIREMENTS, THAT THE OPERATION OF THE SOFTWARE OR SECURITY CONTENT WILL BE UNINTERRUPTED OR ERROR-FREE, OR THAT ALL SOFTWARE OR SECURITY CONTENT ERRORS WILL BE CORRECTED.
LICENSEE UNDERSTANDS AND AGREES THAT THE SOFTWARE AND THE SECURITY CONTENT ARE NO GUARANTEE AGAINST UNSOLICITED EMAILS, UNDESIRABLE INTERNET CONTENT, INTRUSIONS, VIRUSES, TROJAN HORSES, WORMS, TIME BOMBS, CANCELBOTS OR OTHER SIMILAR HARMFUL OR DELETERIOUS PROGRAMMING ROUTINES AFFECTING LICENSEE’S NETWORK, OR THAT ALL SECURITY THREATS AND VULNERABILITIES, UNSOLICITED E-MAILS OR UNDESIRABLE INTERNET CONTENT WILL BE DETECTED OR THAT THE PERFORMANCE OF THE
SOFTWARE AND SECURITY CONTENT WILL RENDER LICENSEE’S SYSTEMS INVULNERABLE TO SECURITY BREACHES. THE REMEDIES SET
OUT IN THIS SECTION 8 ARE THE SOLE AND EXCLUSIVE REMEDIES FOR BREACH OF THIS LIMITED WARRANTY.
9. Warranty Disclaimer - EXCEPT FOR THE LIMITED WARRANTY PROVIDED ABOVE, THE SOFTWARE AND SECURITY CONTENT ARE EACH PROVIDED “AS IS” AND ISS HEREBY DISCLAIMS ALL WARRANTIES, BOTH EXPRESS AND IMPLIED, INCLUDING IMPLIED WARRANTIES RESPECTING
MERCHANTABILITY, TITLE, NONINFRINGEMENT, AND FITNESS FOR A PARTICULAR PURPOSE. LICENSEE EXPRESSLY ACKNOWLEDGES THAT
NO REPRESENTATIONS OTHER THAN THOSE CONTAINED IN THIS LICENSE HAVE BEEN MADE REGARDING THE GOODS OR SERVICES TO BE
PROVIDED HEREUNDER, AND THAT LICENSEE HAS NOT RELIED ON ANY REPRESENTATION NOT EXPRESSLY SET OUT IN THIS LICENSE.
10. Proprietary Rights - ISS represents and warrants that ISS has the authority to license the rights to the Software and security content that are granted herein. ISS
shall defend and indemnify Licensee from any final award of costs and damages against Licensee for any actions based on infringement of any U.S. copyright,
trade secret, or patent as a result of the use or distribution of a current, unmodified version of the Software and security content, but only if ISS is promptly notified in writing of any such suit or claim, and only if Licensee permits ISS to defend, compromise, or settle same, and only if Licensee provides all available information and reasonable assistance. The foregoing is the exclusive remedy of Licensee and states the entire liability of ISS with respect to claims of infringement
or misappropriation relating to the Software and security content.
11. Limitation of Liability - ISS’ ENTIRE LIABILITY FOR MONETARY DAMAGES ARISING OUT OF THIS LICENSE SHALL BE LIMITED TO THE AMOUNT OF
THE LICENSE FEES ACTUALLY PAID BY LICENSEE UNDER THIS LICENSE, PRORATED OVER A THREE-YEAR TERM FROM THE DATE LICENSEE
RECEIVED THE SOFTWARE. OR SECURITY CONTENT, AS APPLICABLE, IN NO EVENT SHALL ISS BE LIABLE TO LICENSEE UNDER ANY THEORY
INCLUDING CONTRACT AND TORT (INCLUDING NEGLIGENCE AND STRICT PRODUCTS LIABILITY) FOR ANY SPECIAL, PUNITIVE, INDIRECT, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, COSTS OF PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES,
DAMAGES FOR LOST PROFITS, LOSS OF DATA, LOSS OF USE, OR COMPUTER HARDWARE MALFUNCTION, EVEN IF ISS HAS BEEN ADVISED OF
THE POSSIBILITY OF SUCH DAMAGES.
12. Termination - Licensee may terminate this License at any time by notifying ISS in writing. All rights granted under this License will terminate immediately, without
prior written notice from ISS, at the end of the term of the License, if not perpetual. If Licensee fails to comply with any provisions of this License, ISS may immediately terminate this License if such default has not been cured within ten (10) days following written notice of default to Licensee. Upon termination or expiration of a license for Software, Licensee shall cease all use of such Software, including Software pre-installed on ISS hardware, and destroy all copies of the
Software and associated documentation. Termination of this License shall not relieve Licensee of its obligation to pay all fees incurred prior to such termination
and shall not limit either party from pursuing any other remedies available to it.
13. General Provisions - This License, together with the identification of the Software and/or security content, pricing and payment terms stated in the applicable ISS
quotation and Licensee purchase order (if applicable) as accepted by ISS, constitute the entire agreement between the parties respecting its subject matter.
Standard and other additional terms or conditions contained in any purchase order or similar document are hereby expressly rejected and shall have no force or
effect. ISS Software and security content are generally delivered to Customer by supplying Customer with license key data. If Customer has not already downloaded the Software, security content and documentation, then it is available for download at http://www.iss.net/download/. All ISS hardware with pre-installed
Software and any other products not delivered by download are delivered f.o.b. origin. This License will be governed by the substantive laws of the State of
Georgia, USA, excluding the application of its conflicts of law rules. This License will not be governed by the United Nations Convention on Contracts for the
International Sale of Goods, the application of which is expressly excluded. If any part of this License is found void or unenforceable, it will not affect the validity
of the balance of the License, which shall remain valid and enforceable according to its terms. This License may only be modified in writing signed by an authorized officer of ISS.
14. Notice to United States Government End Users - Licensee acknowledges that any Software and security content furnished under this License is commercial
computer software and any documentation is commercial technical data developed at private expense and is provided with RESTRICTED RIGHTS. Any use,
modification, reproduction, display, release, duplication or disclosure of this commercial computer software by the United States Government or its agencies is
subject to the terms, conditions and restrictions of this License in accordance with the United States Federal Acquisition Regulations at 48 C.F.R. Section
12.212 and DFAR Subsection 227.7202-3 and Clause 252.227-7015 or applicable subsequent regulations. Contractor/manufacturer is Internet Security Systems, Inc., 6303 Barfield Road, Atlanta, GA 30328, USA.
15. Export and Import Controls; Use Restrictions - Licensee will not transfer, export, or reexport the Software, security content, any related technology, or any direct
product of either except in full compliance with the export controls administered by the United States and other countries and any applicable import and use
restrictions. Licensee agrees that it will not export or reexport such items to anyone on the U.S. Treasury Department’s list of Specially Designated Nationals or
the U.S. Commerce Department’s Denied Persons List or Entity List or such additional lists as may be issued by the U.S. Government from time to time, or to
any country to which the United States has embargoed the export of goods (currently Cuba, Iran, Iraq, Libya, North Korea, Sudan and Syria) or for use with
chemical or biological weapons, sensitive nuclear end-uses, or missiles. Licensee represents and warrants that it is not located in, under control of, or a national
or resident of any such country or on any such list. Many ISS software products include encryption and export outside of the United States or Canada is strictly
controlled by U.S. laws and regulations. ISS makes its current export classification information available at http://www.iss.net/export. Please contact ISS’ Sourcing and Fulfillment for export questions relating to the Software or security content ([email protected]). Licensee understands that the foregoing obligations are
U.S. legal requirements and agrees that they shall survive any term or termination of this License.
16. Authority - Because the Software is designed to test or monitor the security of computer network systems and may disclose or create problems in the operation
of the systems tested, Licensee and the persons acting for Licensee represent and warrant that: (a) they are fully authorized by the Licensee and the owners of
the computer network for which the Software is licensed to enter into this License and to obtain and operate the Software in order to test and monitor that com-
puter network; (b) the Licensee and the owners of that computer network understand and accept the risks involved; and (c) the Licensee shall procure and use
the Software in accordance with all applicable laws, regulations and rules.
17. Disclaimers - Licensee acknowledges that some of the Software and security content is designed to test the security of computer networks and may disclose or
create problems in the operation of the systems tested. Licensee further acknowledges that neither the Software nor security content is fault tolerant or designed
or intended for use in hazardous environments requiring fail-safe operation, including, but not limited to, aircraft navigation, air traffic control systems, weapon
systems, life-support systems, nuclear facilities, or any other applications in which the failure of the Software and security content could lead to death or personal injury, or severe physical or property damage. ISS disclaims any implied warranty of fitness for High Risk Use. Licensee accepts the risk associated with
the foregoing disclaimers and hereby waives all rights, remedies, and causes of action against ISS and releases ISS from all liabilities arising therefrom.
18. Confidentiality - “Confidential Information” means all information proprietary to a party or its suppliers that is marked as confidential. Each party acknowledges
that during the term of this Agreement, it will be exposed to Confidential Information of the other party. The obligations of the party (“Receiving Party”) which
receives Confidential Information of the other party (“Disclosing Party”) with respect to any particular portion of the Disclosing Party’s Confidential Information
shall not attach or shall terminate when any of the following occurs: (i) it was in the public domain or generally available to the public at the time of disclosure to
the Receiving Party, (ii) it entered the public domain or became generally available to the public through no fault of the Receiving Party subsequent to the time
of disclosure to the Receiving Party, (iii) it was or is furnished to the Receiving Party by a third parting having the right to furnish it with no obligation of confidentiality to the Disclosing Party, or (iv) it was independently developed by the Receiving Party by individuals not having access to the Confidential Information of
the Disclosing Party. Each party acknowledges that the use or disclosure of Confidential Information of the Disclosing Party in violation of this License could
severely and irreparably damage the economic interests of the Disclosing Party. The Receiving Party agrees not to disclose or use any Confidential Information
of the Disclosing Party in violation of this License and to use Confidential Information of the Disclosing Party solely for the purposes of this License. Upon
demand by the Disclosing Party and, in any event, upon expiration or termination of this License, the Receiving Party shall return to the Disclosing Party all copies of the Disclosing Party’s Confidential Information in the Receiving Party’s possession or control and destroy all derivatives and other vestiges of the Disclosing Party’s Confidential Information obtained or created by the Disclosing Party. All Confidential Information of the Disclosing Party shall remain the exclusive
property of the Disclosing Party.
19. Compliance - From time to time, ISS may request Licensee to provide a certification that the Software and security content is being used in accordance with the
terms of this License. If so requested, Licensee shall verify its compliance and deliver its certification within forty-five (45) days of the request. The certification
shall state Licensee’s compliance or non-compliance, including the extent of any non-compliance. ISS may also, at any time, upon thirty (30) days prior written
notice, at its own expense appoint a nationally recognized software use auditor, to whom Licensee has no reasonable objection, to audit and examine use and
records at Licensee offices during normal business hours, solely for the purpose of confirming that Licensee’s use of the Software and security content is in
compliance with the terms of this License. ISS will use commercially reasonable efforts to have such audit conducted in a manner such that it will not unreasonably interfere with the normal business operations of Licensee. If such audit should reveal that use of the Software or security content has been expanded
beyond the scope of use and/or the number of Authorized Devices or Licensee certifies such non-compliance, ISS shall have the right to charge Licensee the
applicable current list prices required to bring Licensee in compliance with its obligations hereunder with respect to its current use of the Software and security
content. In addition to the foregoing, ISS may pursue any other rights and remedies it may have at law, in equity or under this License.
20. Data Protection - The data needed to process this transaction will be stored by ISS and may be forwarded to companies affiliated with ISS and possibly to Licensee’s vendor within the framework of processing Licensee’s order. All personal data will be treated confidentially.
2004 年 3 月 16 日改訂