2009/03/30
日常語ISO27001 with セキュリティ新事情 ~4.2.1g)
No.210 09.03.30 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ このメルマガでは、セキュリティソフトについて「かなり以前から、全て の不正プログラムは検出出来なくなってきていて、ソフト間で検出力にも かなりの差がある」という事を述べてきましたが、その「検出力が最低」の 部類に属するソフトが、何と二年連続で売上1位になったそうです。 調べればわかる事ですが、一般の人がセキュリティソフトの検出力を吟味 する事は結構難しい様です。「売れているんだから大丈夫だろう」という 判断を、とても多くの人が判断してしまっているのですね。日本人は特に、 音楽でも映画でもそう言う判断をする傾向が強いですから仕方がないのかも しれません。 ファッションならば多数の人が感じる事が正しくなりますから、それで 構わないのですが、セキュリティはその様なわけには行きません。 再度念を押しますが、安さをウリに販売数を誇っているあのセキュリティ ソフトは、「無料」のセキュリティソフトと違って不正プログラム検出力が 足りません。安いのが良いなら、あの無料のセキュリティソフトを使いまし ょう。 では、210号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 先々週は「中小企業の情報セキュリティ対策ガイドライン」を発表して いたIPAですが、先週は『情報セキュリティ10大脅威』を発表してい ました。(http://www.ipa.go.jp/security/vuln/10threats2009.html) それによると、一位は『DNSキャッシュポイズニング』になっています。 昨年から、それなりに情報セキュリティニュースで取り上げられていました が、これほど大きな脅威になっている様には見受けられず、また一般ユーザ 側で何か対策が取れるわけではありませんので、今まで取り上げ漏れをして いました。しかし、攻撃数が非常に多いのですね。これは、紹介しておかな ければならないでしょう。 インターネット上では、コンピュータは「IPアドレス」でお互いを認識 します。ところが人間は、例えばkiriishi.netなどの様な「ドメイン名」で 相手を認識します。IPアドレスとドメイン名を辞書的に変換する仕組みが DNS(Domain Name System)です(36号、37号、129号参照)。 その辞書は、正式には各国のドメイン管理団体のサーバに置いてあります。 日本で言えば、例えばJPRSですね。しかし、辞書利用をする度にそこまで 問い合わせていたのでは反応に時間がかかってしまいますし、よく問い合わ せされるドメインなんてある程度限られています。ですから、インターネッ トユーザ企業やプロバイダのDNSサーバには仮辞書が置いておかれます。 それで、PCからの問い合わせに素早く対応しているわけです。この仮辞書 が、用語で言えば「DNSキャッシュ」です。 しかし、そのDNSの仕組みにセキュリティ上の抜け穴が見つかって、 悪者が仮辞書を書き換えてしまうことが出来るようになったのです。 書き換えてしまうことを用語で言うと、「ポイズニング(毒をもる)」ですね。 仮に辞書を書き換えられたらどうなるかというと、例えばwww.kiriishi.net にアクセスしているつもりの人が、全然違う人が設置したWebページを見せら れる事になってしまいます。Webブラウザの表示も、アクセスしたいページが 表示されますから、ページが急に変わっているのでもない限り気付くことは 困難です。ですから、DNSキャッシュポイズニングが出来てしまえば、手の 込んだフィッシングなんてする必要がなくなります。SQLインジェクション も、クロスサイトスクリプティングも必要ありません。成功すれば、メールも 横取りしてしまう事が出来ますね。その他、かなり大胆に好きなことが可能に なります。 困ったことに、この抜け穴はDNSのソフトウェアにあったのではなく、 DNSの仕組みそのものにありました。ですから、新しいDNSの仕組みを 作って世界中で運用を始めない限り、根本解決は出来ません。 この抜け穴について、発表されたのは08年の7月の事でした。対処療法的 な対策でしたが、対策と共に発表されました。ところが、その半月後に攻撃 方法も発表されてしまい、この「DNSキャッシュポイズニング」攻撃が 急増しました。筆者が思っていたよりも、相当に多い様です。 「DNSキャッシュポイズニング」で問題点は主に2つ。 1.この攻撃に対応する対策は、対処療法しかありません。ですから、現在も なお対策と攻撃のいたちごっこが続いています。 2.全く無体策のDNSサーバが2〜4割くらいあります。ローカルなプロ バイダや、半端な規模の企業では情報収集不足か予算不足で対応できていない 模様です。 根本解決は現在の技術では不可能ですが、一般のユーザが出来る事が2つ。 1.自分のPCが全く攻撃を受けていなくても、おかしなWebサイトに誘導 される事があり得るし、変なトコロにメールが届けられる可能性もあると いう事を知っておく。 2.DNSサーバを運用しているなら、発表されている対策は取っておく。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.1g) (管理目的と管理策) リスクに対応する為の『管理目的』や『管理策(手だて)』を決めて下さい。 管理目的や管理策は、ISO27001の付属書Aから選択する事を前提にして下さい。 もちろんその選択は、4.2.1e,f)で行ったリスクアセスメントやリスク対応策の 選択と合っていなければなりません。 付属書Aに書かれているのが、世の中の全ての管理目的・管理策ではありませ んから、付属書A書かれている以外の管理策を選択してもよいです。 【解説】付属書AはISO17799に基づいて書かれていますが、これはBS7799-1 :99からあまり内容が変わっていません。という事は、97〜98年の情報 技術に基づいて書かれているわけで、今の時代に完全に対応するのは不可 能です。 例えば、P2Pファイル共有ソフト、インスタントメッセンジャ、ブロード バンドでのインターネット、無線LAN、書き込み可能DVD、LANディスク、 L3スイッチ、VLAN、GビットLAN、VPN、広域イーサネット、高機能携帯電話 ....現在当たり前に利用している多くの技術が、存在しないか普及し ていませんでした。 ですから、ほとんどのケースでは付属書Aに書かれていない管理策を 実施することになるでしょう。忘れずに、適用宣言書に盛り込んで下さい。 【解説】JIS版では、「管理目的及び管理策は、付属書Aから選択すること」 としていますので、「付属書Aに書かれていない管理策を選択してはいけ ない」かの様な誤解が起きかねません。 もちろん、次の段落や”参考”欄にある様に、『出発点的に付属書Aを 読んで、それを取捨選択して、その後追加的な管理策を考える』という様 にして下さい。その点、旧JIPDEC基準ではうまく変換していました。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 1月末にWebサーバを移転しました。不具合を発見された方はご連絡下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
