ネットワークセキュリティは大丈夫?--よくある設計ミス10選

文:Brien Posey 翻訳校正:石橋啓一郎
2009-11-13 13:04:00
  • このエントリーをはてなブックマークに追加

4:ネットワークワークステーションを無視する

 1年ほど前、ラジオ番組のインタビューで、ネットワークセキュリティの最大の脅威は何だと思うかと誰かが聞いてきた。私の答えは、ワークステーションが最大の脅威だというものであり、今でもその考えは変わっていない。ネットワークサーバについては安全性の確保に大変な手間をかけるのに、ワークステーションについてはほとんど無視している組織をよく見かける。適切にロックされていない限り、ユーザー(あるいは悪意のあるウェブサイト)は、ワークステーションに承認されていないソフトウェアを密かにインストールできる。

5:必要なところでSSLの暗号化を使っていない

 誰もが、ユーザーがユーザー名とパスワード、あるいはクレジットカード番号などの秘密の情報を入力する場面では、必ずSSLの暗号化を必要とするということを知っている。しかし、自社のウェブポータルを安全にすることについては、多くの組織が誤った判断をしている。私がもっともよく見かけるセキュリティホールは、安全なページに安全でないコンテンツを掲載することだ。この場合、ユーザーは安全性を要するコンテンツにも、不要なコンテンツにも、表示をしたいかどうかを尋ねられることになる。これによって、ユーザーは安全性を必要としないコンテンツに対しても、表示する許可を与える癖をつけてしまう。

 それよりは目立たないが、より一般的な問題として、組織がウェブサイト内の重要なページに暗号化を施していないことが多いということが挙げられる。私の意見では、セキュリティ情報やセキュリティ上のアドバイス、連絡先情報を含むページはすべて、SSLで暗号化されるべきだ。これは、これらのページが特に秘密の情報を扱っているからというわけではない。ただ単に、暗号化のプロセスで使われている証明書によって、アクセスしているページが正規のものであり、フィッシング詐欺の一部として誰かが作成したページではないということをユーザーに対して保証できるからだ。

6:自己署名証明書を使っている

 一部の組織がSSLによる暗号化の重要性を完全に無視しているため、Microsoftは同社の製品の一部に自己署名証明書を同梱し始めた。こうしておけば、その組織が自前の証明書を取得していない場合でも、SSLによる暗号化を使用したウェブインターフェースを使うことができる。

 自己署名証明書は、ないよりはましだとは言え、信頼されている証明機関から発行された有効なSSL証明書の代わりにはならない。自己署名証明書はもともと、管理者がある製品の安全性を適切に確保するまでの間、そのセキュリティを向上させるために用意されたものだ。確かに、自己署名証明書でSSLによる暗号化を提供することはできる。しかし、ユーザーはブラウザから、その証明書は信頼できないとして警告を受ける(そして、そうあるべきだ)。さらに、一部のSSLを使ったウェブサービス(たとえばActiveSync)は、信頼の問題から、自己署名証明書を用いて利用することはできなくなっている。

7:過剰なセキュリティログ

 ネットワーク上で起こったイベントに関してログをとることは重要だが、やりすぎてログを過剰に取らないことも大切だ。ログが多すぎると、本当に見るべきセキュリティイベントを見つけることが難しくなってしまいかねない。すべてのログをとろうとするよりも、本当に意味のあるイベントだけに焦点をあわせた方がよい。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]