1. はじめに English
原則論の執筆者に加え、多くのレビュー担当者が、様々なコメントを寄せてく
れました。レヴューを行ったのは、下記の方々です。:
Eric Luiijf (luiijf@fel4.fel.tno.nl)
Marijke Kaat (marijke.kaat@sec.nl)
Ray Plzak (plzak@nic.mil)
Han Pronk (h.m.pronk@vka.nl)
ISI の Joyce Reynolds 氏 と、CICnet の Paul Holbrook 氏の、このハンドブックの初版の作成における、そのビジョン、リーダーシップ、努力には特に感謝しています。このバージョンが、以前のバージョンがそうであったように、このコミュニティにとって有益であることをワーキンググループ一同、願っています。
このハンドブックは、インターネットに接続されたシステムをもつサイトのためのコンピュータセキュリティポリシーと手順を設ける際のガイドです。(しかし、ここにおける情報は、まだインターネットに接続されていないサイトに ついても有用なはずです。)このガイドには、サイトが独自のポリシーを設ける際には必ず考慮しなければならない論点と要素が記されています。この中には、数多くの推奨事項があり、関連領域の検討も行います。このガイドは、セキュリティポリシーや手順を確立する際のフレームワークにすぎません。有効なセキュリティポリシーや手順を作成するには、サイトで多くの意思決定をし、承認を得て、こうしたポリシーについて意見交換 し、実施する必要があります。
本書が想定する読者は、サイトのシステムとネットワークの管理者と意思決定者(典型的には中間管理職)です。我々は、簡潔するために、本書を通じて「管理者(アドミニストレーター)」という用語を、システムとネットワークの管理者の意味で使うことにします。本書は、プログラマや、セキュアなプログラムやシステムを開発しようとしている人のためのものではありません。本書の主眼は、サイトが実装しているセキュリティ技術をサポートするのに不可欠なポリシー と手順にあります。
この作業の成果の主たる読者として、インターネットコミュニティのメンバーのサイトが想定されています。しかし、本書は、他のサイトとコミュニケーションを行っているすべてのサイトにとって有益なはずです。セキュリティ ポリシーの一般的なガイドとして、この文書は、分離されたサイトにおいてさえ有用であることでしょう。
「インターネット」は、広く使われているプロトコルによって接続された無数のネットワークの集合体です。このプロトコルは、どのネットワークのユーザでも、コミュニケーションできるようにし、そこにあるサービス、もしくは他のネットワークのサービスを使用できるようにするものです。(FYI 4, RFC 1594)
「管理者」という用語は、システムやネットワーク資源の日々の運用に責任のある人々をすべて含んだ言葉として使います。これに該当するのは大勢の人々、もしくは組織でしょう。
「セキュリティ管理者」という用語は、情報セキュリティと情報技術に責任をもつすべての人々のことをいいます。サイトによっては、この機能(職能)は上記の管理者といっしょになっていている場合もあるでしょう。これが独立した地位をもったところもあるでしょう。
「意思決定者」という用語は、サイトにおいてポリシーを設け、承認する人々のことです。彼らは通常、(例外はありますが、)(情報)資源を保有しています。
このサイトセキュリティハンドブックのワーキンググループは、インターネットセキュリティのためのユーザーズガイドの作業も行っています。これは、エンドユーザに彼らの情報や使用している資源を守るための実践的なガイダンスを提供しようとするものです。
このガイドは、あなたのサイトのセキュリティ計画を立案する際の基礎的な指針を提供するように書かれています。 一般に認められているアプローチには Fites 氏のものがあり [Fites 1989]、下記の手順が含まれます。:(1) あなたが守ろうとしている対象の識別
(2) あなたが守ろうとしている対象の抽出・決定
(3) 予期される脅威の列挙
(4) 経済的なやり方であなたの資産を保護する手段を実施する
(5) 継続的にこの過程をレビューし、弱点が発見されるごとに改善するこの文書の大部分は、上記の (4) に焦点をあてていますが、あなたのサイトにおいて有効な計画を立案するのでしたら、他の手順を省略してはなりません。セキュリティにおいては、「脅威から自らを守るコストは、実際にその脅威が襲い、そこから復旧するためのコストよりも小さくなければならない。」という格言があります。この文脈におけるコストには、実際の通貨価値に基づく損失、評判、信用 および他の無形の損失が含まれていなければなりません。あなたが守ろうとしているものと予期される脅威についての知識なしには、このルールに従うのは困難です。
1.6.1 一般的な検討 English
コンピュータ セキュリティ ポリシーを作成するもっとも重要な理由のひとつは、セキュリティの回復に費やす努力が、費用対効果にみあうようにすることです。これは当然のことのように思われますが、努力すべきところを誤ることがありえます。例えば、コンピュータシステムへの侵入については膨大な量の出版物がでまわっておりますが、大部分のコンピュータ セキュリティの調査は、大部分の組織体において、実際には「インサイダー(内部者)」 による損失の方がずっと大きいことを示しています。リスク分析には、守るべき対象、何からそれを守るのか、どのようにそれを守るのか、といった意思決定が含まれます。これは、あなたの直面するすべてのリスクを吟味し、調査結果に基づいてそうしたリスクの順位付けを行う手続きです。この手続きには、保護対象についての経済性についての意思決定が含まれます。既に述べたように、そのものの価値以上の費用をかけてそれを守るようなことはすべきではありません。
リスク分析のすべてを網羅することは、この文書の範疇外です。[Fites 1989] と [Pfleeger 1989] の文献は、この論点についての入門書です。ここでは、次の 2つの節でリスク分析について、その 2つの要素の概要を示します。
(1) 資産の識別
(2) 脅威の識別それぞれの資産についての基本的なセキュリティの目標は、可用性と守秘性とインテグリティです。個々の脅威は、どのようにその脅威が影響を与えうるかを目で検証する必要があります。
1.6.2 資産の識別 English
リスク 分析の手続きとして、守らねばならないすべてのものを識別することがあります。価値のある情報、知的財産権のある情報、すべてのハードウエアのようにわかりやすいものもあります。しかし、システムユーザ自身のように見落とされているものもあります。セキュリティ 問題によって影響を受けうるすべてのものを列記することが重要です。Pfleeger [Pfleeger 1989] によって分類が提示されています。このリストは、そこから引用しています。:
(1) ハードウエア: CPU、ボード類、キーボード、端末、ワークステーション、パソコン、プリンター、ディスクドライブ、通信回線、サーバ機、ルーター 。
(2) ソフトウエア: ソース プログラム、オブジェクトプログラム、ユーティリティ、診断プログラム、OS、通信プログラム。
(3) データ: 実行中のもの、オンラインで蓄積されたもの、オフライインでアーカイブ化されたもの、バックアップされたもの、監査ログ、データベースのもの 、通信メディアで転送中のもの。
(4) 人員: ユーザ、管理者、ハードウエア保守担当。
(5) 文書: プログラム文書、ハードウエア文書、システム文書、固有の運用手続書。
(6) サプライ(事務用品): 紙、フォーム、リボン、磁気メディア。
1.6.3 脅威の識別 English
防護すべき資産を識別できたら、次にそれらの資産に対する脅威を識別することが必要です。「どのような損失の可能性があるのか」を判定するために、その脅威が吟味されます。 「どのような脅威からあなたが自身の資産を守ろうとしているのか」を検討することは、有益です。下に伝統的に検討すべきとされている脅威を示します。あなたのサイトにおいては、識別・対策すべき他の固有な脅威もありうるでしょう。
(1) 資源や情報への不正アクセス (2) 意図しない不正な情報の公開 (3) サービス妨害(不能)