Application Security

セキュリティの専門家は、医療分野の一般開業医と似ています。痛みに苦しんでいる場合、一般開業医は治療のため標準的な痛み止めを処方します。アスピリンはあらゆる痛みに対する優れた治療薬です。同様に、データをセキュリティで保護する場合、セキュリティ専門家は保護のために 4 つの標準の防御メカニズムを使用することを推奨します。事態があまりにも深刻な場合を除いて、痛みや攻撃の原因を調査する人はいません。

セキュリティ専門家が通常推奨する 4 つのオプションは以下のとおりです。

1. ファイアウォール
2. 侵入検出システム
3. ウィルス対策
4. ISO コンプライアンス

では、これらのオプションを概観して、現在適用できなくなった理由を説明します。

ファイアウォール

セキュリティ専門家は口を揃えて、ファイアウォールを使用して企業のインフラストラクチャを eセキュリティ攻撃から保護することを推奨します。既存のファイアウォールが有効でないことが判明した場合、別のファイアウォールを購入することが推奨されます。セキュリティ専門家は、ファイアウォールによって、企業のリソースがサイバースペースからの攻撃を受けなくなると考えています。しかし、この考えは完全に間違ったものです。

Microsoft は、インターネット インフラストラクチャを Windows 95 オペレーティング システムに実装しようとしましたが、セキュリティ機能はまったく搭載しませんでした。非常に長い間、Windows オペレーティング システムの新しいリリースでも、セキュリティ フレームワークは搭載されませんでした。ポートの多くは開いたままになっていて、ネットワークまたはオペレーティング システム層にインストールされたアプリケーションがさらに何十ものポートを開けていました。侵入者は、無料で入手できるポート スキャナを使用して開いているポートを検出するだけで、甚大な損害を与えることができました。侵入者は、開いているポートを使用して、そのポートをリッスンしているアプリケーションを調べてから、サービスを攻撃します。ごく短時間で、セキュリティ違反が爆発的に発生しました。

ファイアウォールはすべてのポートをブロックするため、こうしたオペレーティング システムでの最適なソリューションであるように思われました。Web 管理者はアプリケーションに必要なポートを手動で開ける必要がありました。このハードウェア機器は、ポートへのトラフィックをブロックするため、既存のネットワーク インフラストラクチャにある種のセキュリティをもたらしました。ファイアウォールはネットワークを出入りするすべてのパケットを調べることができ、ポートがブロックされている場合にはそのパケットを単にドロップしました。

しかし、時代は変わりました。Windows XP や Vista など、新しいバージョンの Windows オペレーティング システムを含むすべてのソフトウェアでは、すべてのポートが既定で閉じられています。さらに、オペレーティング システムにソフトウェア ファイアウォールが組み込まれています。そのため、このタスクを実行するために追加のハードウェアやソフトウェアは必要ありません。また、ネットワーク攻撃に耐えられるように、TCP/IP スタックが堅固になっています。以前は必要不可欠であった標準ファイアウォールは、現在では意味のないものになってしまいました。ファイアウォールは、開いているポートがないことを確実にするための保険として使用されるだけです。手動で開けるポートは、経営陣の最終的な承認を必要とします。

時と共にファイアウォールの役割が変化したのです。ファイアウォールは現在、さまざまな部門からの企業に対する内部の脅威も捕捉するように構成されています。ファイアウォールのなかには、シグネチャ ベースのウィルスや特定のパターンに従うウィルスをブロックするようにアップグレードされているものもあります。

ファイアウォールはソリューションの一部としては考えられますが、すべてのセキュリティ問題を解決するソリューションにはなり得ません。現在の攻撃のほとんどは、HTTP ポート 80 を使用していますが、このポートはブロックされません。そのため、そうした攻撃はファイアウォールを通過してしまいます。CVE データベースにリストされている攻撃の 70% が Web ベースのものであることに注目してください。攻撃者は、企業が異なるメーカーの少なくとも 2 つ以上のファイアウォールを設置していることを想定して作業しており、それを回避する攻撃を計画します。