Enterprise Watch
最新ニュース

NEC江崎氏、「セキュリティサイクルと“守り”のIT投資で、企業モデルの転換を」

~C&Cユーザーフォーラム ワークショップ

 12月3日から5日まで、東京ビッグサイトにて「C&Cユーザーフォーラム」が日本電気株式会社の主催で開催されている。3日には、同社のニューソリューション開発事業部 マネージャー、江崎 明彦氏による講演が「企業経営上のセキュリティ危機」と題して行われた。


IT投資は「攻め」から「守り」へ

ニューソリューション開発事業部 マネージャー 江崎 明彦氏
 江崎氏によれば、最近までIT投資はERPやSFAといった攻めの領域であったのが、ここ2年ほどの間にワールドワイドでは、守りの領域、つまりセキュリティやビジネスの継続性の分野へシフトしてきているという。しかし、日本の企業はこの分野への取り組みが遅れており、この“守り”の部分が非常に弱い。同氏は「これは企業経営の世界に限らず、日本の特長だ。鍵が壊れたと日本人はよく言うが、壊れるのはたいていキーではなくロック(錠前)のほう。セキュリティ、危機の分野では日本語の語彙(ごい)自体がほかの言語よりも少ないように、日本ではこの分野が苦手」だとする。

 「企業経営もまったくこれと同じで、非常に危機管理やセキュリティが弱い。最近では電子情報や情報システムそのものを狙った犯罪がどんどん高度化をしており、企業に不利益なことがあったとき、1つの企業などは簡単につぶれてしまうようになった。それは、NECのような大企業でも同じことだ。しかし逆に言えば、日本の企業はどこもセキュリティ関連が弱いだけに、しっかりとやれば他社との差別化も行いやすい」(同氏)。


企業モデル転換の必要性

 「こうした状況をふまえて、企業は経営モデルを転換する必要がある」と江崎氏は続ける。同氏によれば「日本のほとんどの伝統的企業は、多くを語らなくてもお互いがお互いの思いを理解してくれるような風土があったが、こういったまとまりの強かった時代では、企業の内部を管理するコストはかなり安く済んだ」という。しかし、ワークスタイルの変革に伴って、またリストラなどによって、そういうコミュニティは壊れ始めてしまっているというのだ。「また、当社がスローガンとして掲げている“ダイナミックコラボレーション”などで、ほかの企業などとのコラボレーションが進んでくれば、他社といろいろなデータをやりとりするようになる。このように、世の中で大きな変化が起きていても、企業のセキュリティを固めることはまだあまりやられていない」。

 そして江崎氏は、「間違いなく企業を1回は危機が襲う時代になった」、とする。こうした世の中では、守りを固めている企業は発展できるし、そうではない企業は滅びてしまうというのだ。「セキュリティの強化ということには、“守り”のイメージがあるが、欧米では、ここに企業の最高の人材をあてる。なぜなら、セキュリティ環境構築のためには企業の業務全般を分析しなくてはならず、そこからその企業の発展、成長のためのキーポイントが見つかるから」と、この作業が企業にとっては必要かつ重要なこと、という点を強調していた。


ダリトメソットと、セキュリティ強化の「循環」

ダリトメソッドによる「循環」

セキュリティ強化のためのステップ
 続けて同氏は、セキュリティ強化のための手法として「ダリトメソット」というやり方を紹介した。これは「ダメージコントロール、リスクマネジメント、トラブルシューティングの頭文字をとったもの。想定される危機を事前に洗い出して準備すること、被害が起きた時にそれを最小限で食い止めること、そして問題が起きる前に目を摘んでおくこと」で、こうした手法を用いて経営モデルを転換することが有効と述べた。

 ダリトメソットをふまえた上で「まず最初にやらなければいけないことは、例えばウイルスメールを受けた時にどう対処するかというような、セキュリティマネジメントポリシーの確立。ポリシーをあらかじめ決めておかなければ、問題があっても対処ができない」と江崎氏は訴える。そして自社の業務を分析して想定される危機を具体的に書き出す「予防」→被害が発生したときにいかに早く検知して対策を打つかという「被害検知」→ダメージをいかに被害を小さくするかという「局所化」→そして「復旧」というサイクルを確立し、循環させていくモデルを行う。「NECの場合、Code Redで被害を出してしまったが、その影響によるトラフィックの増大を検知することで早めの対処が可能になった。そして、その時にほかのセキュリティホールもまとめてつぶす予防措置をとったことなどで、次のNimdaの時はあまり被害を受けずに済んだ。これが循環の一例になるだろう」(江崎氏)。

 そして次の段階では、先ほどのサイクルを回しながらセキュリティマネジメントのシステムをレベルアップさせていくことになる。具体的には「ファイアウォールやウイルス対策などのツールを重ねていく」ことが次の段階だが、ここはもう導入済みの企業が多いだろう、と江崎氏は述べた。さらにその先の段階では、「シングルサインオンや暗号化といったソリューションの導入、サイバーアタック防御システムなど自動化省力化の方向へ」と進むのだという。

 江崎氏は「手間もコストもかかるが、これは企業としてやっていかねばならないことだ。各経営者は目に見えない、しかし経営を脅かすような危機をリストアップして、対策して、排除しなくてはならない。その中で経営を伸ばすものも必ず見つかる。2年3年で完結することではないが、手をつけていかねばならない部分だ」と、この部分を強調していた。


【事例】NEC本社内のセキュリティシステム 【事例】NEC本社内のパッチ、ワクチンプログラムの自動適用システム 【事例】NEC本社内のウイルスの早期発見と隔離による対策


URL
  日本電気株式会社
  http://www.nec.co.jp/
  C&Cユーザーフォーラム&iEXPO2003
  http://www.uf-iexpo.com/


( 石井 一志 )
2003/12/04 00:06

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.