 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
ラック西本氏、「開発者・管理者は、リスクを事前に想定すべき」 |
||||||||||||||
|
||||||||||||||
|
~Developers Summit 2004 講演
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
1月29・30日に「Developers Summit 2004」が東京コンファレンスセンター品川で開催された。30日には、特定非営利活動法人 日本ネットワークセキュリティ協会 理事で、株式会社ラックのセキュアネットサービス事業本部 取締役本部長、西本 逸郎氏が「情報保護とインシデント対策」と題した講演を行った。 ■ MSBlastから学んだこと
このときに露呈した組織でのセキュリティの問題点としては、連絡体制の不備や、最低限どのネットワーク、PCなどを確保しておけば業務を続けられるかという情報ライフラインを考えていなかったこと、さまざまなところで騒がれていたのにもかかわらず対策不足だったリスク分析の甘さ、などを西本氏はあげた。 しかし、この中で一番大きな問題は、セキュリティポリシーが形がい化してしまっていたことだという。例えば、無線LANは使わないことになっている、PCは持ち込まないことになっている、などと決まっているにもかかわらず、実際はそこにあるということがよくある。「普段は目をつぶっていて、いざことが起きたときだけに大騒ぎをするというのは、対策としてそもそも間違い。皆、手順書や決まりをつくることは好きだが、本当に重要なことはリスク分析を事前にしておくこと」(西本氏)だという。脆弱性があることによって、どういう被害を受ける可能性があるかということを、事前に分析しておくことが大事なことだというのだ。 ■ セキュリティのマネージメントシステム
しかし、セキュリティインシデントだけではあくまでも事後対応で、こうしたマネージメントシステムを壊すものが出てきたとき、例えば致命的な脆弱性が発表されるなどした際に、リアルタイムに分析して対策をするフレームワーク、それがインシデントマネージメントという考え方だという。 ■ インシデントマネージメントの必要性と重要性 これは、まず危機、脅威を見つけるところからはじまる。次に検知したその脅威に対して、それが及ぶ影響の範囲(社会的、第三者、自社のみなど)を考えながら分析し対策を考え、リスクをよく理解して判断し、対策を実行、フォローをするという手順で行っていく。ここで重要なのが、「すべてを自分たちではやっていけないのでアウトソースをすることもあるが、どういうリスクを抱えているかという理解の部分と、それに対してどういう手を打つのかという判断は、人任せにしてはいけない」ことだという。リスクをシステムの主体者、経営者が正しく理解をしなくては、脅威に対して正しく対処することはできないのだ。こうしたリスクマネージメント的なフレームワークと、損失をいかに抑えるかというダメージコントロール(=インシデントレスポンス)をシームレスに統合すると、インシデントマネージメントがはじめて完成する。「セキュリティインシデントが起こったときだけに行うインシデントレスポンスでは、人間は成長しない。訓練するためには、事前から対策していく必要がある」という。 そして、開発者や管理者が具体的に意識すべきこととして西本氏は、「まずは、危機を想定すること。その際には、悪意のある人がその運用するとどうなるかを考えておく必要がある。そして、防止策を講じ、マネージメントしていくということになる。対策を講じるにあたっては、発生そのものが組織の存亡に関わるものなのか、外部に漏れなければリカバリ可能なものなのか、発生してしまっても問題なくリカバリできるものなのか、そういったランクを考え、合理的に設計と実装を行っていくべきだろう」とまとめていた。 ■ URL 株式会社ラック http://www.lac.co.jp/
( 石井 一志 )
|
|
|
|
|
|
|