Enterprise Watch
最新ニュース

「ユーザーはこんなところに無頓着」ITベンダの3氏がユーザーに望むこと

~第3回 ECOM 情報セキュリティ最新技術セミナー パネルディスカッション

ECOMの主席研究員、重松 孝明氏
 電子商取引推進協議会(ECOM)主催で3月15日に開催された「第3回 ECOM 情報セキュリティ最新技術セミナー セキュリティ対策ツールの動向と今後の課題」において、「セキュリティ対策ツールの今後の方向」と題し、パネルディスカッションが行われた。

 このディスカッションでコーディネータを務めたのは、ECOMの主席研究員、重松 孝明氏。ディスカッションは、同氏の質問に対してパネラーが答える形で進められた。なおパネラーは、住商エレクトロニクス株式会社のネットワークソリューション事業部 セキュリティ技術部部長 情報セキュリティアドミニストレータである二木 真明氏、インターネットセキュリティシステムズ株式会社のIT企画室 室長である高橋 正和氏、株式会社シマンテックのSymantec Security response マネージャである星澤 裕二氏の3氏がつとめた。


新しいウイルス検知はどこまで有効か

株式会社シマンテック Symantec Security response マネージャ 星澤 裕二氏
 最初に提示されたのは、「(新種ウイルスに対しての防御は)パターンファイルだけの対応では間に合わなくなっているため、新しい検知方法がいくつか出ている。それらではどれだけウイルスを防げるのか」という問い。星澤氏はこれに対して、「今の一番の問題としては、攻撃側がパッケージを購入できるため、最新のウイルス対策ソフトで自分の作ったウイルスを検知できるかどうかを確認できること。パターンファイルを一切使わずにヒューリスティックだけでウイルスを検知しようとする場合は、現状80%から良くて90%くらいまで。100%まで近づいていくことはあるだろうが、100%は無理だろう」と回答した。


無線LANのセキュリティ対策

住商エレクトロニクス株式会社 ネットワークソリューション事業部 セキュリティ技術部部長 情報セキュリティアドミニストレータ 二木 真明氏
 続いての問いは、「ファイアウォール系に関しては、いろいろな工夫がされているとの話だが、今一番問題になっている無線LANのセキュリティに関してはどう考えればいいのか」(重松氏)という点。二木氏は「無線LANの管理がきちんとできていないことによって、不正な接続を許してしまうというのが大きな問題だと思う。無線LANやRASなど、リスクが伴う接点部分にファイアウォールを置いて、特定のサービスしか接続させないというのは1つの考え方」と境界防御製品を無線LANの防御に使う方法を示したほか、無線LANではパケットが盗聴されてしまうことに関して触れ「IPSecなどで二重の暗号化をして防ぐという対策がある。また現在制定中のIEEE 802.11iではそうした部分も考慮されてくると思うので、接続ユーザーができることを限定してしまおうというところに落ち着くのでは」とした。


知識のないユーザーは、セキュリティ製品を使えるか

インターネットセキュリティシステムズ株式会社 IT企画室 室長 高橋 正和氏
 次の問いは、パワーユーザー以外でもセキュリティ製品を使えるかということ。これに関しては、二木氏が「最近ではファイアウォール付きルータなども登場しており、NATひとつかけておけば基本的には外からは入れない。しかし、今後もそうしたお手軽な製品がたくさん登場してくる、という流れを進めればいいとは思わない。セキュリティは最新の技術のぶつかりあいであるため、セキュリティを守るためだけのプロバイダがあってもいいと思っている。今後は製品+サービスで考えていくべきではないか」と回答。一方の高橋氏は「知識がない人でも、ルータ型ADSLモデムを利用していればほとんどMSBlastワームに感染しなかったような例はある。しかし、閲覧したWebサイトにコードが埋め込まれていたら、ルータでは防げない。階層的仕組みが必要だろう。ユーザーには、何をやっていかないと何は防げない、というようなロジカルなメッセージの伝え方が必要なのではないか」と述べた。

 さらに、「セキュリティ製品はもう少し使いやすくならないのか。改善点や設定チェックを設定時ではなく動作時に見つけるような製品は登場しないか」という点については、「ファイアウォールでは、ポリシーの確認をしてくれる仕組みを持った製品はなかなかない。ファイアウォール機器自身がポリシーを判断することは無理だと思うので、ユーザーにその材料を提供する仕組みがあってもいいのでは」と二木氏が提言した。

 また製品ベンダ側の両氏は、「パーソナルファイアウォールでは、1台のPCに特化した防御ができればいいのでこなれてきている。IPSでは初期ポリシーをより高くさせるいう対応をしており、いい感じに成熟性が出ていると思っている」(高橋氏)、「クライアント防御用、ゲートウェイ用などを組み合わせて利用した場合、それぞれがどこまで対応できるかを把握していないことが多いために、完ぺきな設定にするのは難しい。専門家にやってもらうのが一番良いだろう」(星澤氏)と回答していた。


単機能と複合型、どちらのセキュリティ機器が有効なのか

 「ファイアウォールがIDSの機能を取り込む、IDSにはウイルス対策の機能が取り込まれるなど、複合的な製品が出てきているが、単機能製品とどう使い分ければいいのか」(重松氏)という質問に対して、「ネットワークの負荷が高い部分に導入するには、複合製品ではパフォーマンスが悪くなる。しかし、ローエンドのユーザーは機器を組み合わせて使うことに慣れていないため、その場合は1つの機器に機能を束ねたものがいいだろう。自分がどのレベルにあるのかをユーザーが判断して使うべきだ」と二木氏が回答。

 ほかの2氏もほぼ同じ意見で、「自分もこうした二極化が進むと思っている。ただ、どちらの製品にしろ(セキュリティ製品の)シグネチャ更新はきちんとしないといけないので、これからは1つの箱を入れて放っておけばいいということはなくなり、更新やメンテナンスといったサービス提供が重要になる」(高橋氏)、「基本的には両氏と同じ意見。付け加えるなら、階層的なセキュリティが絶対的に必要になっており、以前はファイアウォールやウイルス対策ソフト導入だけをすれば良かったのが、今は一通りやってみてもまだ万全ではない。運用の仕方、ポリシー策定などを含め、階層的なセキュリティが必要だ」(星澤氏)と語った。


ベンダがユーザーに望むこと

 また最後の「製品をユーザーに使って頂いている、という立場から、ユーザーが無頓着だと思える部分を指摘して欲しい」という重松氏の要望には、「セキュリティは難しいと思っているユーザーが多いけれど、基本に立ち返って、自分が何をされると嫌なのかを考えていくと、意外に簡単に理解できる場合がある」(二木氏)、「自分のところは大丈夫だろう、という“だろう運転”はやめて、実態を把握することを怠らないで欲しい」(高橋氏)、「Mydoomウイルスのように、添付ファイルをいじらなければ感染しないものが流行している例からもわかるように、個人の意識で防げることは多いもの。シグネチャ更新までにタイムラグが出るなど、対策ツールは万能ではない。人の意識の問題もあわせて考える必要がある」(星澤氏)と各氏は述べ、ユーザーの意識向上を訴えてパネルディスカッションは終了した。



URL
  電子商取引推進協議会
  http://www.ecom.or.jp/
  住商エレクトロニクス株式会社
  http://www.sse.co.jp/
  インターネットセキュリティシステムズ株式会社
  http://www.isskk.co.jp/
  株式会社シマンテック
  http://www.symantec.com/region/jp/

関連記事
  ・ JIIMA今別府氏、「電子化文書による保存を許容すべき」(2004/02/20)


( 石井 一志 )
2004/03/16 00:00

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.