|
富士通株式会社 システムサポート本部 セキュリティビジネスユニット商品企画担当部長 岸田 明氏
|
|
システム構築の設計段階でセキュリティが占める割合が低いことを問題視
|
電子商取引推進協議会(ECOM)主催で3月16日に開催された「第4回 ECOM 情報セキュリティ最新技術セミナー セキュリティマネジメントについての課題」において、「セキュリティ対策のレベル向上に向けた課題」をテーマにパネルディスカッションが行われた。
ディスカッションでは、富士通株式会社 システムサポート本部 セキュリティビジネスユニット商品企画担当部長 岸田 明氏がコーディネータを務め、パネラーとしてインターネットセキュリティシステムズ株式会社のIT企画室 室長の高橋 正和氏、独立法人 産業総合研究所グリッド研究センター セキュアプログラミングチーム長の高木 浩光氏、ECOM主席研究員の重松 孝明氏の3氏が参加した。
まず岸田氏が、課題を検討する上でのアプローチとして、商談、設計、開発、テスト、運用の各工程において、価格、納期、機能、性能、セキュリティがどの程度の比重を占めるかについての見方を提示した。同氏は「各フェーズでイシューが違い、処理の完全性やサービスの可用性を含めたセキュリティは、運用段階で興味の中心となる」とした。
現在セキュリティ監査を行う上で注目されつつあるISMS適合性評価制度で、内容の参照元となっているISO 17799では、このうち「運用フェーズが中心」とし、また同じく国際標準であるISO 15408は「現在では商用アプリケーションの品質保証といった側面が強いが、システム構築や、アプリケーション開発を評価する手段として、設計にフォーカスされたもの」とした。そして「システムのライフサイクル全体でのセキュリティ制度が必要なのではないか」との考えを述べた。
|
インターネットセキュリティシステムズ株式会社 IT企画室 室長 高橋 正和氏
|
高橋氏はSIの立場から「問題発生を知ることが重要」とし、開発における設計とレビュー、デバッグ、品質確認までの出荷の流れを例に、「構築の段階でも、システムの不具合や問題を洗い出す取り組みが必要なのではないか」とした。
そして「現在広く行われているセキュリティ対策は、ポイントソリューションでの対応が多い」とし、「システムとしての設計を考えなければ、どのツールを利用したからといって完璧はありえない」とした。一方でこうしたツールは「専門性を要求するものがほとんど」とした。インターネットの普及で、小規模企業でもECサイトなどを運用する現状では、「オールインワンのアプライアンスをひとつ入れれば対策できるようなアプローチも必要になる」と語った。
|
独立法人 産業総合研究所グリッド研究センター セキュアプログラミングチーム長 高木 浩光氏
|
高木氏は、まず2000年に各省庁で起きたWeb改ざんの際に、パッチ適用すれば回避できたにもかかわらず、情報システム担当者が取材に対し「ハッカーの攻撃は防ぐのが難しい」とコメントしたことについて、「当時はパッチという概念さえ理解されていなかった」とし、さらに「2002年ごろには、製品を買って導入すればセキュリティ対策は万全と思われていたが、時代は変わりつつある」と述べた。
セキュリティ対策の現在の課題として、基本設計でセキュリティを要件定義するにあたって「完璧を目指せば個別具体的に書くしかなく、漏れたものは追加コストが発生する」と問題点を提起、「設計段階で適正な価格を把握できるようにし、費用をかけることを常識化すべき」として重松氏を中心にECOMで策定中の“セキュリティ対策評価モデル”への期待を述べた。
|
ECOM主席研究員 重松 孝明氏
|
|
300を超える要求項目ごとに5段階で評価する「セキュリティ対策評価モデル」
|
現在ECOMで策定中の“セキュリティ対策評価モデル”は、セキュリティ対策で「何を、どこまで」行うかを決定するにあたって、具体的なガイドを提供することで支援することを目指したもの。重松氏によれば、ISMS適合性評価制度は「セキュアなシステムを構成するにあたって利用できるものではなく、既にあるシステムを評価するときに有用なもの」なため、ISMSの要求はすべてカバーした上で、さらにシステムと人間系の運用を含め、項目数は300を超えるものになるという。このそれぞれに5段階の強度レベルが設定され、「客観的評価のチェックリストとしても活用できる」内容になるという。
個別のシステムごとに具体的な対策内容は異なるものだが、同氏は「判断の尺度になるようなものにしたい」とした一方、「ITインフラを取り巻く技術や環境は変化し続けるものなので、維持管理するスキームが必要になる」との見方も示し、今後は、「各項目に専門家のノウハウを付け加えられる体制を目指したい」とした。
岸田氏は、セキュリティ対策評価モデルについて「技術に寄った内容なので、経営層が理解できるステップが必要になるのでは」との疑問を呈し、これを受けた重松氏は「セキュリティ対策は会社経営そのものの問題であり、現状ではまだ自らの問題と考えていない経営者が多い。次の段階として経営レベルに抽象化することは視野に入れている」とした。
重松氏は最後に、今後浮上するセキュリティ対策のテーマとして「データの真性への施策はノーガードに近い」として改ざん検知の問題を指摘、「Word文書で保管したデータが3年後に扱えるかといった継続性の問題とともに、情報保護の観点から、早い段階で重要な問題になるだろう」と述べた。
■ URL
電子商取引推進協議会
http://www.ecom.or.jp/
富士通株式会社
http://jp.fujitsu.com/
産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム
http://securit.gtrc.aist.go.jp/
インターネットセキュリティシステムズ株式会社
http://www.isskk.co.jp/
( 岩崎 宰守 )
2004/03/17 12:59
|