 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
「まず経営者がセキュリティ対策の重要性を認識することが大切」 |
||||||||||||||||||
|
||||||||||||||||||
|
情報セキュリティEXPO キーノートセッション
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
7月7日から9日まで東京ビックサイトにて「第1回情報セキュリティEXPO」が開催されている。この中で7月8日にはキーノートセッションとして、米Microsoftネットワークセキュリティディレクターのロビン・ムーア氏と、内閣官房 情報セキュリティ推進室 参事官補佐の山崎琢矢氏がキーノートスピーチを行った。 ■ Microsoftはトップから一般社員までセキュリティ意識が徹底
このような巨大ネットワークにおいてセキュリティを維持するには、技術的な対策はもちろん、明確なセキュリティ戦略の確立、そして上層部から一般ユーザーまで全員がセキュリティに対する意識と責任を持つことが不可欠だとムーア氏は語る。情報システム部門に任せがちな日本企業との大きな違いだ。「ある社員がスティーブ・バルマーに“セキュリティパッチの適用に協力的でない社員がいる”とメールで報告したところ、バルマーはすぐに全社員に対してパッチ適用の重要性を説くメールを送った」(ムーア氏)。 しかし、万が一侵入を受けた場合に備えるのもセキュリティ戦略上重要なことだとムーア氏は説明する。もし侵入に遭った場合、(1)被害を受ける恐れがある資産(例えば個人情報)は何か?(2)脅威はどういったものか?(3)被害を受けたときにインパクトは?さらに、(4)確認できる脆弱性は?(5)その緩和策は?(6)被害を受ける可能性は?これら6つを調査することで「現在のリスクレベルを把握でき、対策を講じる優先度をつけることができる」とムーア氏。Microsoftではこれらを検討した結果、流出を防がなくてはならない知財を階層化し、もっとも重要とされるソースコードについては、何重ものレイヤーに保護された場所に格納しているとのことだ。 ムーア氏は今夏にリリース予定のWindows XP Service Pack 2にも触れ、主要なセキュリティ機能を紹介。さらに「すでにMicrosoftの従業員が使うクライアントのほとんどで適用している」と綿密なテストを行っていることをアピールし、リリース後の適用を訴えた。
■ 「セキュリティ対策を行うことが企業価値向上につながるメカニズムを」
しかしどの企業でも個人情報漏えいの可能性があると認識しながらも、「セキュリティベンダーの気運が高まる一方で、情報漏えいの問題の本質(個人情報の“価値”など)が伝わっておらず、ユーザーの投資は思うように進んでいない」と山崎氏は指摘する。「セキュリティ対策はこうあるべき」とベンダーや政府が叫ぶ一方で、全社的に取り組みを行うべきユーザー企業は、情報セキュリティ部門に任せっきりで、特に経営陣に対して声が届いていないとのことだ。 もともと米国はトップダウン型、日本は分担管理型という組織形態が確立しているため、いくらセキュリティ対策が重要とはいえ、これを変えることは不可能だ。山崎氏はセキュリティ対策の重要性を訴える際、「ユーザーの視点に立ち、欧米のベンダーがそろえた道具(セキュリティ対策技術・手法など)を日本型組織形態に合うように見直していかなくてはならない」と強調する。 政府としても今後、企業経営におけるセキュリティ対策の重要性の訴え方を見直していく予定があるという。「IRへの反映や、政府調達基準への採用など、対策を行うことが企業価値向上へつながるメカニズムを構築」(山崎氏)する方針だ。 民間企業だけでなく政府・自治体といった“官”のセキュリティ対策意識の向上も重要だ。住民基本台帳などにおいて「“インターネットに直接接続されていないから安心”といった認識は誤り」と山崎氏も認めており、その上で「セキュリティ対策を国是として、官民が連携した基盤を構築していくことが重要」と語った。 ■ URL 米Microsoft http://www.microsoft.com/ 第1回 情報セキュリティEXPO http://www.reedexpo.co.jp/i-security/
( 朝夷 剛士 )
|
|
|
|
|
|
|