 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
セキュリティを根本的に治療するための“原理原則”とは? |
||||||||||||||
|
||||||||||||||
|
~Check Point Experience Seminar TOKYO 2004 基調講演
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
8月3~4日に都内で開催された「Check Point Experience Seminar TOKYO 2004」において、監査法人トーマツのエンタープライズリスクサービス部 シニアマネージャー、丸山満彦氏が「経営者はセキュリティ・アーキテクチャを構築しろ! 場当たり的な対策では情報は守れない」と題した基調講演を行った。 ■ セキュリティ対策の原理原則とは?
そして丸山氏は、情報漏えいに絞って考えた場合、3つの「マネジメント原則」と4つの「コントロール原則」を守るべきだ、とする。これは基準や規格ではなく、同氏が考案したものだというが、マネジメント原則は経営者が、コントロール原則は現場が、それぞれセキュリティを考える上で、最低限踏まえるべきことだという。 そのマネジメント原則だが、1つ目は「システムはビジネスのために存在する」ということ。「現状ではこれを忘れがちな人が多く、何をしたらいいのか、どこまで費用をかけてどこまで対策をすればいいのかがわからないという声をシステム部門から多く聞くが、第一歩目が間違っている」と丸山氏は指摘する。そもそもビジネスがあって、それを実現する道具として情報システムがあるのだから、セキュリティ対策をどこまでやるか、というのはビジネスサイドで決めるべきだというのである。 情報システム部門が行うべきことは、要件を考えることではなく、そうして経営側から指示されたセキュリティ要件を、実際の対策に落とすこと、なのだ。「そうはいっても社長が(やれと言ってくる)、という場合は多いだろうが、経営側に言い続けることが重要。最低限ここまではしますが、それだけでいいんですか、とこちらからしつこく問いつめていくことがあってもいい」(同氏)。 2つ目は、「経営は収益とリスクのバランス」だということ。「新しい分野にはチャンスもあるがリスクもあるのは当然。ITは新しい分野であり、それを使う以上、必ずリスクがある」と丸山氏は述べ、リスク低減、すなわちセキュリティ対策が重要な要素であることを認識し、コストをかけてリスクを減らしていくのが経営だとした。 3つ目は、「チェックして軌道修正する」こと。企業経営の場合、最低でも月次レベルの数字は把握して、成績が悪ければキャンペーンを考えるなど、軌道修正をしながら売上目標を達成しようとしているはず。セキュリティでもこれは同じだという。セキュリティ計画を各ソリューションにブレイクダウンしたり、監視したりすることも必要だし、少なくとも年に1度は監査して、予定通り運用できているかをチェックし、そうでなければ改善、というようにしなくてはならない。売上ではやっている当たり前の話を、セキュリティでもやっていくべき」(丸山氏)。 ■ 運営側が守るべき、4つのコントロール原則 一方のコントロール原則では、まず「アクセス管理はNeed to Know」、つまり必要な人だけがアクセスできるようにすることが大事だという。丸山氏はここで某大手プロバイダの情報流出問題を例にあげ、「大きなシステムでは、たくさんの人が運用にかかわるということはわかる。しかしだからといって、個人データにアクセスできる人がたくさんいる必要があったか。最終的には数人しかアクセスできない体制にできたのだから」と述べた。また同氏は「(権限を厳格に管理すると)コストがかかるからできない、というのは言い訳にならない」とも指摘し、こうしたことにかかる費用は、最初から予算に入れておくべきだ、と強調した。また、「最小特権」であるべき、ということがコントロール原則の2つ目になる。「これは1つ目とあわせて汎用機の時代から言われていることだが、事件を起こした企業に行くと守られていない。あれもできないと困る、これもできないと困る、といって(余分な)アクセス権を与え、みんなが特権ユーザーになっている。これでは漏れて当たり前」と述べ、当たり前のことができていない、と現状を憂慮する。 さらに3つ目としては、「脆弱性を管理する」必要を語る。汎用機の時代は、脆弱性はおそらくあっただろうがクローズな世界なのであまり問題はなかった、とした同氏だが、「これからは事故前提社会の考え方で行かなくてはいけない」ことを強調。そして、そのためには、「脆弱性をつぶすためにセキュリティパッチを当てるとシステムが動かなくなる場合があり、適用前にテストをすることになるため、どうしても時間がかかってしまっている」という現状の問題点に触れ、「パッチをユーザーが事前に把握するのは難しいのは事実。しかし、ある程度の傾向、ルールはあるので、これからはパッチを当ててもなるべく大丈夫なように、システムを作っていかなくてはいけない」(同氏)とも述べた。 最後の原則は、「ログの採取とチェック」であるという。「ログをひっくり返して漏えいがわかったとしても、もう漏れてしまったものは取り返しがつかない。どうしてそのときにわからなかったのか、ということが問題になるだろう。個人情報保護法施行によって、このあたりはよりきちんと考えなくてはならない話になる」とした丸山氏は、きちんとログを取るだけでなく、常にチェックをしていかなければならない、とその重要性を強調していた。 また、「ログを取るということになると、何を何年取るのか、どう取るのか、という話になるが、常にチェックしなければならないもの、後から振り返ればいいもの、など目的によって振り分けはできるだろう」とも述べ、目的と、さらにコストを考えてログの採取を行っていくべきだとした。 ■ 根本解決のためのセキュリティアーキテクチャ
だからといって、拙速では困る。「すぐできると思うな。3カ月以内に問題をすべて解決しろ、という人がいるが、人間の価値観も変えなくてはならないことなので、簡単にできる話ではない。無謀かつ達成できない目標を押しつけられたら担当者はやる気をなくす。最低でも3年はかかること。経営計画と同じように長期で目標を立て、3カ月後にはここまで、6カ月後にはここまで、というように区切ってやっていくべき」(丸山氏)。 また、原理原則としては単純なことでも、導入する場合は単純化してはいけない、とも丸山氏は述べた。「あらゆる角度から想像力を発揮して深く考えるべき。そのためには、情報セキュリティアーキテクチャを考える必要がある」と続けた丸山氏は、このアーキテクチャを「ビジネス要件から導かれた、情報セキュリティマネジメントコントロールの基盤となるデザインで、統合され、一貫した方針、規定、運用手順、標準技術仕様などから構成されるもの」と説明。 そして、「いろんなものを考えないと、本当にいいアーキテクチャは作れない。原則は単純、しかしいろいろな視点があって、それぞれの中で考えなくてはいけない。具体的にどうしたらいいのかは会社によって違うから一概にはいえないが、こういう考え方が大事だ。実際にやろうとすると根気がいるし、頭を使わなくてもいけないが、原理原則は簡単なので、難しいわけでもできないわけでもない。今あるべき“ベスト”は何か、を多面的に考えていけばいい」と語った丸山氏は、ジグソーパズルを例に出し、「1個1個はめていくと最後にできあがってくる。いきなり100%は求めないこと。継続的な努力が重要」と強調した。 最後に丸山氏は「セキュリティだけをマネジメントする会社はありえない。情報システムは何かを実現するためのツール。全体の経営の中でセキュリティはどうあるべきかを、セキュリティアーキチャに持ち込むべきだ」と繰り返し述べ、講演を締めくくった。 ■ URL Check Point Experience Seminar TOKYO 2004 http://www.checkpoint.co.jp/cpx/
( 石井 一志 )
|
|
|
|
|
|
|