Enterprise Watch
最新ニュース

「セキュリティ防御は点ではなく面で」と訴えるシマンテック

~Windows Server World Conference 2004 講演

 9月22日に東京の青山ダイヤモンドホールで開催された「Windows Server World Conference 2004 Windows Server 2003 マイグレーションのヒントをつかむ」(株式会社IDGジャパン主催)において、株式会社シマンテックのエンタープライズ・マーケティング部 グループマネージャ、中田太氏が「個人情報保護に向けた企業のセキュリティ対策とは」と題した講演を行った。


なぜ情報漏えいはなくならないのか?

株式会社シマンテックのエンタープライズ・マーケティング部 グループマネージャ、中田太氏
 まず中田氏が触れたのは、企業における情報資産の扱いについてで、「情報資産の活用においては、企業が保護に対してどういう活動を行っているかという秘匿性、保護対策が企業にマッチしているかという一貫性、使える体制になっているかという可用性の3つの要素を、バランスよく考える必要がある」と述べる。これらのバランスが崩れてしまうと、信頼性やビジネス機会の喪失、はてはビジネス活動存続の危機に陥ってしまうかもしれないというのである。

 「米国の調査結果では1社あたり最高で5000万ドルもの被害が出ている。日本でももう対岸の火事とはいえず、自分たちの対策が正しいのかを見直す時期に来ているのではないか」(中田氏)。

 次に、実際にどういう手段で漏えいしているのかを見てみると、不正アクセスなどの外部要因や、社内犯行を含む内部要因があるが、最近ではこの内部要因こそ警戒すべき状況だ、という。なぜなら外部からの侵入には一定以上の技術力が必要なのに対し、内部からのアクセスは本来簡単なものだからだ、というのである。

 そして中田氏は、現状でもさまざまな漏えい事件が起きているが、これらはほとんどが内部からの漏えいだとした上で、「回避できたのではないかというものが多い」と、対策の甘さを指摘する。では、どうして対策ができていなかったのであろうか。続けてこの点に触れた中田氏は「簡単に被害額が算出できないことが大きい」とする。つまり、各企業ごとに保有するリソースやIT、ネットワークなどが異なるため、ウイルス1つをとってみても、それが侵入した結果どれだけ被害が出るのかを定量的に示すことが難しいのである。

 さらに、踏み台にされたとか、他人に感染させてしまったとか、漏えいの被害者におわびをした、といった2次、3次の被害をあわせるとさらに把握が困難になる。こうした、セキュリティに対するROIの不明確さが、対策の遅れを招いているのだという。

 しかし、最近では個人情報保護法をはじめとする法整備も徐々に進みつつあり、企業のミスを社会が問うケースも多くなってきた。これは社会的な物差しができたということを意味しており、「セキュリティは企業として取り組んでいかねばならない課題になってきている」(中田氏)。

 そこで企業が考えるべきは、コンプライアンスをベースに社内の体制を整えていくこと、である。「ポリシーを土台にしっかりと持ち、社内の教育、モラルの統一などを社内で徹底し、その運用監視・監査を考える。こうした体制が整っていてはじめて、当社もソリューションを提供できる。一過性で終わりにしては意味がなく、情報資産、IT資産の管理に関しては、サイクルで運用していくことが大事」と中田氏は述べ、セキュリティ対策には終わりがないことを強調していた。


「点」ではなく「面」のセキュリティ対策が必要

 その際に重要になってくるのは、セキュリティ監査だという。総務省が行った調査によれば、ルータやファイアウォールなどの「アクセス制御」、もしくは「ウイルス対策」は9割前後の高い割合で導入が進んでいるものの、残念ながら情報セキュリティ監査の実施に関しては、2割以下の低い割合にとどまっている。

 その理由として中田氏は「セキュリティ監査は特に効果が見えにくいこと、行うための知識やノウハウがないこと、手間がかかること」などをあげる。しかし、事前対策などを含めた「プロアクティブな防御」と、自分のリスクを理解する「リスクマネジメント」が可能なセキュリティ監査こそ、マネジメントサイクルを回す上で必要なものであることを再度強調。この分野の製品として、シマンテックは「Symantec Enterprise Secure Manager」を提供し、ユーザーを支援していると述べた。

 また、Blasterワームのような複合型の脅威が登場している現在では、ゲートウェイ以外にクライアントでもしっかりとしたセキュリティ対策を行う必要があるとし、ウイルス対策とファイアウォール、IDSの機能を包含した「Symantec Client Security 2.0」をアピール。「ゲートウェイ、サーバー、クライアントの各レイヤは、1つのものとして対策して欲しい。点ではなく、面でのセキュリティ対策が必要だ」と語り、講演を締めくくった。



URL
  Windows Server World Conference 2004
  http://www.idg.co.jp/wswc/

関連記事
  ・ シマンテック、ポリシー監査ソフトウェアの新バージョンを発売(2003/11/18)
  ・ シマンテック、「インストールしただけでSasserを防ぐ」クライアントセキュリティソフト(2004/05/11)
  ・ 事故前提社会の企業に必要な「情報セキュリティ対策」とは?(2004/08/25)


( 石井 一志 )
2004/09/22 19:31

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.