菅谷 光啓 NRIセキュアテクノロジーズ 情報セキュリティ調査室長
関取 嘉浩 NRIセキュアテクノロジーズ 情報セキュリティ調査室 セキュリティコンサルタント
4月1日に個人情報保護法が全面施行されたことにより,コンプライアンス(法令順守)の観点からも企業が持つ情報資産の保護が非常に重要になりました。本講座では23回にわたって,情報セキュリティを取り巻く課題や企業が採るべき施策を解説します。
情報セキュリティは,企業の情報資産を漏えいや改ざん,破壊から保護する活動です。中でも最近は,顧客情報を外部に漏らさないようにする対策が緊急の課題となっています。個人情報保護法の施行などが要因となって,企業は情報セキュリティに関する体制の整備や運用が求められるようになったからです。
では,現在企業はどの程度のセキュリティ対策を実施しているのでしょうか。図1はNRIセキュアテクノロジーズが2002~2004年に企業のシステム管理者を対象に実施したアンケートの結果から抜粋したものです。「セキュリティ製品やサービスの導入状況」を調査しました。
結果を見ると,ソリューションによって導入状況がかなり異なることが分かります。ウイルス対策ソフトとファイアウォールは,過去3年のいずれの調査においても9割以上の導入率で,企業ネットワークにほぼ不可欠な存在になっています。一方,VPN(仮想閉域網)機器,データや電子メールの暗号化,OS/アプリケーションのセキュリティ強化,IDS(侵入検知システム)などは,2004年に大幅に導入が進んだことがうかがえます。
2004年からは「セキュリティ監査/コンサルティング」,「PCセキュリティ診断/管理ソフト」,「セキュリティ・ホール情報提供サービス」の項目を加えました。これら三つは,今は2割から3割程度の導入または導入予定といった状況ですが,今後利用率が高まっていくと予想されます。数年前とは比較にならないほど,セキュリティ対策を実施するポイント数が多くなっており,かつ実施する対策の内容も複雑になっているからです。
多様化するセキュリティ対策
業務の多様化に伴って,インターネットと社内ネットとの接続点をけん牢化するだけでは十分と言えなくなってきています。クライアントやサーバーのOSに見つかるセキュリティ・ホールの数は増えてきていますし,社内ネットワークを脅かす攻撃方法も多様化しています。
例えば,最近ではノート・パソコンを社外に持ち出し,モバイル環境でインターネットなどを利用する機会も多くなりました。もしこのノート・パソコンがそのような環境でワームに感染してしまい,気付かずにそのまま社内ネットワークに接続してしまうと,社内ネットワークに接続している他のサーバーやパソコンが瞬時に被害を受けてしまいます。こうした事態を避ける方法の一つが,社内のパソコンにパーソナル・ファイアウォールを導入することです。パソコンのセキュリティ関連の設定が社内規定に違反していた場合に,社内ネットワークへの接続を拒否する検疫ネットの導入も,有効な対策の一つでしょう。
情報漏えいを防ぐ対策としても,ファイアウォールやウイルス対策ソフトだけでは不十分です。Webサーバー上のプログラム(Webアプリケーション)にぜい弱性があれば,インターネット経由で情報を容易に持ち出される恐れがあります。
また,USBメモリーやCD-Rなどに顧客情報を記録して持ち出されてしまうかもしれません。こうした事態に対処するには,情報漏えいのリスクをすべて洗い出した上で,そのリスクを無くすための対策を技術的側面と組織的側面から検討しなければならないのです。
導入するだけの時代は終わった
企業の情報資産を守るには,インターネットなど外部ネットワークとの接続部分や企業内のシステム,エンドポイント端末(パソコン)といった複数の視点から,いくつものセキュリティ対策を積み重ねて実践していくことが肝要です(図2)。
ただやみくもにツールを導入すれば済むというわけではありません。守るべき情報資産は何か,リスクをどこまで許容できるかを判断した上で,必要なソリューションを選択して効果的に運用することが重要です。
例えば,IDSは「導入するだけでは済まない」ソリューションの代表例です。それだけでは単に警告が上がるだけになりかねません。ファイアウォールと連携させておき,ぜい弱性を発見したらファイアウォールのポートを開閉させるといった組み合わせ方が不可欠です。
本連載ではこれから,企業の情報資産を守る様々なソリューションを一つひとつ解説しながら,企業にとって最適なセキュリティ対策の立て方や導入・効果的な運用方法などを明らかにしていきます。
