現在,企業はさまざまなセキュリティ対策を講じる必要性に迫られている。具体的な対策を考える上で不可欠なことは,現在の状況を定量的に把握すること,つまり,社内の情報資産などを“数える”ことである。そこで本稿では,企業がセキュリティ対策を講じる上での“要”となる「数える管理」について考えてみたい。
定量的な現状把握の重要性
企業における情報セキュリティ対策とは,業務にかかわる情報を確実かつ厳密にコントロールすることだといえるだろう。そのためには,コントロールすべき対象を定量的に評価ならびに把握することが重要となる。「脅威に備えて対策を実施しろ」と言われても,「何が」「どこに」「どのような状態で」置かれているのかを把握できなければ,対策を施すことはできない。
では,定量評価すべき対象は何か。企業内にはさまざまな資源(リソース)が存在する。その中で,最も重要なものは人的リソース,つまり,社員(派遣社員や外部のパートナーを含む)に関するものだろう。「社員を定量評価する」といっても,人数を数えるだけでは当然ない(もちろん,最低限必要なことではあるが)。各社員の所属や業務内容,情報資産へのアクセス権限などを整理し,その情報を管理することである。
これらの情報は新たなセキュリティ対策を導入する際に不可欠なばかりではなく,コンプライアンス・プログラムの教育や訓練といったセキュリティの人的な対策を展開するときにも必要だ。
情報を取り扱うための機器,すなわち,IT資産の定量的な把握も重要である。IT資産の数や状況を適切に把握することは,セキュリティ対策において重要なポイントの一つである。IT資産には,社内で利用しているPCなどのOA機器だけでなく,ネットワーク機器やサーバーも含まれる。また,各種記憶媒体(メディア)も含まれるので,対象となるIT資産は多岐にわたる。
情報自体も定量評価すべき対象である。機密情報(重要情報)についても,「何が」「どこに」「どのような形態」で保存されているのかを明確にしておく。ただし,「何が機密情報なのか」を定義することから始める必要がある。
認証ディレクトリやIT資産管理システムが有用
次に,社内の情報リソースを定量評価ならびに管理する仕組みについて考えてみたい。
まずは,企業の中で働く人の情報を管理する仕組みを考えてみる。一般的には「人事情報システム」などが思い浮かぶが,セキュリティの観点からは「社員情報ディレクトリ(認証ディレクトリ)」を構築することが最適だと考える。認証ディレクトリについては,このコラムで以前解説した。
認証ディレクトリの導入により,社員に関する情報を統合的に管理できるようになる。認証情報の一元化を図ると同時に,それぞれの社員に付与したアクセス権限情報を使って,サーバーなどへのアクセスをコントロールすることが可能となる。認証ディレクトリは,企業内で稼働しているさまざまな業務システムの認証基盤となり,シングル・サインオンの実現や統合的なID管理へと発展させることができる。
企業内で稼働しているIT資産を把握するためには,IT資産管理システムの導入が望ましい。IT資産管理システムを導入すれば,PCなどのOA機器の導入状況や稼働状況を適切に管理できるようになる。ソフトウエアのライセンス管理や調達・棚卸,廃棄といった資産管理も行える。
IT資産管理システムは,セキュリティ対策の進捗状況を確認する手段としても利用できる。多くのIT資産管理システムには,PC上で稼働しているソフトウエアなどのインベントリ情報を収集する。インベントリ情報には,OSの種別やバージョン,導入プログラムの一覧,ワクチンやパッチ適用状況などが含まれる。これらを集中管理することにより,各PCでのセキュリティ対策状況が分かる。
最近では,単にセキュリティ状況を調べるだけではなく,セキュリティ対策に不備があるPCについては,自動的にパッチを適用する,あるいはワクチン・プログラムを更新するといった作業を,別のシステムと連動することで可能にしているIT資産管理システムも存在する。IT資産管理システムを導入する際には,そういった機能の有無もチェックしたい。
“数える”ことのメリット
冒頭でも書いたように,「どのような対策が必要なのか」「対策にどのくらいの費用がかかるのか」といったことを明らかにするには,現状を定量的に把握することが不可欠である。
加えて,定量的な把握は,対策の導入前だけ実施すればよいものではない。継続的な調査が必要である。継続的に調査しなければ,対策による効果を計ることができない。対策の有効性を定量的に示し,さらなる改善を実施するためには定量評価,すなわち,数え上げることが重要である。
定量評価の必要性ならびにメリットはこれらだけにはとどまらない。これらを含めて,“数える”ことのメリットを以下にまとめてみた。
●必要な対策を明らかにできる(対策の最適化)
「そもそもどんな対策が必要なのか」「対策にどのくらい費用がかかるのか」---などを明確にすることで,コストを推定するとともに,施すべき対策の優先度を明らかにできる。
●対策の効果を測定できる(効果の定量化)
対策実施後の効果を数値化して,対策の有効性を定量的に示すことができる。それにより,今後の対策を,より実効性のあるものに改善できる。
●施策を徹底できる(施策の徹底)
施策の実施状況を数値化して「未対処の証拠」の示せるので,未実施部門へ“積極的に”対策の実施を促すことができる。
●情報セキュリティへの意識改革(セキュリティ・リテラシーの向上)
セキュリティ対策の展開にあたり,施策を推進する部門(管理部門)と実施部門(ユーザー部門)が,セキュリティ対策の定量化(数値目標の設定と実施状況の共有)を通して,協力関係を構築しやすくなる。また,社員へセキュリティ対策を働きかける“きっかけ”を作りやすくなる。
以上のように,“数える”ことにはさまざまなメリットが存在する。企業の情報セキュリティ・ガバナンスを推進することにもつながり,企業全体の情報セキュリティに関するリテラシー向上にも寄与する。多くの企業では実施済みだとは思うが,「数える管理」の重要性を改めて認識していただきたい。
大谷 俊一 (OHTANI Toshikazu) 
NECソフト株式会社 MCシステム事業部セキュリティ部
IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
