注目の書籍好評発売中!
|
情報セキュリティプランナーは見た!
「誰の責任だ!」−−セキュリティの第一歩は責任分化から
河野省二/ディアイティ セキュリティサービス事業部
何かトラブルが起きるたびに「誰の責任だ!」なんて部長の怒鳴り声が聞こえてきます。これが部長の責任だったりすると大変で、部下は誰も何も言えません。それを見た部長はさらにヒートアップ。「だまってちゃわからんだろう!」なんて言われて、今回の生け贄は誰にするかの目配せが始まったりして・・・。よくある光景かどうかは別として、これを客観的に見ていると、色々な問題が浮かび上がってきます。
1. 部長はなぜ、誰の責任か判断できないのか 情報セキュリティ・マネジメントに関するコンサルティングをしていると、このような光景を目の当たりにすることが多く、ちゃんと対策できている企業は少ないんだなと実感します。さらに、そんな企業の多くがISMS認証を受けていたりすると、もっと基本となる考え方について検討しなくてはいけないなと考えさせられます。
セキュリティ強化の基本は責任分化情報セキュリティに限らず、リスク・マネジメントの基本は「責任の分化」です。内部統制、J-SOX法など、対応しなければならない事柄はいろいろありますが、これらも基本的には責任の分化だけ明確にしておけば十分に対応できるのではないかと考えています。 では、ネットワーク・セキュリティの責任分化について考えてみましょう。ネットワーク・セキュリティを考える際,まず,「ゾーニング」を行います。ゾーニングとはネットワークの区画分けのことで,ルーターなどを利用してネットワークの管理単位を作っていると言ってもいいでしょう。そしてこの一つの区画をネットワーク・ゾーンと呼びます。このゾーニングが,ネットワーク・セキュリティの観点からも重要になります。
例えば図1の中にある「エリア1」では,どのようなプロトコルで通信しても良いのでしょうか。また、エリア1にはどのような人が接続してもいいのでしょうか。そもそも、このエリア1は誰が利用することを前提に作られたネットワーク・ゾーンなのでしょうか。 これらの情報が明確でなければ、いかに優秀な技術者といえどもセキュリティの設定はできません。ここで重要になるのが,ネットワーク構築と運用における責任です。
ネットワークを利用するまでのフェーズは,設計,構築,運用管理,利用の4段階に分けられます。利用を含んでいるのは、利用者にもネットワーク運用の責任があるからです。表1を見ると分かりますが、構築から利用までの3フェーズは、設計フェーズで決められたことを実行に移しているだけです。つまり、設計が正しくできていないと正しいセキュリティ対策を行うことができないということになります。部長が「誰の責任だ!」と叫んで、思わず目配せしてしまったのは、部長がネットワーク・オーナーだったからかも知れません。
ネットワーク・オーナーのお仕事
セキュリティコンサルの現場でネットワーク図を見せていただきながらシステム部長にこんな質問をします。
たったこれだけの質問ですが、明確に答えてもらうことができません。特にネットワークの帯域などについてはほとんどの方が答えられないのです。
トラブルは起きているのか
ネットワークの帯域なんて決まっていなくても問題ないじゃないか、つながっていればいいんだよ。という声も聞こえてきそうですが、もちろんそれでも構いません。それでビジネスに支障がなければよいのだと思います。 「ビジネスを続けられないこと」イコール「トラブル」だとすれば、その基準がわかっていなければいけないということになります。つまり、正常値がわかっていなければ正しい対応ができないということになります。ネットワークの正常値ということで考えると、単純に○○Mビット/秒ということではなく、普段からの情報収集が重要なポイントになります。なぜなら、時間帯によってネットワークの利用率が変化するからです。これらを正しく捉えるには、1年に1〜2回のペネトレーション・テストでなく、日常のネットワーク解析と統計が重要になってきます。 情報セキュリティの強化は,このような責任の所在を明らかにし,ネットワークの実態を明らかにするところから始まります。その上で,事故が起きているかどうかの「判断基準」を明確にしなければなりません。次回は、情報セキュリティ対策を計画する前に必要なプロセスについて解説します。
連載新着連載目次へ >>
|
