セキュリティ対策の決定手順

　セキュリティ要件から具体的な対策を導き出すには，7段階のステップを踏みます（図1）。

図1●セキュリティ対策の検討手順 ヒアリングした要件を詳細化し，具体的な対策を決定する。選定した技術によってはトレードオフが発生するので，利用部門に了承を得る必要がある [画像のクリックで拡大表示]

詳細を確認し，隠れた目的を明らかに

　最初に，セキュリティ要件の定義を明確化し，できるだけ定量的に評価できるようにします。例えば，「外部から侵入できないこと」という要件であれば，「外部」とは何を指しているのかを定義する必要があります。社内LANの外側（インターネット）というネットワーク上の意味なのか，サーバー・ルームの外側という物理的な意味を含むのかを明らかにします。サーバー・ルームへの侵入も阻止する必要があれば，大がかりなファシリティ（建物などの設備のこと）の工事や場所の移転も考慮します。このとき，目的の確認を忘れないようにしましょう。上辺の要件に惑わされ，目的と外れた要素技術を選定しないようにするためです。

　一般に機密性を強めるほどコストがかかりますので，要求されている機密性の強度の確認が欠かせません。情報の重要度に沿った「機密レベル」を設定していれば，機密レベルの高い情報に，より強固なセキュリティ対策を施すことができます。システムの利用者や所有者が準備できる対策費の確認も必須です。対策費には，セキュリティ関連の装置や製品を購入する費用，セキュリティ関連の機能を設計・開発するための工数，脆弱性が紛れ込んでいないかを検証するテスト費用――などが含まれます。

　ここまでの事前準備を経てから，具体的に技術の選定に取りかかります。ハードウエア，ミドルウエア，アプリケーションの各層に要素技術がたくさんありますので（表1），それらを相互補完的に組み合わせます。選択した要素技術によっては，トレードオフがあります。例えば，ネットワーク経路上でデータを盗み見されないようにSSL（Secure Sockets Layer）で暗号化したらパフォーマンスは低下します。これが，制約条件の確認を行うということです。こうした影響を残らず洗い出し制約条件とします。利用部門がこの制約条件を許容できない場合には，「パフォーマンスを下げないようにSSLアクセラレータ装置を導入する」など，別の技術で補完します。この結果，SSLアクセラレータの費用が発生するという別の制約条件が発生します。こうしたトレードオフを調整ながら，制約条件をまとめます。

表1●セキュリティ対策の要素技術

　最終的に図1の（1）〜（6）の内容について，システムの利用者や所有者の承認を取り付けます。現実には，図1の（4）で確認した対策費では，要求されたセキュリティ強度を満たせない場合があります。その場合には，理由を示したうえで対策費の上積みを了承してもらうか，図1の（3）で確認したレベルを部分的に下げるなど，見直しが必要になります。レベルを部分的に下げる場合には，それによって高まるリスクについて，システムの利用者や所有者にきちんと説明し，理解してもらったうえで合意形成することが欠かせません。