「技術はセキュリティを守るための一つの要素であり,それだけで守れると考えるのは間違いだ」――。米ソニックウォールのジョー・レビィCTO(最高技術責任者)は2007年6月11日に開催された記者説明会の席上こう述べた。
同氏は「企業はこれまで,簡単に防御できるという触れ込みの製品を導入してきただけで,ログを解析したり,ユーザーのポリシー違反を監視するといった面倒からは逃げてきた」と指摘。こうした考え方で作られたセキュリティ・システムは,既知の攻撃は防御できるかもしれないが,新しい脅威が発生したときに対処できないという。
この現状を打破するための方策として示したのが,(1)情報資産の評価,(2)脅威の定義,(3)自社のぜい弱点の洗い出し,(4)現在防御内容の把握――をまず実施すること。「これらを総合して,どこが狙われると問題が大きいかを判断し,その部分を強化するように対策を講じなければならない」とした。このとき技術的な点ばかりではなく,社員の教育やポリシーの策定といった人為的な部分も評価する必要があることを付け加えた。
さらに,こうした評価や対策を継続的に行うためには,「コンピュータ・セキュリティの対策チーム(CSIRT)を社内に設置する必要があるが,こうした組織を設置してる企業は非常にまれ」とし,設置を呼びかけた。CSIRTの設置によって,問題を事前に守れるだけでなく,万が一,問題発生した場合でも迅速な対応や問題の影響度の把握ができるようになるという。
|
