単にウイルス対策ソフトとファイアウォールと入れましたでは,実効性のある対策にならない――。2008年4月23日から開催されているRSA Conference Japan 2008の基調講演に,ジュニパーネットワークスの吉岡茂エンタープライズビジネス統括本部長が登場(写真)。セキュリティの問題点を外的要因と内的要因に分類し,どちらにも対処できるシステムが必要と説明した。
2005年に個人情報保護法が施行となったものの,今だに情報漏えいの事件が収まらない。吉岡氏は,Winnyに関する企業の漏えい事件が,2008年3月だけでも6件が明らかになっているという例を示し,「週に1回以上の事件が起きていたことになる。まだまだ対策が甘い」(吉岡氏)と警鐘を鳴らした。大容量化が進むUSBメモリーでデータを持ち出して,情報漏えいするパターンもあるという。
情報漏えいが起きると,企業にとって大きな問題となる。「ヘタをするとトップまで引責辞任することになりかねない」(吉岡氏)。個人情報保護法のほかにも,政府はISMS(情報セキュリティマネジメントシステム)やJ-SOX法といった制度を導入している。J-SOX法ではITを利用した内部統制をするという規定があることなどから,吉岡氏は「単にアンチウイルスやファイアウオール入れているだけでは法律を遵守していることにならない」と指摘する。
こうした現状を踏まえ,これから求められるセキュリティ対策は何か。吉岡氏は,企業が対策するべき脅威には不正アクセスなどの外的要因,Winnyによる情報漏えいなどの内的要因の2種類があるという。今後,企業のシステムはどちらの脅威にも対処していかなければならないというのだ。
外的要因の対策としてはファイアウォールが使われるが,多彩な攻撃を防ぐにはアプリケーション・レベルまで防御するべきだという。そうした製品としては,ジュニパーネットワークスでは侵入検知アプライアンスIDPシリーズなどがある。大規模拠点ではさらに,ウイルス対策,スパム対策,URLフィルタリングとさまざまな専用サーバーが用意される。ただ,運用コストの削減が必要となる中小の拠点では,各機能ごとにサーバーを用意することは難しい。そこで,中小拠点では,さまざまな防御機能を統合したUTM(unified threat management)が最適であると吉岡氏はいう。
内的要因について,吉岡氏が挙げた対策は3つ。1つ目は定期的に社内のパソコンのセキュリティ状態をチェックすること。次に,社内にアクセスできるパソコンのアクセス管理を徹底すること。最後に,問題が起きた場合に備えるために,メールなどのログ監視をすることである。外的要因と比べると,実は内的要因のほうが対策は難しいと吉岡氏はいう。「性善説ではなく,性悪説に立たないとセキュリティは保てない」(吉岡氏)と,内的要因を排除する管理者としての心がけを述べた。
