IDC Japanの花岡秀樹リサーチマネージャ
IDC Japanの花岡秀樹リサーチマネージャ
[画像のクリックで拡大表示]

 「景気後退に伴って情報システムのアウトソースなどが進み,企業のデータはますます社外に出回るようになる。それに伴ってシステムが複雑化し,セキュリティ・リスクも高まる。企業は極力利便性を損なわずに,いかにセキュリティを確保していくか考えなくてはならない」――。2009年9月2日から東京ビッグサイトで開催されている「Security Solution 2009」の会場で,IDC Japanの花岡秀樹リサーチマネージャが「次世代の情報セキュリティマネジメント」をテーマに講演した。

 IDCのデータによると,最近ではやや持ち直しているとはいえ,2008年9月のリーマン・ショック以降,企業のIT投資は減少傾向にあるという。花岡氏は,これに伴って「企業の情報システムでアウトソースやオフショア,SaaSやクラウド・コンピューティングなどの社外リソースの活用がいっそう進む」と見る。狙いはコストの削減だ。

 一方で,社外リソースを活用すればするほど,自社のデータを社外に出す必要があり,結果としてセキュリティ・リスクが高まる。この点は企業ユーザーにも理解されているらしく,「IDCが実施したユーザー・アンケートでは,SaaSやクラウド・コンピューティングを利用する際の課題として,『データを他社に預けるのが不安』などセキュリティ上の懸念を挙げるユーザーが多かった」(花岡氏)という。また,「IT投資の中でも,セキュリティやコンプライアンスの分野はオフィス・ソフトなどに比べて予算削減率が低く,堅調に推移している」(花岡氏)。

 このように社外リソースの活用が進んだ情報システムでは,従来とはやや異なるセキュリティ・マネジメントが必要になる。例えば「アウトソース一つとっても,外部に委託する対象を細分化して,さまざまなサービスを組み合わせて使う企業が増えている」(花岡氏)。アウトソースやSaaS,クラウドなどを導入する場合,自社データの預け先が複数の企業にわたり,それらをコラボレートして使うケースが多い。すると,システムのマネジメントが複雑になってくるというのだ。「複数の外部サービスとデータをスムーズにやりとりしつつ,どうやってコンプライアンスやセキュリティを固めるかが,これからの企業システムの悩みどころだ」(花岡氏)。

 もう一つ,「外部からの攻撃だけでなく,内部の脅威が問題視されるようになっている」(花岡氏)のも最近の企業セキュリティの特徴だ。ここ数年のセキュリティの話題を振り返ってみると,クラッカによるサーバーへの攻撃,サーバーとクライアントへのマルウエアの流行を経て,内部統制やリスクマネジメントなどにトレンドが移ってきているという。とはいえ,「内部統制を強めると情報システムの利便性が損なわれ,社内の士気が下がり,結果として内部犯行などのセキュリティ・リスクを高める結果になりかねない」(花岡氏)というジレンマがある。

 では,こうした傾向を踏まえて今後のセキュリティ・マネジメントには具体的にどのような製品やソリューションが適しているのだろう。

 花岡氏は一つの解として「アプリケーション・レベルでセキュリティ対策を実施できる製品」を挙げる。例えばファイアウォール関連製品なら,IDS/IPS,WAFなどの機能を備えるものを指す。

 情報漏えい対策なら,アクセス・コントロールや暗号化だけでなく,いわゆるDLP(data leak prevention)の機能を備えるものが該当するという。「DLPはメールの内容をチェックして個人情報,機密情報の漏えいを検知したり,USBメモリーなどのデバイス制限機能を提供したりするもので,日本では2008年くらいから大手セキュリティ・ベンダーが製品を本格的に紹介している」(花岡氏)。

 いずれにせよ,単純に接続を許可/拒否するといった機能ではなく,「接続を許可したうえでどこまでの操作を実行可能にするか」といった,ある程度インテリジェントな動作が求められるという。「こうしたアプリケーション・レベルの製品の中には,利便性を維持しながらセキュリティを高めたり,セキュリティ・レベルを保ちながら利便性をアップさせたりするものが出てきている」(花岡氏)。

 なお,「製品やソリューションではないが,企業内部からの脅威を軽減するために『部門間けん制』が有効なケースもある」(花岡氏)という。例えば,情報システム部門のスタッフによる不正があっても,検知するのは難しい。そこで,「情報システム部門で不審な操作があった場合,自動的にほかの部署にレポートがいくようなシステムを作っておけばよい」(花岡氏)という。

 上記のようなアプリケーション・レベルのセキュリティ対策は,導入に手間がかかるケースがある。例えばDLPなどは,社内の資産管理やユーザー管理の徹底が前提になるため,導入するには敷居が高いという。「自社のビジネスとの関連度,導入難易度などを基に各ソリューションを吟味し,優先順位を付けて採用を進めていくのがいいだろう」(花岡氏)。