対策は流行に捉われやすいが、本来は順序立てて検討していくことが重要だ。要件を決める方法として、情報セキュリティのフレームワークを活用した手順を解説する。Webシステム向けの対策や、ロードマップの策定方法も見ていこう。
セキュリティ対策は本来、守りたいものや対策の目的によって多様な選択肢がある。だが、経営層や顧客への説明がしやすいことから、流行りのソリューションに陥りがちだ。インターネット イニシアティブの根岸征史氏(サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア)は「特定ポイントだけのソリューションに依存するのはよくない。その他の脅威にも対応できるように、バランスよく対策する必要がある」と指摘する。
流行に惑わされないためには、現状分析や目的の明確化など、順序立てて考える。手順としては、IPAが提示する作業項目が参考になる(図1)。実施フェーズは要件定義からテストまで五つある。ここでは要件定義と方式設計に注目しよう。
図1●IPAが公開したセキュリティ対策の要件定義や設計の手順
要件定義では目的を明確化し、脅威パターンや対策箇所、費用を整理する。機器を導入する際は監視をセットにして検討する
[画像のクリックで拡大表示]
