本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
筆者は、従業員100~200人規模の企業にセキュリティコンサルティングを行うことがよくあります。その際よく、「セキュリティ対策として、何をしたらよいか分からない」と相談されます。こうした企業の多くはIT担当者の数が少ないので、効率的にセキュリティ対策をしたくても、そもそも何が問題で対策が必要になっているかが分からないのです。
こうした企業には、まず、セキュリティの問題を洗い出すことを提案しています。例えば、簡単にできる方法として、IPA(情報処理推進機構)が公開しているセキュリティのチェックリストがあります。「ウイルス対策ソフトを入れていますか」「パスワードを書いた紙を張り付けてはいませんか」といった約20のチェック項目を確認することで自社の基本的なセキュリティ対策状況を把握できます。これで問題点が見えてくるケースもありますが、企業のITインフラは使っている機器やサービスが多数あり用途もさまざまですから、前述のチェックリストだけでは不十分である場合もあります。
こうした企業に対して我々は、セキュリティの現状を分析することを勧めます。これを「リスクアセスメント」といいます。
リスクアセスメントは、3つの要素を意識して分析するべきだと考えます。1つは“技術”です。セキュリティ対策のできる仕組みとして、どのようなものを使っているか、ということになります。具体例を挙げると、「ファイアウオールを導入しているか」「PCにウイルス対策ソフトをインストールしているか」などです。
2つめの要素は“人”です。「ファイアウオールやウイルス対策ソフトなどの稼働状況を、人の目できちんとチェックできているか」などを確認します。攻撃手法も防御手法も日々進化します。セキュリティ対策のための機器やソフトは、導入時は最新ですから攻撃を防げるかもしれません。しかしその防御手法は、半年後には陳腐化しているかもしれません。また、ファイアウオールなどが、攻撃の予兆かもしれない事項を警告しているにも関わらず、監視する人がいないことによってそのまま放置し続けてしまい、流出事故がおきるケースもあります。人がきちんと見る、チェックすることが必要なのです。
3つめの要素は“組織”です。情報漏洩や不正侵入、ウイルス感染といったセキュリティインシデントが発生したときに、組織としての動きやルールが何も決まっておらず、慌てて対応を行い被害を拡大させてしまったり、場当たり的な対応を重ねることで被害が教訓にならず同じような事例が再発したりすることになりかねません。インシデントの第一発見者、その上司、IT担当者、経営者層といった各関係者が担当すべき作業がルール化されており、それが社内に周知されていることが必要なのです。