「経営者は物理的な資産の保護には一生懸命だ。建物や機器に多額の保険をかける。同じように,情報資産を守るためにもお金や人をかけるべきだ。情報資産を守るための“保険”が,セキュリティへの投資なのだ」――。米VeriSignのSenior Network Security EngineerであるMaxx RedWine氏は6月11日,IT Proの取材に対して情報資産を守ることの重要性を訴えた(写真)。以下,同氏の発言内容をまとめた。

警報装置を設置するならIDSも

 経営者は物理的なセキュリティには注意を払っても,情報セキュリティには注意を払わない場合が少なくない。例えば,オフィスには頑丈な鍵を設置し,警報装置を取り付けていても,重要な情報が流れるネットワークのセキュリティは甘い。“鍵”に対応するファイアウオールなどの導入は進んでいるものの,“警報装置”に対応するIDS(侵入検知装置)の導入は進んでいない。情報を守るために,IDSの導入は不可欠だ。

 IDSは運用が大変との声もあるが,それは製品による。「Real Secure」や「Dragon」,「NFR」といった有名どころの製品では,運用の手間は少なくて済む。異常を検知すれば,自動的に対応する機能を備えたり,管理者へメールなどで通知する機能などを備えている。

 もちろん,導入時にはチューニングが必要だ。6週間から6カ月ぐらいかけて,導入したネットワークに合うように設定などを変更する必要がある。しかし,これはIDSに限らない。ファイアウオールなども同じだ。デフォルト設定のままで設置してもネットワークは守れない。ある程度時間をかけてチューニングする必要がある。適切な製品を選択して,一度チューニングしてしまえば,IDSでもそれほど手間をかけずに運用できる。

トレーニングは有用な投資

 それから,ファイアウオールやIDSを適切に運用するには,“人”にもっと投資する必要がある。ベンダーなどが実施する,ファイアウオールやIDSなどのトレーニングは有用な投資である。ところが,そういったトレーニングを受けさせてもらえない管理者は多い。そういった管理者は,自分でマニュアルを読んで運用方法を学ばなくてはならない。

 経営者は「トレーニングは有償だが,マニュアルで学ぶのなら無償だ」と考えがちだが,とんでもない誤りだ。マニュアルで学習している間,管理者は通常の業務をこなせない。大きな損失である。しかも,マニュアルで学ぶのでは,ポイントが分からず効率が悪い。トレーニングのほうが,費用対効果に優れているのである。

(勝村 幸博=IT Pro)