「全社員に,会社の建物のどの部屋(オフィス)でも開けられるマスター・キーを渡すことはないはず。その社員がいる部屋の鍵しか渡さない。ネットワーク・セキュリティについても同じように考えるべきだ。ユーザーへ与えるアクセス権限は最小限に抑えるべき」――。米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)であるBruce Schneier氏は4月6日,IT Proの取材に関して,アクセス・コントロールの重要性について語った(写真)。
同社はインテック コミュニケーションズと共同で,国内向けのセキュリティ監視サービス「EINS/MSS+」を開始している(関連記事)。同社自身は1999年からワールドワイドでセキュリティ監視サービスを提供しており,現在,世界32カ国の企業や組織で利用されている。その中には国内企業も含まれるという。ただし,同社が独自に提供するサービスでは,ユーザーとのやり取りや提供される情報は英語である。一方,インテック コミュニケーションズと提供するサービスでは,情報や通知はすべて日本語で提供される。ユーザーからの問い合わせに対応するのも,インテック コミュニケーションズのスタッフである。
Counterpane Internet Securityとインテック コミュニケーションズが提供するサービスでは,社外からの不正アクセスだけではなく,社内からの不正アクセスも検知できる。問題はアクセス権限があるユーザーによる情報の持ち出しである。「権限があるユーザーによる情報へのアクセスは正当な手続きである。当然のことながら,不正アクセスとして検知できない。これはテクノロジーの問題ではなく,人の問題,運用の問題だ」(Schneier氏)。
「情報の流出を防止するために重要なことは,アクセス権限を最小限にするということ。アクセス権限がない情報(サーバー)へのアクセスの試みは,セキュリティ監視サービスなどで検知できる。権限を最小限にすることは,ネットワーク・セキュリティだけではなく,あらゆるセキュリティについて重要だ。実際,物理的なセキュリティに関しては,多くの企業で実践されているはず。ネットワーク・セキュリティについても同じように考えるべきだ」(同氏)
(勝村 幸博=IT Pro)
