「セキュリティ対策というと,コンピュータやネットワークの利用を厳しく制限することだと考える“セキュリティ原理主義”の管理者が少なくない。しかしそれでは,そもそも何のためにIT投資しているのか分からない。ITによる恩恵を最大化することも忘れてはいけない」――。奈良先端科学技術大学院大学の山口英教授は6月1日,セキュリティに関するカンファレンス「RSA Conference 2004 Japan」において,セキュリティ対策のポイントについて講演した。以下,同氏の発言内容の一部をまとめた。
セキュリティ対策を施すためには,明確な目標を設定する必要がある。目標の一つはITによる恩恵を最大化すること。そしてもう一つが,リスクを最小化することである。これら2つを両立しなければいけないことであり,両立できることである。両立させるには,両者のバランスをうまくとることが重要だ。
とはいえ,どちらか一方だけを実現することは容易だが,バランスをうまくとることは難しい。システムの環境や目的などによって,バランスのとり方は異なるからだ。どんなシステムにも通用するような「万能型紙」は存在しない。
そこで管理者としては,まずは理想的なシステムを考える。どういった技術,基準,運用ノウハウを用いたシステムが,現在運用しているシステムとして理想なのかを考える。そして,その理想的なシステムと実際のシステムを比較して,差分を明らかにする。この,差分を明らかにすることが,監査・検査である。
そして,理想的なシステムに近づけるために施すのがセキュリティ対策である。定石は存在するものの,セキュリティ対策はシステム(サービス・システム・モデル)によって異なる。あくまでも,システムの一部であり,システムと分けて考えられるものではない。にもかかわらず,「どのようなシステムを対象とするのか」を明確にしないで,「どのようなセキュリティ対策を施せばよいのか」だけが議論される場合が多い。これは無意味だ。現場を知らないで適切な対策を考えることはできない。
(勝村 幸博=IT Pro)
