「セキュリティ・ポリシーの徹底や社員の良識に頼った人的運用で,社内ネットの安全を守ってきた。だが,もうそれだけでは済まない。ユーザーの利便性を多少犠牲にしてでも,安全性の高い社内ネットを構築せざるを得ない」(戸田建設 情報システム室 主任の奥川 正氏)――

 「日経システム構築3月号」の特集記事「“内部崩壊”する社内ネット」の取材をかねて,いくつかのユーザー企業やベンダー企業を訪ねるうちに,同じような意見を抱く管理者が少なくないことに気づいた。考え方を変える契機になった出来事は企業ごとに異なるのだが,多かったのは,2003年8月に世界中でまん延したワーム「Blaster」への感染だ。社員がノート型パソコンで社内ネットに持ち込んでしまったなどのケースである。

 冒頭の戸田建設も,その一例だ。ウイルス対策ソフトを導入し,利用状況をクライアント構成管理ソフトで監視するという対策を採っていたにもかかわらず,感染を免れなかった。ネットに接続しただけで感染が広がったため,「怪しいファイルは実行しない」などの既存のマニュアルは役に立たなかった。

 同じようなケースは,戸田建設だけではない。大手SIベンダーも,ほぼ同様のシステム構成でポリシーの徹底を図っていたが,「社内でBlasterワームがまん延してしまい,駆除のために丸一日以上も業務が止まった」と声を潜める。

セキュリティ・ポリシーをシステムに実装して“縛り”をかける

 ポリシーや良識に頼った運用に限界を感じ始めた企業が注目しているのは,セキュリティ・ポリシーをIT(情報システム)に実装するという「システム化」である。実務と理想の折り合いで生み出されたはずのポリシーを実装で補強することにより,運用の確実性を高めるわけだ。自動化と効率化で,被害を未然に防いだり,被害の拡大を抑えたりする効果に期待を寄せる。

 もちろん,実装という“縛り”がかかることで,現実にはユーザーの利便性や自由度が下がってしまう場面が出てくるかもしれない。ただ,実務への悪影響が無視できないほどであれば,そもそも実装の基になったポリシーが形骸(がい)化していた証拠だ。その際には,ポリシー自体を見直して,改めて折り合える範囲を探り直し,システム化を図るしかない。

 システム化の一例は,Windowsの「グループ・ポリシー」機能の利用である。ユーザーに管理者権限を与えない,レジストリの変更を許さない,システム領域へのファイルの書き込みを許さないなどの設定をする。こうした設定により,「Blasterの被害をかなり抑え込めた」(京都大学 学術情報メディアセンター 助教授の中村 素典氏)などの実績も出ている。

ベンダー側の責任も大きい――対応策が登場

 こうした社内ネットの安全性を高める取り組みは,企業のリスク管理という観点である程度は必要不可欠である。ただ,ウイルスやワームに話を絞れば,次の2点にこそ,根元的な対策の余地があるはずだ。第1に不具合の多いOS/アプリケーション,第2に不具合を突いた不正コードを安易に実行してしまうCPUアーキテクチャ――である。もちろんこれらは,ユーザー企業にはいかんともしがたい。ベンダーが,責任を持って解決すべき課題である。

 その解答の1つが,米国時間で2月18日に明らかになった。米Intelが「No Execute(NX) memory protection」と呼ぶバッファ・オーバーフロー防止機構を,将来のクライアント向けCPUに盛り込むことを表明したのである(関連記事関連情報)。

 CPUに実装されたメモリーのマーキング機能を利用することで,バッファ・オーバーフローが起きたときに,不正コードを起動してしまうリスクを軽減する。サーバー機向けのCPUでは一般的な機能だが,クライアント向けでは米AMDのAMD64アーキテクチャのCPUでサポートされているくらいだった。これらの機能拡張に呼応して,米Microsoftも取り組みを進めている。2004年第二四半期以降に提供する「Windows XP Service Pack 2」で,AMD64を皮切りに,NX対応プロセッサをサポートする予定だ(関連記事関連情報)。

 未対策だった根本的な課題に対する重要な光明ではあるが,ユーザー企業は安穏とNXに期待し,待っていればいいというわけではない。企業にNXに対応したプロセッサやOSが本格導入されるには,時間とコストがかかるからだ。それに,OSやアプリケーションの不具合が撲滅されるわけではない以上,NXだけでウイルスやワームへの感染がなくなるとも思えない。一部のアプリケーションでは,開発段階でNXを考慮したコーディングが必要になり,開発工数がかさむ場面も出てくるかもしれない。

 こうした将来の技術革新を見据え,現時点でどこまでシステム化して守り,いつまでに償却を終え,どこまでを人的運用でカバーするのかは,難しい問題だ。企業のリスク管理の考え方によっても,解は変わってくるだろう。管理者は,インターネットが身近になり,新技術に基づく製品も量販店などから手軽に入手できるようになった現状を見据えつつ,社内ネットの安全性向上を検討する必要がある。いずれにせよ,ポリシー頼みではなく,システムで裏付けられた運用を模索する段階にきていることは間違いない。

(実森 仁志=日経システム構築)