「彼を知り己を知れば百戦して危うからず」。孫子兵法の教えは,古今東西,そして情報セキュリティ分野でも通じるようだ。
米国でネットワーク・セキュリティのコンサルティングを手がけるフリーの技術者で,インターナショナル・ネットワーク・セキュリティ(http://www.insi.co.jp/)の契約コンサルタントでもあるクリス・ゴーガンズ氏が来日し,記者のインタビューに応じた。同氏は不正侵入やウイルスと闘うための鉄則として,「まずは己を知るところから始めよ」と日本企業にアドバイスした。
ゴーガンズ氏は米国で10年以上にわたり,政府や金融・通信業界の仕事を手がけている。1995年に発行された小説「Masters of Deception : The Gang That Ruled Cyberspace(邦題は『サイバースペースの決闘』)」では,登場人物のモデルにもなった。同氏の発言要旨は以下の通り。
すべてのセキュリティ対策は,自社のネットワークを調査し,実態を把握することから始めなければならない。このことを何よりも優先すべきだ。
企業でも官公庁でも,大規模になればなるほど,保有しているネットワークの構成や,つながっているコンピュータの種類・台数,コンピュータにインストールされているOSやソフトのバージョン,バグ修正ファイルの適用状況などを把握できていない。
こうしたネットワーク全体の状況を示す“マップ”をぜひ作ってほしい。マップには,社内ネットワークだけでなく,社外ネットワークとの接続状況も書き込む。ネットワークの実態がどうなっているのか分からなければ,セキュリティ対策の打ちようがないからだ。
5万ものIPアドレスを使っている大規模ネットワークでも,十分なスキルを持った技術者が3人もいれば,3週間でくまなく調べることができる。社外と社内の両面から侵入検査や疑似攻撃などを行えば,詳細な情報を収集できる。私が企業から依頼を受けてマップを作成する際には,フリー・ソフトのネットワーク検査ツールをカスタマイズして使っている。
重要なのは,調査を定期的に実施してマップの内容を更新し,継続的に管理することだ。残念ながら,ここで手を抜いてしまう企業が多い。企業の規模やITの重要度によるが,最低でも年に1回は調査する必要がある。
3~4年前まで,日本のセキュリティに対する意識は極めて貧弱と言われていたが,最近はずいぶん状況が変わったと感じている。サイバー犯罪に関する法律(不正アクセス禁止法)が制定されたこともあって,セキュリティ対策を推進するための環境はかなり整ったと評価している。
日本の組織は,いったん動き出せばその後の行動が速いし,政府が「やるぞ」と言えば民間がそれに従う傾向もある。米国ではこうはいかない。今後は日本のセキュリティ対策が一気に進展するのではないか。
