「北米や豪州でセキュリティ対策に力を入れている先進企業は、次の段階へと進みつつある。それは全体的な(ホリスティック)セキュリティ・マネジメントだ」。米国のセキュリティ教育・研究機関SANS Instituteのディレクター ステファン・ノースカット氏が本誌記者と会見、企業が今後着目すべきセキュリティ対策のポイントを語った。
「企業はファイアウオールやIDS(侵入検知システム)、ウイルス対策ソフトを導入したり、あるいはセキュリティ・ポリシーを定めるなど、さまざまな取り組みを進めてきた。しかしこれらの取り組みだけでは、それぞれのものが得意な部分を押さえただけだ」。そこで必要になるのが、すべてのセキュリティ対策を関連づけて考えるようにする、ホリスティック・セキュリティ・マネジメントというアプローチだと言う。
ノースカット氏はSANS (SysAdmin、Audit、Network、Securityの略) の教育プログラムの責任者であり、自身でセキュリティ関係の分析も手掛けている。セキュリティ関係の書籍も執筆している。こうした経験をベースに、ホリスティック・セキュリティ・マネジメントを実現する四つのポイントを指摘した。
1.ビジネス・ニーズを把握する
「当たり前のことだが、会社が持つどんな情報やシステムを守るのか、なぜ守るのかをきちんと定義し把握することが基本だ。いまなお、この基本ができていない企業が散見される」。
2.日々の運用業務のなかにセキュリティ対策を盛り込む
「セキュリティ対策だけを特別に実施しようとしても、継続するのは難しい。日々のシステム運用業務のなかで時間を確保し、セキュリティ対策作業を組み込んでいくことが大事である」。
3.セキュリティ機器をバラバラに使うのは止める
「ファイアウオールやIDSなどをバラバラに導入するのは止める。おのおのの機器がきちんと連携して動作する状態を作り、保つべきだ。大手のセキュリティ・ベンダーが出している統合的なパッケージ・ソフトを導入するのも良いし、あるいは複数のソフトや機器をまとめて監視・管理できる単体のソフトを使うのも手だ。10社程度から販売されている」。
4.セキュリティ機器が会社の状況に合わせてきちんと動作しているかを常に確認する
「ファイアウオールを購入して導入するだけでは、当然不十分だ。会社の状況に合わせて、ファイアウオールの設定を変更しなければならない」。
しかしありがちなのが、担当者が状況に合わせて設定を変更したのはいいものの、“なぜその設定にしたのか”という理由をドキュメントで残していないケースだと言う。「これでは、時間が経つにつれ、設定した理由がうやむやになって分からなくなってしまう。設定した理由が分からない、というのは、そのセキュリティ対策が機能しているかどうかを確認できない、ということに等しい」。
これを回避するために、なるべくドキュメント作成を自動化できるツールを使ったり、最初からドキュメントの作成・保守の時間を見積もったうえで作業のスケジュールを立てる、といった工夫が大切だ。「こうした取り組みはまだ一部の企業しか始めていない」。ツールとしては、オープンソースのCVS(Current Version System)のようなファイルのバージョン管理ツールを適用したり、データベース・ソフトを使って独自に開発する方法がある。
「企業のCIOは、ネットで起きていることに目をつぶってはダメだ」とノースカット氏は助言する。「インターネットから会社に入ってくる、あるいはインターネットに出ていくデータを注視していると、従業員がセキュリティのルールに違反していることが分かるし、逆に会社に不正なパケットが送られていることもよく分かる。それに目をつぶらず、現状を冷静に見つめることが必要だ」。
