「サーバーやクライアントなどの利用法や設定が企業のセキュリティ・ポリシーに合致しているかどうかを自動的に“監査”するシステムが、2004年のセキュリティ対策の肝になる」。シマンテックの野々下幸治システムエンジニアリング本部長(写真)はこう断言する。
「昨年(2003年)8月に起こったブラスター騒動のときのように、セキュリティ・ポリシーを守らないユーザーがいると企業全体が危険にさらされてしまう」と野々下本部長は警告する。多くの企業は、ファイアウオールなどゲートウエイ型のセキュリティ装置の導入や、クライアント・パソコンへのウイルス対策ソフトのインストールといったウイルス対策を進めている。しかし、「ワームやコンピュータ・ウイルスの感染方法はどんどん巧妙になっており、従来の対策では守りきれなくなっている」(野々下本部長)。
そこで有望視されているのが、セキュリティ・ポリシー通りに機器が設定されているか、機器がポリシーに反した使われ方をしていないかなどを調べるセキュリティ監査の仕組みを作ることだ。機器の設定とは、OSの不要なサービスを利用できないようにしておく、あるいは無線LANやリモート・アクセスを利用していいかどうかを決めるといったことを指す。欧米ではこのセキュリティ監査の仕組みが多くの企業で確立されており、機器の監査を自動化するシステムの導入も進んでいる。例えばシマンテックは、同社製品の「Symantec Enterprise Security Manager(SESM)」で機器を監査する機能を提供している。
ところが、「残念ながら、セキュリティ・ポリシーを定めていたとしてもそれを具体的にシステム設定に反映させている日本企業はまだ少ない。まして、各機器がセキュリティ・ポリシー通りの設定になっているかどうかを監査している企業はほとんどない」と野々下本部長は指摘する。監査を自動化する製品に関しても、「米国では10年以上前から企業が導入しているが、日本には市場すらまだ立ち上がっていない。米国ではSESMの競合製品がいくつか存在するが、ほとんど日本に入ってきていない」(同)。
野々下本部長は、「ユーザーがセキュリティ・ポリシーを守るものだという意識を捨て、企業としてきちんとした監査の仕組みやそのためのシステムを持つことが必要だ」と話す。ただし昨年後半からは、「セキュリティ監査の必要性に気付いた企業から、SESMの引き合いが増えている」(同)。
