米Microsoftから情報が漏えいしたという事件報道は,まだ記憶に新しい。このような情報漏えい事件の被害金額は,実際どの程度になるのだろうか。米国のセキュリティ組織「Computer Security Institute」の調査結果によると,被害金額は,昨年(1999年)1年間で80億円,1996年から2000年までの総計では約600億円に上るという。
今後,このような情報漏えい事件は,ごく限られた分野に生じると見るのが妥当だろうか,それとも,規模の大小を問わず,幅広い分野で発生する問題であると考えるべきだろうか。
筆者は,残念ながら悲観的な見地を取る。すなわち,幅広い分野で生じる問題であると考えている。なぜなら,コンピュータが文具などと同じように,企業や学校,そして家庭の中に組み込まれ,それなしでは組織の活動が成り立たなくなっている現状を考えると,どの分野でもMicrosoftに生じたような事件は起こると考えざるを得ないからである。
ではこのような現実を前にして,どのような対策が必要になるのであろうか。筆者も含め,技術者は,技術的な対策に対して,精魂を傾けるのが非常に好きである。しかし,実際には,技術だけでは不足で,ツールや情報機器を使用する人間の意識や,モラルを高めて,セキュリティをコントロールすることが必要となってくる。
このような考え方は,セキュリティ先進国の米国では,以前から提唱されており,「セキュリティ・ポリシー」の構築・運用によって,ツールと人員のセキュリティ管理を包括的に行なう方法が一般的に浸透している。日本の場合は,明確で尺度化され,具体的で組織化された基準よりも,どちらかと言えば抽象的で,基準の対象者の解釈の余地がある考え方が主流であったといえる。このことは,セキュリティ,とりわけコンピュータ・セキュリティの分野において,米国と比較して,日本はまだ遅れをとっている部分があり,結果として,ポリシーよりも,技術先行型にならざるを得ないということが手伝っているのだろう。
そもそも,セキュリティ・ポリシーとは,組織全体を対象とした,セキュリティに関する規則を示すことであり,その構築と運用は,以下の(1)から(7)に示すワークフローに沿って行う。
| ■構築段階 | |
| (1) | 最高責任者が,組織内にセキュリティ・ポリシーを適用することを宣言する |
| (2) | 組織に対する,リスクの診断と分析を行う |
| (3) | 洗い出されたリスクに対して,リスクや対策内容が記述されたポリシーを策定する |
| (4) | 組織内の最高責任者から,ポリシーの内容に対する承認を得る |
| ■運用段階 | |
| (5) | ポリシーを全組織内に公開する |
| (6) | ユーザーからの意見を基に,ポリシーと現実の間で生まれたギャップを,ポリシー管理者が修正する(ポリシーの最適化) |
| (7) | ユーザーの参照状況,ポリシーの履行状況をチェックする |
| *項目(6)と(7)は,繰り返し継続する作業 |
このようなフローを採用すれば,構築段階で,組織全体の上位から下位までのリスクに対して,セキュリティ対策を適用できる。今までありがちだった,「問題が出てきたら対応する」,「何が問題なのか不明確である」といったモグラ叩き的な対策方法と比較すると,問題の出現する可能性を大幅に抑えられ,問題に対する効果的な対処方法も用意できる。さらに,問題の再発も防げるだろう。
もちろん,セキュリティ・ポリシーを効果的に構築・運用しようとすれば,多大なコストとマンパワーを必要とする。また,日本国内ではセキュリティ・ポリシーの価値や必要性が,まだ一般的には認識されていないため,多額の投資を行えるという企業は多くはない。
しかしながら,筆者は,セキュリティ・ポリシーの考え方は必要不可欠であると考えている。今後のネットワーク犯罪や,ユーザーのセキュリティ意識が高くないことを考えると,統合化されたセキュリティ管理は必須(ひっす)となるからである。
セキュリティ・ポリシーに関しては,まだまだ話題は尽きないが,今回はここまでで,一度筆を置くことにしたい。今後も,セキュリティ・ポリシーや関連する話題についての,掘り下げた説明や動向を紹介していくので,感想や取り上げてほしい話題があれば,ぜひ筆者までお寄せいただきたい。
田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
