組織における,情報の取り扱いについてのルールや,責任の所在などを明文化した「セキュリティ・ポリシー」の作成および導入が,2003年後半にはさらに進むと考えられる。セキュリティ意識が高い企業の多くは導入済みだろうが,未整備の企業も少なくない。

 セキュリティ・ポリシーや情報セキュリティ管理認証が盛り上がったのは2002年度のことである。前回の記事で紹介したように,ISMS認証は2002年4月から開始された。そういった動きを見て,自社にも導入する必要性を感じていたものの,予算の都合で導入できなかった企業は少なくないはずだ。そういった企業が,2003年度は予算を確保して,セキュリティ・ポリシーの作成および導入,管理認証の取得を開始すると予想される。

 セキュリティ・ポリシーを既に導入している企業でも,セキュリティ・ポリシーに関する支出は余儀なくされるだろう。というのも,前回の記事にも書いたように,セキュリティ・ポリシーは運用しなければ意味はない。既に導入している企業では,ポリシーの再評価および改善の時期を迎えている。

 ISMS認証を取得した企業も同様である。2003年4月,ISMS認証はVer.2.0に更新された。これに合わせて,取得企業はVer.2.0に適合したポリシーやセキュリティ管理体制に変更する必要がある。

ログ収集と分析の必要性が再認識

 セキュリティ・ポリシーの導入は,既に導入されている機器の管理体制にも影響を与えると考えられる。その最たる例が,サーバーやファイアウオールなどのログ収集と分析である。2003年後半は,ログの収集と分析の必要性がより強く認識されると予想する。

 「セキュリティを維持するには,ログを収集することはちろん,定期的(例えば1週間に1回)に分析することが不可欠」とは各所で言われることだが,多くの企業では単に収集保存しているのが実情だろう。しかし,セキュリティ・ポリシーの導入により「それだけでは不十分」ということになり,定期的に分析する必要性に迫られる。

 そうなると,システム上どのような追加,変更が必要になるだろうか。まず,各サーバーやネットワーク機器のログをリアルタイムに収集し一元管理するための「ログ・サーバー」を構築する必要が出てくる。

 次に必要になるのが,解析ツールである。多量に出力される生ログを人手で調べることは現実的ではない。とはいえ,“強力”な分析ツールは少ないのが実情である。ファイアウオールやWebサーバーのログそれぞれを分析するツールは,数多く市場に出ているものの,複数の機器から出力されるログの相関をリアルタイムで分析し,インシデントの発生を予見するようなツールは少ない。

 そこで今後は,優れたログ分析ツールのニーズがより一層高まるだろう。そして,それに応えて,複数のログの相関を分析するツールが各ベンダーから出荷されることが予想される。

セキュリティはアウトソーシングへ

 セキュリティを維持するには日々の適切な運用が不可欠である。セキュリティ機器の導入が進むとともに,その運用負荷は高まるばかりだ。ここで問題になるのが人員の確保である。運用監視には,それ相応のスキルが必要だ。コストもかかる。24時間体制の監視が求められる組織では,人員の確保の面からも,コスト面からも自社内で運用監視することは難しくなっている。

 このため今後は,運用監視をアウトソーシングする企業が増えると予想される。アウトソーシング・サービスを提供するベンダーは増えており,差異化のためにサービス・メニューの多様化や低料金化などを図っているので,ユーザーとしては導入しやすくなっている。

 とはいえ,コストだけを考えてアウトソーシングするのは危険である。「アウトソーシングすることがセキュリティ・ポリシーに反しないか」「そのアウトソーシング・サービスで,自社が必要とするセキュリティ・レベルを維持できるのか」「そのベンダーは信用できるのか」――などを十分に検討してから導入すべきである。

防御を備えたIDSに期待

 侵入検知システム(IDS)の導入も進むだろう。以前は,外部からの不正侵入を検知することが,IDSを導入する動機であった。今後も同様ではあるが,最近では「外部からよりも内部犯行に気をつけるべき」といった機運が高まっている。このため,「外部からの侵入だけではなく,ファイアウオールではチェックできない内部犯行を見つけるために導入する」といった企業が増えれば,今後,より導入件数が増えるだろう。

 また,検知だけではなく,ファイアウオールなどと連携して自動的に防御する機能を備えた,優れたIDS製品が出現すれば,導入件数がより大きく増える可能性がある。従来のIDSは「監視カメラ」の役割を果たすに過ぎず,異常を検知した後の対応は管理者が実施しなければならなかった。

 自動的に防御できる機能を備えたIDS製品は既に複数存在する。しかしながら,ユーザーとしては,IDSの誤検知などにより正当なトラフィックまで遮断してしまうことを懸念して,任せきりにはできないのが現状である。こういったユーザーの不安を払しょくする製品が複数登場し,ユーザーの信頼を得られるようになれば,IDSの導入は大きく増えるだろう。

Web経由で侵入するウイルスを防げ

 ほとんどの企業でウイルス対策は実施されている。多くの企業で,各クライアント・マシンにウイルス対策ソフトをインストールするとともに,メール・サーバー上(あるいはSMTPプロキシ上)でチェックするゲートウエイ型ウイルス対策ソフトの導入が進んでいる。これらを既に導入している企業が注目しているのは,Web経由のウイルスを検出する,ゲートウエイ型ウイルス対策ソフトである。

 現状では,メールを使って感染を広げるウイルスがほとんどではあるが,「Redlof」ウイルスをはじめとして,Web経由で感染するウイルスも少なくない(関連記事)。Web経由のウイルスは,クライアント用ウイルス対策ソフトで検出駆除できるものの,ソフトの管理をユーザーに任せている企業は少なくない。ユーザーがウイルス定義ファイルの更新や,ウイルス対策ソフトの常駐を怠ると,企業内へのウイルス侵入を許すことになる。

 このため,万全を期するために,HTTPプロキシ上でウイルスをチェックするゲートウエイ型製品のニーズが高まっているのである。メール(SMTP)と同時にHTTPトラフィックをチェックできるゲートウエイ型製品もあるが,メールの場合と異なり,Webの場合にはリアルタイム性が要求される。このため,メールとWebには異なるウイルス対策製品を使用したいと考える企業は少なくないようだ。Web専用製品には,既存のプロキシ・サーバー(キャッシュ・サーバー)と連携する機能を備えたものもある。パフォーマンスを重視する場合には,こういった製品の導入を考えるとよい。

 とはいえ,ベンダーの言いなりになって,オーバー・スペックの製品を購入する必要はない。専用製品をいたずらに買い揃える必要もない。必要なスペックはどの程度なのか,必要な機能は何か,専用製品を購入する必要はあるのか――などを,購入前には十分検討すべきである。また,特定のベンダーにこだわる必要はない。ほとんどのアンチウイルス・ベンダーは,同じような製品ラインアップを用意している。自社にとって最適な製品を選択したい。

導入進むか「SSL-VPN」

 インターネットを使ったVPN自体は目新しいものではないが,SSL(Secure Sockets Layer)を使った「SSL-VPN」が2002年以降話題になっている(関連記事)。2003年後半はSSL-VPNの本格導入が進むと考えられる。実際,SSL-VPNの導入を真剣に検討しているユーザー企業を筆者は何社か知っている。

 SSL-VPNの大きなメリットは,クライアント・マシンにVPN専用ソフトをインストールしなくてもよいことである。このため,クライアント・マシンを多数の営業マンに持たせている企業は,特に注目しているようだ。

 複数のSSL-VPN製品が市場に出ている。ただし,さまざまなタイプがあるので,導入の際には十分検討してほしい。例えば,製品によって利用可能なアプリケーションに制限がある(今後は,利用できるアプリケーションに制限がない製品や認証機能を強化した製品などが出荷される予定である)。

 以上,「2003年後半のセキュリティ・トレンド」を“勝手”にまとめてみた。主観に基づいているので,異論もあるだろうがご容赦いただきたい。今回の予想が当たっているかどうかについては,2004年以降,機会があれば改めてまとめたいと思う。


小杉 聖一 (KOSUGI Seiichi) kosugiアットマークmxd.nes.nec.co.jp
NECソフト株式会社 ITソリューション事業部
iネットソリューション部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。