前回の記事では,2003年後半のセキュリティ動向を振り返り,筆者の予想が当たったかどうかを検証した。今回の記事では,2004年のセキュリティ動向を筆者の主観で予想したい。「相次ぐ情報漏えい事件を受けて,Pマークの取得とWBTによるユーザー教育が進む」「より確実なウイルス対策として検疫システムの構築が進む」――というのが筆者の予想だ。
前回の記事で書いたように,2003年に注目されたセキュリティの話題は次の2点である。
- 相次ぐ情報漏えい
- 減少しないウイルス被害
これらを受けて,2004年には以下の動きが進むと筆者は予想している。
(1)ISMS認証取得を意識したセキュリティ・ポリシーの作成と導入
(2)プライバシマーク(Pマーク)取得を意識した個人情報保護対策
(3)各クライアント・マシンのパッチ適用状況の管理
(4)より力を入れたウイルス対策
(5)システムによる情報漏えい対策
(6)検疫システム
(7)社員への教育
(8)新たなセキュリティ技術と製品の出現
これらのうち,今回の記事では(2)と(7),および(6)について解説する。
ISMS認証よりもPマークの取得が進む
個人情報を扱っている企業では,個人情報保護が最も大きな関心事だろう。2003年5月に成立し,2005年4月に施行される個人情報保護法の影響もさることながら,頻発している情報漏えい事件の影響が大きい。2003年には毎月のように情報漏えい事件が明らかになり,2004年には,新聞などで大きく報じられているように,ソフトバンクBBやアッカ・ネットワークなどから大量の個人情報が漏えいしている(関連記事1,関連記事2)。
情報漏えいを防ぐには,社内の体制を整えて,全社員のセキュリティ意識を高めることが第一である。ただし,自分たちでは万全の体制を敷いているつもりでも,それが客観的に見て十分かどうかは分かりにくい。そこで,社内のセキュリティに対する取り組みを客観的に判断する上で有用なのが認証制度である。前述の「(1)ISMS認証取得を意識したセキュリティ・ポリシーの作成と導入」「(2)プライバシマーク(Pマーク)取得を意識した個人情報保護対策」が進むと予測したのは,このためだ。
いずれも社内のセキュリティ体制が整っていて,きちんと運用されていなければ取得することはできない。ただ,ISMS認証とPマークを比較すると,Pマークのほうが個人情報保護に重きを置いている。このため,企業の注目はPマークに集まっているようだ。実際,セキュリティ・コンサルタントとして仕事をしている筆者は,2003年の秋以降「ISMS認証よりもPマークの取得を優先させたい」という企業の話をよく聞く。
Pマーク制度とは,日本情報処理開発協会(JIPDEC)が個人情報を適切に取り扱っている事業者を認定する制度である(関連記事)。認定した事業者には,その証として「プライバシマーク」と称するロゴの使用を許諾する。審査基準は,個人情報保護の規格「JIS Q 15001」である。IS Q 15001に適合した規程(コンプライアンス・プログラム)を整備し,個人情報の取り扱いを適切に行っている事業者にPマークが付与される。2004年3月25日現在,678社がPマークを取得している。
当然のことながら「Pマークを取得しなければ(あるいは取得できるレベルになければ),個人情報保護法を守れない」というわけではない。個人情報保護法は,必要最低限のルールを定めたもので,事業者として守るのは当然のレベルのものである。それに対して,顧客から信頼を得られるような,望ましいセキュリティ・レベルでないとPマークを取得できない。個人情報を扱う事業者としては,単に個人情報保護法を順守するだけではなく,Pマークを取得する(あるいは取得できるレベルにする)必要があるだろう。
WBTで全社員にセキュリティ教育
ISMS認証やPマークを取得する場合はもちろん,全社的なセキュリティ対策を実現するためには,セキュリティ・ポリシーを作成し運用することが不可欠である。このとき重要なのは,社員へのセキュリティ教育である。セキュリティ教育に苦労している例を筆者自身もよく見聞きする。
大企業では,対象者全員を集めてセキュリティ教育を実施することは困難だ。また,単にセキュリティ・ポリシーの内容を知らせるだけでは不十分である。実際に理解したのかどうかを確認する必要がある。
これらの課題をクリアする教育方法の一つとして注目されているのが,WBT(Web Based Training:Webを利用したオンライン教育)である。WBTならば,社員それぞれが都合のよい時間に実施できる。各社員の進捗状況は管理者が把握できる。さらに,1つのコース(章)の終わりなどにチェック・テストを用意すれば,理解度をチェックできる。チェック・テストで及第点を取るまで,次のコースには進めない。
以前のコラムでも書いたが,筆者が所属するNECソフトでも年2回程度WBTを実施している。1つのコースは2時間程度で完了するようにできており,全部で5~6コースある。1カ月程度の期間内にすべてのコースを完了すればよいので,100%の実施率を実現できている。
WBTは,新入社員やセキュリティに馴染みがない部門の意識や知識を向上できるだけではない。WBTの進捗管理をする管理職の意識を向上することにも役立つ。なにより,WBTを実施するということで,会社がセキュリティを重要視していることを全社員に伝えられるので,企業全体のセキュリティ意識を高める効果がある。
WBTでセキュリティ教育を実施するのに,社内でサーバーを運用したり,コンテンツを用意したりする必要はない。ASPサービスとして提供されるので,比較的安価に実施できる。実際,現場にいる筆者は,ASPサービスのWBTを実施している企業は確実に増えていると感じている。
検疫システムでウイルス対策を改善
最近注目されている,いわゆる「検疫システム」の導入も進むだろう。「検疫システム」とは,社内ネットワークにパソコンを接続する際にパソコンの状態をチェックし,問題がある場合には接続させないシステムである関連記事)。
2003年後半以降,検疫システムを構築するための製品やソリューションが,ネットワーク機器ベンダーやセキュリティ・ベンダーから提供され始めた(ただし,ベンダーによっては「検疫システム」とは異なる名称を使っている場合がある)。2004年春以降も,さまざまな製品やソリューションが各ベンダーから提供される予定である。
検疫システムを実現する方法としては,認証DHCPや認証VLANを使った方法がよく例として挙げられるが,これらには限らない。今回の記事では詳細は割愛するが,さまざまな方法が考えられる。NECソフトでも,独自の方法を用いた検疫システムを構築し,2004年4月には本格的に運用を開始する予定である。機会があれば,このコラムでも紹介したい。
以上,駆け足ではあったが,筆者が予想する2004年のセキュリティ動向を述べさせてもらった。異論は当然あるだろうが,ご容赦いただきたい。今回の予想が当たったかどうかは,2003年後半の予想同様,後ほど検証したい。
小杉 聖一 (KOSUGI Seiichi) 
NECソフト株式会社 サーバソリューション事業部
iネットソリューションG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
