セキュリティ技術
ITエンジニアの「新常識」
脅威の種類と対策技術の概要を知る

 セキュリティ技術が自分とは無縁だと考えているITエンジニアは,ただちにその姿勢を改めるべきだ。

 企業にとって情報システムの戦略的な価値は飛躍的に高まっており,データが漏洩したり,システムが攻撃を受けたりすることが即,企業の死活問題につながりかねない。加えて,外部からの攻撃を受けやすいWeb/インターネット技術を,企業情報システムで採用することが当然のようになってきている。こうした中,セキュリティ技術者だけがどんなに最先端のセキュリティ技術を投入しても,完全なセキュリティを保てないのが実情だ。そんな状況だからこそ,システム構築に携わるメンバー一人ひとりがセキュリティへの意識を高め,システム全体のセキュリティ・レベルを引き上げる必要がある。

 「すべてのITエンジニアにとって,企業情報システムに対してどんな脅威があり,どんな対策があるのかといったセキュリティの基本知識はもはや常識」(電通国際情報サービスe-テクノロジー統括部SI技術開発グループの田中靖紀グループマネージャー)なのだ。

図9 企業情報システムに対する脅威の例
図10 ITエンジニアが仕組みと考え方について理解しておくべきセキュリティ技術の例

まず脅威の種類を押さえる

 システムに対する脅威としては,自然災害などの物理的な脅威もあれば,悪意のある人間がシステムを不正利用したり攻撃したりする人的な脅威もある(図9[拡大表示])。意外と忘れられがちなのが,システムは設計・開発段階から脅威にさらされているという事実だ。外部の人間だけでなく,開発に携わった関係者がデータや書類を持ち出すかも知れない。またシステムに不正プログラムを埋め込まれる危険性もないとは言えない。こうした脅威の種類をまず知っておく。

 脅威への対策としてどのようなセキュリティ技術が用いられるのかも,理解しておく必要がある。例えば,コンピュータ室への部外者の侵入に対してはパスワードやバイオメトリクス認証などで本人認証を行う,情報の盗聴・漏洩に対してはデータを暗号化し盗聴されても内容が理解できないようにする,といった具合だ(図10[拡大表示])。

 もちろん,技術の細かい内容まで知る必要はないが,「大まかな仕組み,さらにその技術の限界についての知識は最低限必要だ」(NTTデータビジネス企画開発本部ITセキュリティ推進センターの井上克至課長)。例えば,暗号方式には共通鍵暗号と公開 鍵暗号があり,公開鍵暗号のアルゴリズムとして実質的な標準になっているRSA(Rivest-Shamir-Adleman Scheme)暗号の鍵のデータ長は1024ビットが推奨されている,といったことである。

 これらの知識をしっかりと身に付けておけば,顧客のシステムの脆弱性を指摘し,考え得る対策も示せるはずだ。「顧客にとって,守るべき資産の価値とコストのバランスが取れた最適なセキュリティ対策は何か。それを提案できるITエンジニアは大きな信頼を得られる」(電通国際情報サービスの田中マネージャー)ことを肝に銘じておこう。