毎日のように見つかるセキュリティ・ホールや,コンピュータ・ウイルスの感染・拡大,サイバー・テロの可能性,内部の者による情報漏えいなど,企業の情報システムを脅かす要素は挙げていけばきりがない。このような背景の中で,セキュリティ対策をどのように管理・実行していくかは,企業にとって重要な経営問題であると言っても過言ではない。

 こうした背景の中で企業のセキュリティ管理に対する意識は日々高まっている。とはいえ,セキュリティ対策の実施に十分な投資を得られている企業内の情報システム部門は,まだ少ないのではないだろうか。したがって企業内のセキュリティ管理・セキュリティ対策を推進する役割の情報システム部門のスタッフにとって,セキュリティ管理を費用対効果の高い方法でいかにして実施していくか,ということが大きな問題となっている。

 セキュリティ対策の1つに,社員全員のセキュリティに関するスキルや意識を向上させてセキュリティ・インシデントの発生原因の根本を絶つという方法がある。ただし,この方法では多くの費用・期間がかかってしまう。一方,社内のセキュリティ対策の管理・実行をコンサルタントやSIベンダーにすべてアウトソーシングしてしまうという方法もある。こちらの場合,費用や機密情報の取り扱いなどに不安が残る。

 結局,企業内のセキュリティ管理を推進していく人材を確保した上で,専門性の非常に高い事項についてはコンサルタントに依頼するという方法を採ることが最良な方法と言える。

 以下,セキュリティ対策の管理・実行を進めていく上で,どのようなスキルが必要になってくるかを整理して,企業内でどのような体制・方針でセキュリティを維持していくのがベストなのかを解説していく。

1人の担当者ではすべての分野をカバーできない

 セキュリティ対策の管理・実行を進めていくにはどのようなスキルが必要となるのか。大まかに分類すると,「マネジメント領域」と「テクニカル領域」との2つに分類できるだろう(表1)。

表 1 セキュリティ知識領域

領域項目
マネジメント領域プロジェクト・マネジメント(資源配分,スケジュール管理など)
リスク・アセスメント,リスク・マネジメント
情報管理(アクセス・コントロール,流通管理,保存管理,媒体管理など)
ヒューマン・セキュリティ(社員管理,教育,賞罰など)
フィジカル・セキュリティ(物理的なアクセス・コントロール,監視,エリア管理など)
外注管理(秘密保持契約,損害賠償,監査権限など)
監査・改善(セキュリティ監査,是正など)
緊急時対応計画(災害復旧,セキュリティ侵害管理など)
法令(情報セキュリティ関連,一般)
規格・ガイドライン(BS7799,ISMS,ISO/IEC 15408,ISO/IEC TR13335,情報セキュリティ監査制度,FISCなど)
テクニカル領域OS(Windows,UNIX,Linuxなど)
サービス(Web,Mail,DNS,Proxy,ディレクトリ・データベースなど)
認証技術(ベーシック認証,ワンタイム・パスワードなど)
プロトコル(Ethernet,TCP/IP,HTTP,SMTP,NetBIOS,SSL,IPSec,SSHなど)
セキュア・プログラミング(C/C++,VB,Java,Perl,JavaScript,ActiveX,SQLなど)
暗号技術(電子署名,暗号化,PKI,認証など)
ウイルス(アンチウイルスソフト,ウィルスの種類,仕組みなど)
ファイアウォール(パケットフィルタ,アプリケーション・ゲートウェイなど)
侵入検知システム(ネットワークIDS,ホストIDS,ハイブリッドIDSなど)
IDS:Intrusion Detection System
ネットワーク管理システム(ノード管理,障害管理,端末管理など)
コンテンツ・フィルタリング(Webページ,メール,共有サーバーなど)
セキュリティ・ホール情報(情報元,パッチ情報など)
ハッキング手法(スクリプト,ツール,擬似アタックなど)
ログ解析(OS,サービス,独自アプリケーションなど)

 表1に掲げる項目の中にはプロジェクト・マネジメントなど,一見するとセキュリティとは関係なさそうな項目もある。また,一般に認識されているセキュリティ関連のスキルに比べて,マネジメント領域の項目が多いと感じる方もいるだろう。だが,セキュリティ対策は複数の異なる知識で構成されていること,マネジメント領域がしっかりしていないとセキュリティの継続的な維持・改善の実行は困難であることを考えれば理解できるはずだ。

 表中のマネジメント領域は英国規格協会(BSI:British Standards Institution)が策定したセキュリティ・マネジメントの規格「BS7799」を参考にした。日本でも,経済産業省の外郭団体であるJIPDECが,セキュリティに関する審査制度「ISMS適合性評価制度」を,BS7799の考え方にもとづいて実施している。

 テクニカル領域は,ITのインフラ技術であるOS,サービス,認証技術,プロトコルから,セキュリティ関連技術であるセキュア・プログラミング,暗号技術,ファイアウオール,ウイルス,侵入検知システムなど幅広く取り上げた。ITのインフラ技術を取り上げた理由は,セキュリティ関連技術を利用する際に必要となるからである。

 例えば,プロトコルやサービスの知識がなければ,ファイアウオールを効果的に設定できない。侵入検知システムによって不正侵入のアラートがあがったとしてもOSやセキュリティ・ホールなどの知識がなければ迅速な対応を実施することは困難だろう。

 しかし,1人の技術者がこれらすべてのスキル分野をカバーするには多くの時間と労力・コストがかかってしまう。そのため,情報システム部門などにいる複数のスタッフ,またはコンサルタントなどの外部委託でこれらのスキル分野をカバーするということになる。そこで難しい問題となる可能性が高いのが,社内と社外に業務を委託する場合の「バランス」だろう。

 そのバランスの取り方,社内でセキュリティの担当者の育成方針などについては,次回解説したい。