「簡潔なポリシーと経営層のコミットがカギ」とする米シマンテックのディアッツ氏
| 【国内記事】 | 2002.01.16 |
年末年始は比較的平穏に乗り切れたかもしれないが,2002年に入っても,依然としてウイルス感染の被害は後を絶たない。
2001年は,国内におけるウィルス被害が目に見えて増えた1年だった。情報処理振興事業協会(IPA)によると,2001年に報告されたウイルス届出件数は2万4000件を超え,前年の2倍以上となっている。
特に著しいのが,NimdaやCode Redに代表される「複合型」ウイルス(ワーム)による被害だ。これらはメールを通じて自己の複製を送信して一気に感染を広めるだけでなく,ネットワークドライブ経由で感染したり,Webサーバのセキュリティホールを突いたりと,複数の手法を組み合わせて感染を広める。さらに,感染したマシンを踏み台にして,他サイトへの攻撃を行うこともある。
1月15日,米シマンテックのマーケットインテリジェンス担当ディレクターローレンス・D・ディエッツ氏が記者説明会を行った。同氏は,米国における複数のセキュリティ被害に関する統計を挙げながら,こうした状況に対する危機感を強く表し,次のように警告した。
「さまざまな手段を用いて感染し,被害を及ぼすだけでなく,踏み台となって別サイトに攻撃を仕掛ける複合型の脅威(Blended Threat)の被害は深刻であり,今後最も警戒しなくてはならない」(ディエッツ氏)
なお,同氏が引き合いに出した数値の中でも興味深かったのが,CSI/FBIによって行われた調査結果だ。従来はセキュリティの常識として,外部からの攻撃よりも内部からの攻撃のほうが多いといわれてきた。だがこの調査によれば,2001年にはそれが逆転し,外部からの攻撃が内部からの攻撃を上回ったという。
ディエッツ氏はこの原因として,退社した従業員のIDがそのまま放置されていることが挙げられるとし,情報セキュリティと人事面におけるセキュリティを組み合わせて考える必要があると述べた。
簡潔なポリシーの確実な実行がカギ
では,具体的にはどのような対策を取ればいいのだろうか。ディエッツ氏はまず,「その組織がどういったビジネスルールに基づき,どのように情報を保護するかを明らかにするポリシーを定めること」が重要と語った。さらに,このポリシーに基づいてセキュリティ製品を導入し,標準に基づいて効果を測定し,具体的な手順やガイドラインへと落とし込んでいく必要があるという。
ポリシー策定のポイントは,「簡潔で分かりやすいルールを定めること」(同氏)。ディエッツ氏は,ビザ・インターナショナルが採用しているセキュリティルールを例にとり,ごく基本的なルールを確実に実行することで,大半の攻撃を防ぐことができると説明した。
「ファイアウォールを導入する」「セキュリティパッチを継続的に更新する」「デフォルトのままシステムを利用しない」「強固なパスワードを利用する」――同氏が挙げるルールはいずれも,ごく簡単なものだ。だが,すべてのユーザーがこれらを継続的に実施するのは,おそらく困難だろう。
したがって,ユーザーや管理者の手間を省き,同時に作業ミスを減らす意味からも,一定の自動化や管理機能の充実も重要になるという。この管理機能には,一般的な管理のほか,ログや監査,レポートといったさまざまな機能が含まれる。
ディエッツ氏はさらに,もう1つ大事なこととして,企業経営層によるコミットやサポートが不可欠だと述べた。「経営者によるコミットなしに,セキュリティプログラムは成功しない」(同氏)
エンタープライズ向けの新アーキテクチャを提供
今回の説明会では,具体的な発表という形は取らないまでも,シマンテックとしてのセキュリティに対する取り組みがいくつか示された。
ディエッツ氏の説明をまとめると,同社は今後もゲートウェイ,サーバ,クライアントという3つのレイヤそれぞれにセキュリティ製品を提供するとともに,ポリシーに基づいてこれらを効率的に管理するコンポーネントも提供していくという。
中でも作業を自動化し,管理の手間を省くという意味合いからは,脆弱点管理ソフトウェアや一括管理が可能なアプライアンス製品,ファイアウォールやVPNなどの機能を兼ね備えた多機能デバイスなどの役割が大きくなるだろうとディアッツ氏は述べている。
同社はさらに,今年夏を目処に,「Symantec Enterprise Security Architecture(SESA)」というアーキテクチャを提供する方針だ。ディアッツ氏によれば,これは,特に複数の拠点を持つような大規模企業をターゲットととしたもので,共通管理コンソールを通じて統合的な運用・管理を実現するという。
SESAに関連して日本法人社長の成田明彦氏は,「ウイルス対策製品については,既に統合管理が実現できているが,SESAは,ファイアウォールや不正侵入検知システムなど,旧アクセントの製品ラインも含めあらゆる製品をカバーする。さらに,チェック・ポイントの“Firewall-1”をはじめ,他社から提供されるセキュリティ製品についても,一元的な管理を行えるようにする」と述べている。
関連記事
Interview:「セキュリティに必要なものは包括的なプラン」とするシマンテックのトンプソン氏
NAV ESと運用の工夫,全社的な理解が鍵――セイコーエプソンに見るウイルス対策
関連リンク
[高橋睦美 ,ITmedia]
