エンタープライズ:ニュース 2003/07/10 23:20:00 更新

SODECレポート
不正アクセス対策に求められるのは組織的なディフェンスと情報共有

ソフトウェア開発環境展の専門セミナー、「アプリケーション開発におけるセキュリティ技術最新動向」の中で、NECの大瀧潔氏は、不正アクセス対策をサッカーにたとえ、集中力を途切れさせず組織的に守ることが重要だと述べた。

 「システムを攻撃する側がさまざまな形で情報交換を行っているのに対し、守る側の組織的/技術的連携はあまりなされておらず、情報共有ができていない。“自分のところは自分で守る”という姿勢が大半なのだが、これはけっこう大変なことだ」(NECインターネットソフトウェア事業部、セキュリティグループマネージャの大瀧潔氏)。

 7月9日から3日間に渡って、東京ビッグサイトで開催されている「ソフトウェア開発環境展」(SODEC)では、展示会と同時に、さまざまな切り口からソフトウェア開発やプロジェクト推進について掘り下げる専門セミナーも開催されている。その1つ、「アプリケーション開発におけるセキュリティ技術最新動向」の中で、大瀧氏はこのように述べ、不正アクセスに対処する側が広く情報を共有していくことが必要だとした。

 同氏は、不正アクセスからシステムを「守る側」の心構えを、サッカーにたとえて説明した。「今では基本的な対策を済ませたところが多いが、そうした対策を今後もずっと継続していけるかどうかを問いかける必要がある。集中力を途切れさせず、組織的に守っていくことが重要だ」(大瀧氏)。

 大瀧氏によると、サイバー攻撃が減らない原因の1つには、継続的な監査とそれに基づく改善が欠けていることが大きいという。「コーディングでもそうだが、日本の企業の場合、何かを作り上げるところには力を入れる。しかし、その後恒常的に監査を行い、改善の努力を継続的に行っているかについては、反省しなければならない」(同氏)。

 同氏はなおも、システムを守る側――ディフェンス陣は、組織ごと、企業ごとに個別に守るのではなく、共同で組織的に対処していくべきだと述べた。例えばパッチの適用1つをとっても、組織内、あるいは他社のエンジニアと情報交換を行いながら、ノウハウの共有を図っていくべきだという。

 「セキュリティに関しては概して情報共有、交流があまりなされていない。もちろん今でも交流のための場や有益なWebサイトが存在あるが、さらなる交流が進めば、必ず守りを高めていくことができるだろう。ノウハウの共有を図っていくことは、いまやセキュリティに携わる人間の務めだと思う」(大瀧氏)。

セキュリティ管理のシステム化を

 大瀧氏は一連の説明の中で、NEC自身の情報セキュリティ対策・体制についても紹介した。ポリシーを定め、管理責任者を任命し、さまざまな対策の実行度を数値化した上で、それらがきちんと実行されているかを定期的に監査する、といった基本に忠実なプロセスを進めているのはもちろんだが、もう1点、ユニークな取り組みがあった。セキュリティ対策のうち可能な部分はシステム化、自動化を図っていることだ。

 「2001年前半ごろまでは、被害が及ぶにしても数日単位で、ある意味ではじっくり対応できていたが、今では時間に追われるようになった。また、セキュリティの管理ポイントも、かつてはサーバ程度だったものが、PCをはじめとするあらゆる機器や人、多様化するインシデントなどあまりに多くなっており、人手でやるのは無理だと考えている」(大瀧氏)。そこで同社では、一種の「セキュリティ情報管理システム」を構築し、そこに関連情報を集約させ、集中的な管理を行う仕組みを採用した。

 今ではNECでは、セキュリティに関するあらゆる情報も、また管理対象となるPCの情報も、統合データベースによって一元的に管理されているという。例えばパッチの適用が必要になった場合には、セキュリティ専門チームがリスクを考慮し、動作確認を行ったうえで当てるべきパッチを指示するという体制を取っているという。

関連記事
▼セキュリティアラートへ

関連リンク
▼ソフトウェア開発環境展
▼NEC

[高橋睦美,ITmedia]