エンタープライズ:ニュース 2003/09/12 12:52:00 更新


8月の悪夢が残した教訓は「セキュリティ管理の重要性」とCA

米Computer Associatesのセキュリティストラテジスト、サイモン・ペリー氏は、ここ数週間の状況を振り返り、ウイルス対策だけに終わらないセキュリティ管理の重要性を強調する。

 「ウイルス対策は確かに重要だ。しかしウイルス対策は、必要なセキュリティ対策の一部分に過ぎないことも事実だ。常にOSやアプリケーションの主要なパッチを確認し、更新し続けることも、同じくらい大事な作業である」――米Computer Associatesでバイスプレジデント兼セキュリティストラテジストを務めるサイモン・ペリー氏は、MSBlastやSobigといったウイルスが猛威を振るったここ数週間の状況を振り返り、このように指摘した。

 先日コンピュータ・アソシエイツが開催したエグゼクティブ・カンファレンスに合わせて来日したペリー氏は、史上最悪といってもいいほどの影響を及ぼしたWindowsのセキュリティホール(MS03-026)とそれを悪用したワームについて、さらに次のように述べた。

 「問題となったセキュリティホールを修正するパッチは既に提供されていた。またCERT/CCなどがこの脆弱性について警告していたほか、CAとしても対策を提供していた。このように多くの人がこのセキュリティホールが悪用される可能性を予測し、解決策が提供されていたにも関わらず、企業レベルでパッチを適用していないケースがあった。ここに問題がある」(ペリー氏)。それを踏まえて同氏は、ウイルス対策ソフトウェアの導入にとどまらないセキュリティ対策、つまり企業レベルでの対策、整備が必要だとした。

ペリー氏

セキュリティをプロセスとしてとらえ、それを「管理」することが重要だと述べたペリー氏

 しかしそこには、次なる問題が控えている。ITシステムの巨大化、複雑化にともない、システムの現状を把握し、管理し、パッチを適用するという一連の作業に要する手間やコストも膨らんでしまうのだ。景気の低迷に伴うIT予算の縮小傾向もあって、管理者個人がどれほど努力したとしても間に合わないレベルにまで達しつつあるという意見もある。

 ペリー氏もこの課題を認めている。その上で「だからこそ、『セキュリティ管理』が重要性を増し、企業もよりよい管理の実現に目を向けつつあるのだ」と言う。

セキュリティは「プロセス」

 CAでは、まさにこのセキュリティ管理という分野に注力していく計画だ。ペリー氏によると、同社は3つの柱を軸にして、よりよいセキュリティ管理プロセスの実現を支援していくという。

 1つめは資産管理だ。企業内のどの部署にどういったソフトウェアが導入されているかといった情報を洗い出し、集約して管理するもので、「Unicenter Asset Management」によって実現される。2つめは脆弱性の検出とリスク評価で、7月にリリースされた新製品「eTRUST VULNERABILITY MANAGER」がこの機能を提供する。最後はソフトウェアおよびパッチのインストールの自動化で、「Unicenter Software Delivery」によって実現されるという。

 「これらを組み合わせることにより、システムの現状と問題点を把握し、脆弱性をチェックし、自動的にパッチを適用してセキュリティホールを修正するという一連の管理プロセスを実現できる。つまり、ウイルス対策だけに終わらない、企業としての原則を打ち立てることができる」(ペリー氏)。

 無論、資産管理や脆弱性の評価を行うツールを提供している企業は他にも存在する。だがCAは、単体のセキュリティ製品を提供するにとどまらず、セキュリティプロセス全体を支援しようとしている点で他社とは大きく異なるという。

 「1つはっきりしていることがある。セキュリティはプロダクトだけで実現できるものではなく、一連のプロセスによってはじめて現実のものになるということだ。われわれは前々からこのことを主張してきた」(ペリー氏)。

 CAはまた、今年4月に「Open Security Exchange」というイニシアティブを設立し、入退室管理や物理的セキュリティも含めた、セキュリティ管理標準の実現に向けた取り組みを進めている。ここで取り扱われている技術の一部は、既にベータ段階に進んでいるということだ。

 「多くの企業では、セキュリティといったときにITシステムのセキュリティを連想する。しかし本来考えるべきは情報セキュリティであり、ITセキュリティはそれを構成する要素の1つに過ぎない。Open Security Exchangeはこの問題を解決するのに役立つ」(ペリー氏)

関連記事
▼Interview:「セキュリティ分野で大手企業の仲間入りをする」とCAのモリッツ氏
▼CA、eTrust Security Command Centerを発表
▼CA、オンデマンドインフラ管理の新技術「Sonar」発表
▼「マネージング・オン・デマンドがIT管理を根本的に変える」とCA
▼CAなどセキュリティ関連4社、「Open Security Exchange」を結成

関連リンク
▼コンピュータ・アソシエイツ

[高橋睦美,ITmedia]