| エンタープライズ:ニュース | 2003/12/04 07:01:00 更新 |
「製造業の現場主義をセキュリティの分野に」と語った山口英氏
Internet Week 2003のメインプログラム「Security Day」の中で奈良先端科学技術大学院大学の山口英氏が講演を行い、「新しい防衛モデル」と「レスポンス能力の向上」の必要性について語った。
12月3日、Internet Week 2003のメインプログラムとして「Security Day」が行われた。主催は日本ネットワークセキュリティ協会(JNSA)およびJPCERT コーディネーションセンター(JPCERT/CC)だ。
ここ数年間のうちに多くの組織でセキュリティ管理が実施されるようになったにもかかわらず、いまだにセキュリティトラブルに悩まされている。奈良先端科学技術大学院大学の山口英氏は、冒頭の基調講演の中でこうした事実を踏まえ、“従来型の防衛モデルには限界が見えてきており、第二世代の防衛モデルが必要とされていること”“想定外の事態に対応するレスポンス能力を高める必要があること”の2点が重要だとした。
同氏によると、これまでのセキュリティ管理は「Perimeter Defense(周辺防御)/Border Protection(境界線防衛)」と表現される。境界線の守りを固めることによって、安全な内側のシステムを外からやってくるさまざまな悪いものから守る、というアプローチだ。しかし現実には、先日のウイルス騒ぎでも明らかになったようにトラブルは内部システムからも生まれてくる。境界線での防御というやり方にも、帯域や利用できるアプリケーションの種類といった観点から限界が生じつつある。
そう考えていくと、「今までのPerimeter Defense/Border Protectionというモデルを変えなくてはいけない」(同氏)。これに代わる新しいモデルには、内部にも脆弱性を含んだシステムが存在することを考慮し、かつ内部で発生したトラブルの影響が拡大しないような仕組みが要件として求められる。また、エンドツーエンドのものも含め先進的なサービスを利用できるようにしつつ、相応の、できればワイヤスピードの処理能力も必要という。
こうした事柄を考慮すると、まず基本的な対応として、「果たして特定の業務アプリケーション、特定のWebページしか利用しない個々のユーザーにまで、フルファンクションのプラットフォームを与えていいのかを考えなくてはならない」(山口氏)。一時期注目されたシンクライアントというアプローチを、セキュリティの側面から考え直してもいいのではないかという。
もう1つの対応として、人と情報に対するタグ付けも必要という。つまり、各ユーザーに読み込み、書き込み、あるいはその両方など、どんな操作をさせてもいいのか、またユーザーが取り扱っている情報はいったい何で、どう取り扱われるべきかを統一的に考え、アクセスコントロールを行うべきだということだ。これを実現する技術は複数考えられるが、いずれにしても「人と情報をどのように扱うか」を考えた上で情報基盤を作っていかなければならないと山口氏は述べた。
同氏は、これら2種類の対応の先に、さらに2つのオプションが考えられるという。1つは、防衛境界線を個々のシステムという小さな単位にまで後退させ、そこでの防御を強化するというやり方。もう1つは、これは前述のアプローチと両立することも可能だが、個別システム間の通信に着目し、許容される通信を明確にした上で、それ以外の想定外の通信についてはブロックするか、監視対象に置くというやり方だ。これは、かつてはまず無理と言われていた方法だったが、実現の可能性が見えてきているという。
また、ロードバランサを用いてクラスタ化されたファイアウォールを実現し、そこを「検疫ゾーン」としてウイルスや不正アクセスなどをチェックしながら、処理能力を確保するという構成も、十分考えられるという。
山口氏はこのように説明した上で、新しいモデルとして明確な答えがあるわけではないが、断片的に見えてきているものはあると述べた。少なくとも、「今までのモデルでは守りきれないことは明らか。しかもこの新しいモデルは、何か新技術を持ってくればそれで解決するようなものではない。それに向けて互いにベストプラクティス、知見を共有していくことが大事だ」という。
バランスよい「2つの力」が必要
山口氏が挙げた第二の悩みは、セキュリティ管理を実施しているにもかかわらず、思いもよらぬところからトラブルが発生し、そのたびに右往左往する羽目になってしまう、ということだ。ただ、「思いもよらないところからでてくるからこそトラブルであり、それがトラブルの本質」(同氏)であることも事実。それゆえこの問題は非常に難しい。
セキュリティ管理とはつまり「想定されるリスクに対して対策を行う」ことを指す。想定できるリスクならば相応の備えがなされるべきであり、必然的にそのリスクが顕在化し、トラブルとなる可能性は低い。だが、当たり前の話だが、すべてのリスクを勘案してのセキュリティ管理は不可能である。したがって、「想定外のことにいかにうまく対応していくかがセキュリティ管理の課題」(山口氏)ということになる。
同氏によると、想定したリスクに対する準備を充分に行えば行うほど、想定していないリスクが忘れられてしまうし、そうした事態に対する対応能力も落ちてしまうという落とし穴があるという。これを避けるためには、従来のセキュリティ管理で言われてきたように、準備を行い、そのとおりに組織を動かしていく力に加え、想定外のことが発生したときに組織を動かしていく力も必要だ。「この2つの力がバランスよく備わっていないとセキュリティ管理はできない」(同氏)。
では、どうしたら想定外のことに対する対応能力が向上するのだろうか。いくつかポイントはあるが、まず、そのトラブルによって引き起こされる被害がどこまで広がるかを見極める目を養い、被害を拡大させないよう手を打つこと、それも杓子定規な対策を取るのではなく、トラブルや被害に応じて新たな対応策を編み出して適用することが重要だ。
また「トラブルが発生してしまったことを忘れず、組織としての長期記憶に刷り込んでいくこと、これは大事だ」と山口氏は言う。これは逆に言えば、“トラブルは当然起きるものであり、安全というものは常日頃の努力によって初めて保たれるものだ”と意識し続けることだ。また一連の対応を支える専門能力を培っておくことも、もちろん必要になる。
山口氏はこれを踏まえ、調査、設計、構築、運用……といったプロセスからなるいわゆるセキュリティ管理のモデルは、先に触れた2つの力のうち片方しかカバーしていないとし、権限委譲などを組み入れた「レスポンスの力を高めるモデル」が必要だと述べた。
そこでポイントとなるのは結局「人をどう育成して、どう配置するかという話になる。これはつまり、昔ながらの日本型製造業がやってきた現場主義であり、これは大切だと思う」(同氏)。山口氏は、想定外の事柄が起きても最低限の時間、最低限の被害でそれを押さえ込めるようにするには、セキュリティの分野だけでも、最近流行の組織論に逆らっていわゆる製造業における現場主義を採り、伸ばしていかないと、大変なことになってしまうだろうと危惧を示している。
関連リンク
Internet Week 2003[高橋睦美,ITmedia]
