組織の文化はトップで決まる、Ciscoの情報セキュリティ対策

シスコは、都内ホテルで「CiscoWave 2004」カンファレンスを開催。米Cisco Systemsのコーポレートセキュリティチーム シニアディレクターのジョン・N・スチュアート氏が基調講演で、Cisco社内での情報セキュリティの考え方を紹介した。

[堀 哲也，ITmedia]

　シスコシステムズは6月1日、都内ホテルで「CiscoWave 2004」カンファレンスを開催。米Cisco Systemsのコーポレートセキュリティチーム シニアディレクターのジョン・N・スチュアート氏が基調講演で、Cisco社内での情報セキュリティの考え方を紹介した。同社は、ブランド、eコマースサイト、情報資産と顧客情報――この3つを守ること目的に、チェンバースCEOの下に設定したリスク管理アプローチを採用しているという。

「情報は重要になっている。セキュアな環境でアクセスできなければいけない」とスチュアート氏

　生産性を上げるためには、どんな企業でもネットワークを活用しないわけにはいかない。IPネットワークには今、音声やビデオ、ストレージといったさまざまな情報が統合されだしており、セキュリティがすべてに影響を与えるようになった。今や、アーキテクチャ段階からセキュリティが組み込まれていることが大切だと同氏は言う。

　また、ワイヤレスも普及し機動性を確保するためリモート環境から接続できるようにもなり、守らなければならない環境はさらに複雑さを増している。現在Ciscoでは、世界300サイトで3万2000ユーザーが無線LANを利用し、営業の93％、カスタマーサポートの80％がインターネット経由でリモートアクセスを行っている状況だ。

　それに呼応してCiscoが直面するリスクも増大していることを認識している。「Ciscoの情報資産や顧客情報も狙われていると感じる。100カ国以上で300拠点があり、11のマルチピアゲートウェイがあるし、35のラボがインターネット接続を行っている――」

　同氏は11分で世界中に広まったSlammerワームを例にして、シスコは10分で対応できたと胸を張る。だが「これから注意すべきは、ビジネスに対する損害を想定したもの。1年というスパンで長期的に攻撃を仕掛けたり、インサイダーと協力したりするケースも出てくるだろう」と新たな脅威にも目を向けている。

　これに対しCiscoでは、ワールドワイドでチェンバースCEOの下に設定されたリスク管理のアプローチを採用しているという。「組織の文化はトップで決まる」とスチュアート氏は述べ、そのプロセスは、アーキテクチャ・デザイン→脆弱性／リスク診断→セキュリティポリシーの作成→展開→確認→インシデントレスポンス→分析→是正、というシステマティックな流れになっている点をアピールした。

　特にCiscoでは、同社のブランド、収益を支えるeコマースサイト、情報資産と顧客情報を守ることを目的として明確に設定しており、「すべての従業員はセキュリティがビジネスの根幹にあることを理解させている」という。

　また「Ciscoではビジネス判断とセキュリティのバランスも重要視しており、リスクをとりに行く判断もできるようにしている」とも話した。

　「セキュリティはすべての従業員の責任範囲だ。システム的なアプローチによるほか、Ciscoではセキュリティが守られているか数字で評価している。また、ポリシーを遵守していないラボを閉鎖するほど、ルールを守ることを徹底させている」（同氏）