ITの影の部分には、高い「意識」と継続的な「内部監査」で対処を――シマンテック

シマンテックコンサルティングサービス部の山内正氏は、常に高い意識を持ってセキュリティの見直しを継続していくことで、ITの「影」の部分に対処していくべきと述べる。

[ITmedia]

　「当たり前のことを当たり前にできないのが人間というもの。そこをうまく修正していくには、セキュリティ問題について自分でイメージできることが大事。どれほど放置できない問題なのかがピンとくるかこないかによって異なってくる」――。

　シマンテックコンサルティングサービス部 ディレクターの山内正氏はこのように語り、企業のトップには、専門家レベルではなくとも、セキュリティ上何が問題なのかを常に意識し続けてほしいと述べた。

　もちろん経営者の立場上、コンプライアンスも含めIT以外にも考えるべき要素は多々存在する。しかし同時に、与えられたリソースの中でITをどう活用するかについての洞察力も必要だ、と指摘。「過去にはITと経営はかけ離れたものだという考え方もあったようだが、これからの経営者にとって、ITに対する理解力は重要だ」（山内氏）。

　一定水準以上の成長を見込む企業にとってITは必須の要素だが、これには「光と影の両面がある」（同氏）。経営トップやCIO、CSOといった立場にある人々は、影の部分について洞察したうえでどうITを使いこなすかを考えていかなければならないし、その際には技術だけでなく人の心理や法律といった側面も考慮すべきという。

意識を持って見直しを

　ITの「影」の部分の代表例が、さまざまなセキュリティ問題だ。山内氏は、残念ながら今後も新たな脆弱性や弱点は出てくるだろうと予測する。

　「P2Pやチャットのように新しく便利なサービスが広まれば、企業でも『こういった便利なものを使いたい』となる。が同時に、これに乗じて悪さをする人も出てくる。この『いたちごっこ』は今後も続くだろう。企業や組織としてこういった部分をどう制限し、対応していくかが課題だ」（山内氏）。

　ここで、新たなサービスの利用を停止してしまえばことは簡単だが、難しいのは「セキュリティとアベイラビリティ、利便性のバランスをどう取るかということ」（同氏）。常に変化し、移り行く環境の中で、いかに内部統制を維持するかも大きな課題という。

シマンテックコンサルティングサービス部 ディレクターの山内正氏

　この課題に取り組む上でまず重要なのは、組織に関わる人々の意識だ。「やはりトップの意識や組織全体の危機管理、動機付けがしっかりしているところは、セキュリティリテラシーも含めてしっかり取り組みができている」（山内氏）。

　もう1つは、継続的にセキュリティの仕組みを見直し、改善につなげるための監査のステップである。監査の目的は、どのように自社の組織に応じてトータルなセキュリティを作り上げていくかということにある。「こういった監査や内部統制に関する考え方は昔からあったもの」（同氏）。

　しかし、「内部監査の仕組み自体はあっても、きっちりできている企業はまだ少ない。作業の多くは手作業で行われ、しかも頻度は多くて年に1回。また、組織の全部をチェックするのは現実的に無理なため、一部を抜き出してサンプリングする形で行われているケースが多い」（山内氏）。

　そのうえ、企業を取り巻く環境は激変している。監査の対象は書類だけではなく、さまざまなPCやシステムに広がった。「組織をあるべき姿に持っていくには、なすべきことが多く、多様化している」と山内氏は述べ、内部統制を維持するために適切な役割分担を考えていくことも重要だとした。

　シマンテックでも、この部分を支援するツールやサービスを提供しているという。たとえば「ポリシー監査ツールのEMS（Enterprise Security Manager）は、常時監査を行い、内部統制を適用していく上で有効なツールだ。機械で対応できるところはEMSに任せることで、残りの人間系の部分にエネルギーやリソースを有効に投入できる。何か事故が起きたときのセンサー的役割も担える」（山内氏）。

　常に変化する環境の中で「後追いになるとしても、ある程度予測したうえで対策を取れるようにしていければ」と山内氏は述べ、そのためにさまざまなセキュリティ製品群や「DeepSight」などのセキュリティ情報サービス、コンサルティングまでを提供し、企業を支援していくとした。

はじめから脆弱性のないソフトを

　シマンテックでは今後、コンサルティングサービスの拡大を考えているという。具体的には、これまでカバーしてきたセキュリティ基盤／運用といった部分に加え、ソフトウェアやアプリケーションのの脆弱性を前もって防ぐ、セキュアなプログラミングを支援していく計画だ。

　今は、ソフトウェアのリリース後に脆弱性が発覚し、それを修正するためにパッチを適用する……というパターンが多い。ここで問題となるのは、パッチを適用するタイミングだ。システムのアベイラビリティを維持し、互換性に起因する問題を避ける上でも、少しでも脆弱性の少ない（＝パッチの少ない）ソフトウェアをはじめから開発していくことが重要だという。

　しかし「脆弱性のないプログラムを作るのは、バグのないプログラムを作るよりも難しい。攻撃を事前にどこまで想定し、対処できるかがポイントになるが、それには過去の攻撃コードから得られたノウハウに加え神様的な見通しがないと難しい」（山内氏）。システムが複雑化し、いわゆる3-tier構造のアプリケーションが広がったことからも、攻撃にさらされやすくなっているという。

　そこで、この部分を「（2004年9月に買収した）@Stakeのノウハウを取り入れたコンサルティングメニューを用意し、自社で開発するWebアプリケーションやソフトウェアの脆弱性を前もって減らすための取り組みを進める。まさにプロアクティブにソフトウェアの脆弱性を防いでいきたい」（山内氏）。