ポリシーを記すだけでは効果なし――マイクロソフト高橋氏

セキュリティマネジメントの重要性が叫ばれて久しいが、実効性のある運用にまで落とし込まれているケースは少ない。

» 2007年03月14日 19時48分 公開
[高橋睦美,ITmedia]

 「セキュリティマネジメントとは、ポリシーを紙に書くことではなく、実際に運用していくことだ」――日本ネットワークインフォメーションセンター(JPNIC)とJPCERTコーディネーションセンター(JPCERT/CC)が3月13日に開催したセミナー「知っておくべき不正アクセス対策〜総集編〜」において、マイクロソフトのチーフセキュリティアドバイザー、高橋正和氏はこのように語った。

 同氏は基調講演の中で「『セキュリティマネジメント』というと、まずポリシーという話が出てくる。しかしそのポリシーの中にPDCAのサイクルが組み込まれていない」と指摘。つい先日発生した情報流出事件を引き合いに出しながら、実際にチェックし、運用していくことが重要だと説いた。

 「『守れないときにどうするか』『守られているかどうかをどのようにチェックするか』がポリシーの中に記されていない」(同氏)

 高橋氏はまた、質疑応答の中で「現実の脅威として感じられないものに、対策することはできないだろう」と述べた。

 ハインリッヒの法則が述べているとおり「大事故はある日突然、単体で起こるのではなく、細かな兆候が積み重なった上に発生する」と高橋氏。その兆候を一つひとつとらえ、必要に応じてユーザーに注意していくといった地道な作業が重要だとした。こうした作業を積み重ねることにより、組織がどういった脅威に囲まれ、どのような取り組みがなされているかを把握することができる。すると、対策用の予算を獲得する際の説明が可能になるし、合理的な対策ができるようになるとした。

 逆に「対策から話を始めると、現状認識とすり合わず、うまくいかないだろう」(高橋氏)

 なお高橋氏は同時に、昨今のマルウェアの変化についても触れた。「感染させて喜んでいた時代は終わっている。感染させたマシンをDDoS攻撃やスパム、フィッシング詐欺などのプラットフォームとして利用することが目的になった」(同氏)

 数年前は派手にパケットをまき散らすウイルスが話題になったものだが、今では、その活動は非常に限定された形になっているという。中には、15分間だけ活動してあとは活動を終えるマルウェアも存在すると高橋氏。というのも「必要以上に数を増やす必要がないからだ」(同氏)

 「ビジネスとして犯罪を回している人たちがいて、いわゆるハッカーと呼ばれている人たちはそこから報酬をもらっている」と同氏は警告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ