精神論だけでは限界！ 米国で活発化するネットワークセキュリティ再考：Next Wave（1/2 ページ）

これまで米国ではISMSに沿ったセキュリティポリシーを中心にネットワークセキュリティ対策を進めてきたが、今後は脆弱性の管理と設定ミスの排除を実装で自動化する機運が高まっているという。

[富永康信（ロビンソン），ITmedia]

実装で解決できるものは実装に委ねる

「CSI 2008」は11月15日〜19日まで開催された

　2008年11月下旬、米国では最も古いセキュリティ分野のカンファレンスのひとつ「CSI（Computer Security Institute） 2008」が開催された。今年で35年目を迎えるこのイベントは、米国のセキュリティ分野で今何が課題として認識されているのかをつぶさに把握することができる場として、毎年大手企業のCSOクラスや政府のセキュリティ関係者が多数参加する。

　今年は、セキュリティ対策の停滞に警鐘を鳴らし、さらなるステップアップを促す「セキュリティ対策の再考」をテーマに掲げられていた。米国ではSOXをはじめとしてセキュリティに関する法規制が多数存在し、企業や団体は手探りの状態でセキュリティ対策に追われてきたが、昨今の金融危機に端を発する世界全体における実体経済の急速な後退も引き金となって、いま一度現在のセキュリティ対策の実行性を見直すといった機運が高まっている。

　「従来、アメリカではISMSに沿ったセキュリティポリシーを中心にセキュリティ対策を進めてきたが、もはや精神論だけでは限界という思いが強まっており、今後は実装面で解決できるものは実装に委ねていこうというという変化を感じた」と語るのは、ネットワンシステムズの営業推進グループでセキュリティ事業推進本部の本部長を務める山崎文明氏だ。同氏はこのCSI 2008に参加した後、12月4日に国内で開催された同社のプライベートイベント「ネットワークセキュリティの新時代」の基調講演で、日本でも注目すべき最新動向を報告した。

ネットワークセキュリティエンジニアが慢性的に不足

　CSI 2008でテーマとなったセキュリティポリシーから実装対策にシフトする流れの中で、セキュリティ確保する上で避けて通れない2つの課題が、「脆弱性への対策」と「設定ミスの排除」である。これらに共通しているのは、確実な実施が求められるということ。だがネットワークセキュリティに絶対ということはなく、ネットワークが大規模になるにつれ、必ず漏れが発生する。またこれら基本的な課題に対して、米国政府も困難な問題と認識しているのが、セキュリティに関する専門的な知識や経験を備えた人材の不足だ。

　「脆弱性の情報を受け取ったところで、それが何を意味するのか、組織のネットワークにおいて何を実施すべきなのかということを的確に判断できるスキルフルなセキュリティエンジニアが慢性的に不足している」と山崎氏は指摘する。

「日本でも脆弱性の管理、構成の妥当性検査を自動化する動きが始まるだろう」と語るネットワンシステムズの山崎文明氏

　そんな中で注目されているのが、SCAP（Security Content Automation Protocol）と呼ばれる、脆弱性の管理と測定、ポリシーコンプライアンスを自動的に査定するための標準化を定める手法だ。先に述べた脆弱性の管理と設定ミスの排除を自動化することで確実にネットワークセキュリティを実施することをめざす。米国国土安全保障省（DHS）がスポンサーとなってSCAPプロジェクトを進めてきた。

　「CSI 2008でSCAPが取り上げられたのも、今年の1月にFDCC（*1）からSCAPのコンテンツがリリースされたことで、いよいよ実用段階に入ったことを意味していた」（山崎氏）

*1…FDCC（Federal Desktop Core Configuration）：米国行政予算管理局が推進する連邦政府のデスクトップ基準