ニュース
» 2009年10月27日 06時00分 公開

出口の見えないセキュリティ強化、既存対策をリビルドするには?

今年注力する課題に多くの企業がセキュリティ強化を挙げている。昔から重点分野とされるセキュリティ対策は、なぜ改善されないのか。問題点と機能させるための方法をS&Jコンサルティングの三輪信雄氏に聞いた。

[ITmedia]

 アイティメディアがユーザー系企業を対象に実施した2009年度のIT関連予算に関する実態調査によれば、回答者の17.2%が「セキュリティ強化」を最も注力するテーマに挙げ、最多を占めた。2番目に注力するテーマという回答も12.1%あり、セキュリティ強化は多くの企業が抱える課題である。

 メインフレームからオープンシステム、クライアント・サーバからクラウドコンピューティングというように、企業におけるITのテーマは時代とともに移り変わることが多い。しかし、セキュリティ強化はこうした変化の中でも従来から言われ続けてきたテーマだ。近年は情報漏えいに代表されるセキュリティ事件が多発し、セキュリティ問題は企業経営にも大きな影響を与えつつある。

 セキュリティ強化が重点テーマであり続ける背景にはどのような問題があり、出口の見えない状況を打破するためにどのような取り組みが求められるのか。S&Jコンサルティング代表 チーフコンサルタントの三輪信雄氏に聞いた。

机上の対策から脱却せよ

S&Jコンサルティング代表チーフコンサルタント 三輪信雄氏

 企業が導入しているセキュリティ対策を紐解くと、アンチウイルスやファイアウォールなどの技術的な対策、内部統制やコンプライアンスの実現を背景に策定されたポリシーやルール、従業員への教育など、幾つも存在する。それにもかかわらず、多くの企業がセキュリティ強化を重点課題に挙げる要因について三輪氏は、「今までの対策が無意味ということではなく、効果を得られていないこと」と分析する。

 セキュリティを強化するための方法論として、頻繁に取り上げられるのが「P(Plan)、D(Do)、C(Check)、A(Act)」のサイクルである。セキュリティ対策を計画し(P)、実行する(D)。運用中の対策を再度確認し(C)、修正と実行する(A)というものだ。

 しかし三輪氏は、「残念ながら大半の企業は『P』の段階で達成感を得てしまい、その後に続くプロセスに対して十分な力や気持ちを向けられないでいる」と指摘する。

 セキュリティ強化への取り組みが抱える課題と似たケースとして、三輪氏が感じているのが新型インフルエンザなどのパンデミック対策だ。新型インフルエンザの予防策として、例えば建物の入り口に消毒液を設置しているシーンがおなじみだが、実際に効果はあるのだろうか。

 「ほとんどの人は、手を消毒しても携行してきたかばんを再び手に持って中へ入る。消毒していないかばんの取っ手には細菌がいるので、手を消毒しても意味があるのかは分からない。セキュリティ対策にも同じことが言える」(三輪氏)

 パンデミック対策の一つ(PDCAサイクルのP)として全国的に消毒液が設置された(D)が、その効果の確認(C)と見直し(D)をしているところは少ないと思われる。

 「リソースをふんだんに使って立派な対策を作り上げても、結局は形骸化してしまう。万が一問題が起きても、最後には“これだけのものを計画したが避けられなかった”と言い訳の道具になりかねない」(三輪氏)

セキュリティ強化に必要な“D”と“A”

 PDCAサイクルは持続的に効果を高めていくための理想的な方法論とされる。しかしセキュリティ対策に限っていえば、このサイクルへ強引に当てはめようとすることで、逆に効果が薄れてしまうと三輪氏は考える

 セキュリティにまつわるさまざま問題は刻々と変化しており、例えば新しいマルウェアは1日当たり何万種も発生する。情報漏えいの原因でも、紛失のようなうっかりミスもあれば盗難や不正アクセスといった第三者による犯罪、不満や問題を抱えた関係者の内部不正など多数存在する。このため、セキュリティ対策には個々の要因に対処する決め打ち策を最初から用意するよりも、変化する脅威に合った行動ができる柔軟性が求められる。

 PDCAサイクルを適切に回しているような企業でも、PDCAの一巡に一年間を費やすケースが珍しくない。その結果、一巡する間に直面した問題への対処や修正を反映するのにも時間がかかり、本当の意味での効果的なセキュリティの強化にはつながらない。

 セキュリティ対策における理想的なPDCAサイクルとはどのようなものか。三輪氏は、「最初のサイクルが一巡すれば後はDを徹底し、不都合があればすぐにAへ反映して、再びDを徹底していくことが重要だ」とアドバイスしている。

 常に変化しつづける脅威へ対処していくには、対策計画の見栄えに捉われず、実行力と柔軟性を伴った効果のあるものへ仕上げていくことが重要なようだ。なお、ITmediaエンタープライズでは2009年11月18日に秋葉原UDXカンファレンスにおいて、「情報漏えいの撲滅を目指す新時代の対策」セミナーを開催する。同セミナーでは三輪氏を講師に招き、効果を伴ったセキュリティ強化策を実現していくための実践的な方法を解説する。

 またセミナーでは、昨今多発する情報漏えい問題を抑止していくための方法も紹介する。情報漏えいは、企業のみならず顧客などの周囲にも大きな影響を与えかねない重大な問題であり、その対策を実現する上ではセキュリティ強化のための方法を知ることが第一歩になるだろう。

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら

関連キーワード

セキュリティ対策 | 情報漏洩 | PDCA


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -