ビジネス部門のセキュリティ意識を変えるには「文脈」が重要――TripwireのCEO：Maker's Voice

トリップワイヤが不正検知・IT統制ソリューションの最新製品を発表。同社のジョンソンCEOは「ビジネスユーザーのセキュリティ意識が高まる情報やコンテキストが重要」と指摘する。新製品などの特徴や活用のポイントを聞く。

[國谷武史，ITmedia]

　トリップワイヤ・ジャパンは10月12日、不正検知・IT統制ソリューション製品の最新版となる「Tripwire Enterprise 8.2」とダッシュボート機能の新製品「Tripwire VIA Data Mart」を発表した。これに合わせて来日した米Tripwireのジェームズ・B・ジョンソン社長兼CEOに、新製品の特徴や組織におけるセキュリティ強化のポイントを聞いた。

　Tripwire Enterpriseは、IT資産における変更管理や改ざんなどの不正行為の検知、法規制や内部統制ルールなどに基づくコンプライアンスを支援する製品。最新版ではEMC ArcherやHP ArcSightなどのGRC（ガバナンス・リスク・コンプランス）管理製品との連携、また、監視対象のIT資産に情報を付加したり、付加した情報の相関関係を分析したりするための「タグインテグレーションフレームワーク」を実装した。

　一方のTripwire VIA Data Martは、Tripwire Enterpriseでのデータを「経営層」「マネジャー層」「セキュリティ管理者」の3タイプのユーザーに合わせたダッシュボート機能を提供する。例えば、セキュリティ管理者向けには未パッチ状態のシステムの詳細を通知する、経営層向けには全社レベルのセキュリティ評価やビジネスリスク情報などを提供するという。

　ジョンソン氏は新製品での狙いを、コンテキスト（文脈）の活用によるビジネス部門のセキュリティ意識の向上、それによってセキュリティのコントロールが組織全体での適切に行われることにあると説明する。その背景には、企業でのセキュリティリスクの高まり、経営層による率先した対応が求められているためだという。

　「米国の上場企業には情報漏えいなどのインシデントが発生した際に状況や対応策などを迅速に開示することが義務付けられている。経営層にITやセキュリティのリスクを理解することが要求されるようになったが、彼らは『ビジネスの言葉』でなければリスクを理解することが難しい」（ジョンソン氏）

　新製品では例えば、重要な情報を格納するファイルに「管理者はだれか」「管理者の権限レベル」「ファイルの利用環境」「格納情報に関係する法規制」といった内容をタグとして付加する。ファイルが変更された事実が見つかれば、タグの内容も加味して分析することで、ファイル変更の事実がもたらすリスクを可視化する。可視化されたリスクはダッシュボードを通じて経営者に通知され、取るべきアクションを促すことができるようになる。

　「複数のシステムに共通する脆弱性が見つかったとして、システムの一つが個人情報を格納するデータベースならすぐに情報漏えいを防ぐための対応が必要になるし、別のシステムが個人情報を含まないサーバだとしたら、データベースの対応を優先すべきだとすぐに判断できる」（ジョンソン氏）

　従来は、こうした判断を現場の技術者がアクセスログといったテクニカルな情報から分析した上で、業務部門の担当者や管理者、経営層に彼らが理解できるよう説明しなければならなかった。ジョンソン氏は新製品を活用することで、こうしたプロセスなどのセキュリティ対応を自動化できるとも説明する。

　実際にあるエネルギー大手の企業は、日常的なセキュリティ対策状況の把握に1週間程度を費やしていたという。チェックすべきセキュリティ管理のポイントは2000点に上ったが、コンテキストに基づいた監視機構を導入したことでポイントが200程度に絞り込まれ、現在では20程度にさらに絞り込む作業を進めているという。

　ジョンソン氏は、「ビジネス部門のセキュリティに対する意識を変えるのは難しいが、情報開示義務といった外的要因もあり、日常的にセキュリティリスクへの対応状況を分かりやすく把握することで、彼らの意識を変えてもらい、全社規模でセキュリティレベルを高めていける」と話している。

米Tripwireのジェームズ・B・ジョンソン社長兼CEO（左）とトリップワイヤ・ジャパンの杉山富治郎社長