セキュリティ対策を再構築する方法論：Maker's Voice

IT環境のめまぐるしい変化はセキュリティ対策のあり方を常に悩ませ続けてきた。複雑化・高度化・巧妙化する脅威への対応は、むしろ、シンプルな考え方で臨むべきと日本HPは指摘する。

[取材・文／編集部，ITmedia]

　これまでの企業の情報セキュリティ対策を振り返ると、新しく出現する脅威に対策を講じてリスクを減らすということが繰り返されてきた。その結果、今では肥大化した複雑な対策システムになっているケースが少なくない。これはセキュリティに限った傾向ではないが、クラウドや仮想化によってIT環境を最適化する取り組みが広がる昨今、セキュリティ対策全体のあり方を見直す機会も来ているようだ。

日本HP テクノロジーコンサルティング統括本部 テクノロジーマーケティング本部 本部長 榎本司氏

　日本ヒューレット・パッカード テクノロジーコンサルティング統括本部 テクノロジーマーケティング本部長の榎本司氏は、「ここ数年でネットワーク上におけるデータのやり取りが増大した。それはモバイル化に代表されるIT利用の変化がきっかけであり、データが増えればシステムが増え、リスクも増える。安心して利用できるITを再考すべき時期が来た」と話す。

　ITの利用シーンが多様化し、範囲が広がれば、それに応じて不正に利益を稼ごうという人間も増える。次から次に登場する新しい脅威に対策を講じることは、企業や組織にとって必須の活動ではあるが、それだけに捕らわれていたのでは、上述のようなジレンマを繰り返すばかりであり、隙が生じればそこを突いて攻撃が行われる。その被害も甚大化している。このため、同社を含めたセキュリティベンダー各社は「セキュリティ対策全体の根幹を再考してはどうか」というメッセージを強く打ち出すようになった。

　それではセキュリティ対策の根幹をどう再考し、全体最適化に乗り出せばいいのか。榎本氏よれば、HPは社内で適用しているセキュリティのフレームワークを顧客企業の支援にも活用している。そのコンセプトは「シンプル」である。

　フレームワークは（1）セキュリティのガバナンス構造の設計、（2）セキュリティの管理プロセスの最適化、（3）ITインフラへのセキュリティの実装およびシンプル化と標準化の推進、（4）セキュリティプロセスの自動化・統合化――の4つから構成される。IT全体の視点からガバナンスと管理の仕組みを作る。その際にはIDアクセス管理と能動的なセキュリティ運用を重視しておく。最後にそれらをプロセスと自動化し、ライフサイクルを回していくというものだ。

HPのセキュリティフレームワーク

　榎本氏によれば、このフレームワークが作られる以前の社内のセキュリティ対策は非常に複雑化していたという。同社は他のITベンダーと同様に、多くの企業と買収・合併を繰り返して現在では約30万人の社員を抱える規模になったが、「昔はID基盤も複数のシステムがバラバラに構築・運用されていたと聞いている。それでは良くないとの判断から、社内のITインフラをエンタープライズアーキテクチャで刷新した際に、セキュリティをITサービスの1つと位置付け、このフレームワークを考案し、実装することになった」（榎本氏）とのこと。

　特にIDアクセス管理の部分は、「人とITを直接つなぐ部分」との考えから、管理基盤は全社で統一され、非常にシンプルだが、例えば、社員が国内でBYODを申請して上司が承認すれば、BYODの権限は直ちに管理基盤に反映されて、利用できるようになる。他社では数週間程度を要するケースも多い。これも管理基盤がシンプルであるからこそ可能であり、BYODのような新しい管理項目への対応も容易なのだという。

　セキュリティ対策の根幹を再構築することは、昨今のITインフラの最適化と足並みをそろえられれば取り組みやすいだろう。しかし難しい場合について榎本氏は、まず現状を可視化することから始めるべきとアドバイスする。自社を取り巻くリスクにはどのようなものがあり、どのような資産が影響するのか、その保護がどうなっているかを正しく把握する。それを踏まえ、フレームワークにあるようなシンプルなセキュリティモデルを構築して効率的な運用を行っていくための方策を順次導入していく。

　セキュリティの可視化には多方面からのアプローチが必要になる。同社は製品展開以外にもセキュリティ監視、脆弱性解析、脅威分析、システムの構築や運用支援といった広範なポートフォリオを持ち、「当社としてはこれらを自らの対策にも適用しており、顧客への支援でもその経験を生かしていけるだろう」と榎本氏は話している。