ニュース
» 2014年09月29日 08時00分 UPDATE

セキュリティ対策に悩む担当者へ:セキュリティ対策を安く的確に実施する方法 (1/2)

大規模な情報漏えい事件が多発しており、「うちのセキュリティ対策は大丈夫なのか?」や「セキュリティ対策を最新にしたい」と悩む担当者は多い。しかし、どうすればこの問題が解決するのか分からないのも事実だ。そこで、これらを的確に投資対効果を高く(安く)実施する方法を紹介する。

[蔵本雄一,日本マイクロソフト]

うちのセキュリティ対策は大丈夫なのか?

セキュリティ対策を最新にアップデートして欲しい

 上司からこんな依頼はないだろうか。近年、標的型攻撃に見られるように、脅威が進化し、より狡猾になってきている事もあり、こういった心配事は尽きない。

 しかし、セキュリティ対策と一言で言っても、サーバーやデータベース、アプリケーション等、システムの構成要素が多過ぎてどこから手を付けてよいのかわからないといった声も多く聞く。

 この記事では、「どこから手を付ければ良いのか?」や「どのように対策を考えれば良いのか?」について解説する。

 まずは「どこから手を付ければ良いのか?」から考えてみよう。

どこから手を付ければ良いのか?

 組織の状態によって、それぞれ条件はあると思うが、クライアント端末のセキュリティ対策を向上するのが費用対効果の高い対策レイヤーのひとつと言える。

 理由は2つある。

 理由のひとつ目としては攻撃者のターゲットとして見た時のクライアントの重要度が向上している事が挙げられる。

 これまでのセキュリティ対策は、Firewall等により、社内のネットワークと社外のネットワークを隔てる事で簡単に言うと「社外は危険」「社内は安全」という構成をとる事で社内の安全性を確保するという方針が多く取られてきた。このため、クライアントのセキュリティ強度を見てみると、「境界領域で防御できるから、クライアントのセキュリティ対策はあまり気にしていない」状況が非常に多い。

 しかし、近年の攻撃では、攻撃者がここに目を付け、クライアントを狙う方向にシフトしてきている。

 クライアントを乗っ取って、遠隔から操作する事で直接アクセスできないイントラネット内のサーバーからファイルを取得するといった「将を射んとする者はまず馬を射よ」とも言える攻撃が代表的なものだ。

 例えば、ブラウザによるWeb閲覧時やメールで送り込まれたウイルスに感染してしまうと、そのウイルスが社外へ通信する事で遠隔から操作されてしまう事で、情報漏えいが発生してしまう。更に、USBメモリ等、安価で可搬性に優れたデバイスの普及も手伝って、こういったウイルスが送り込まれる経路として、ネットワークだけでなく、物理的なデータ移送に起因するウイルスへの感染も非常にポピュラーな感染経路のひとつとなっている。

 このため、これまでインターネットとイントラネットのネットワーク境界で防御していた「境界領域防御」だけではクライアントを十分に保護する事ができなくなってきており、クライアントのセキュリティ強度の向上が必要になってきているのだ。

図2 現在では上図に示すような、従来の境界領域防御だけでは十分な保護は困難

 「将を射んとする者はまず馬を射よ」と覚えておこう。

 理由の2つ目としては、働き方が変わっている事が挙げられる。

 2001年頃と現在を比べてみよう。

 2001年頃の働き方は、3Fの働き方と言える。すなわち、Fixed Time(決まった時間に)Fixed Place(決まった場所で)Flexed Device(決まったデバイスで)だ。

 つまり、かなり固定化された条件でしか働くことができなかったのが2001年頃だ。

 それに対して、現代の働き方を考えてみると3Aと言える。AnyTime(いつでも)AnyPlace(どこでも)AnyDevice(どんなデバイスでも)だ。

図1 働き方の変化

 つまり、「デバイスを持ち出して外で働く」や「会社の支給端末、個人所有端末を問わずに、どんなデバイスでも利用できるようにしてビジネスの可用性を向上する」といった事が求められているのだ。会社から貸与されたデバイスを会社から一切持ち出す事無く利用する事から考えれば、当然、盗難紛失のリスクやクライアントが社内の境界領域防御の恩恵を受ける事無く、直接インターネット接続されるケースが多くなってきている。

 「デバイスを持ち出したら情報漏えいのリスクがある」「会社支給端末以外を持ち込むなんてとんでもない」といったITリスクを懸念する事も多く聞くが、現代では、ビジネスの意思決定スピードの向上が必須であるため、「決まった時間に、決まった場所で、決まったデバイス」でないと働けないという状態だと、ビジネスの意思決定スピードが遅れ、ITリスクを懸念しすぎたため、それがビジネスリスクとなってしまうケースがある。

 現代では、モバイルルーターの回線速度の向上、ノートPCのバッテリー持続時間向上、タブレットの登場、スマートフォンの登場等「いつでもどこでもどんなデバイスでも」働く事ができるインフラが整備されている。

 こういったインフラを安全に利用して生産性を高める事こそセキュリティ対策に求められているポイントだ。

 例えて言うなら、車が分かりやすいだろうか。速い速度を出せる車がある、そしてその車が速度を出して走る事ができる高速道路もある。この状況で、「事故が怖いので車には乗らない」だと、事故が起きないとしても、周りの競争相手はみんな車での高速移動をしているので、そもそものビジネスで負けてしまう。ここで、生産性と安全性の両立を考える必要があるのだが、当然ながら事故は怖いので、シートベルトやエアバックといった安全装置を実装する事で、事故を起こした際のダメージの軽減や、事故の発生確率自体を下げる事が重要だ。

 つまり、クライアント周りのセキュリティを強化すると、セキュリティ強化の観点からも、生産性向上の観点からも効果的であるため、費用対効果が高いと言えるのだ。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -