経営課題としてのセキュリティ〜ピンポイント対策では終わらない〜

 もしも今、「仕事をするのに電子メールもWebも、PCも使ってはならない」などと言われたら、あなたは、そしてあなたの会社はいったいどうなってしまうだろう? 今となっては、そんな状況を考えるのは難しいほど、IT技術はわれわれの仕事と深く関わるようになっている。

 現在、企業の基幹業務プロセスはERPやSCMといったアプリケーションの上で進み、紙ベースでやり取りされていた情報はどんどん電子化され、企業Webポータルに集約されるようになった。そして今度は、VoIP(Voice over IP)技術を活用したIP電話やテレビ会議といったアプリケーションによって、より情報密度の濃いコミュニケーションが可能になろうとしている。

 「面」的な広がりも進んでいる。ノートPCやPDAの普及とモバイル通信技術の発展にともない、オフィスはもはや、会社の建物がある場所だけに制限されなくなった。自宅や出先のコーヒーショップ、あるいは出張先のホテルなどから、リモートアクセスを通じて、オフィスにいるときと同じように仕事を行える環境が整いつつある。こうしたモバイル化によって、移動する手間が省けるだけでなく、そのときその場所に応じた効率的な作業ができるようになるわけだ。

「ITは企業を変革していくための便利な道具だ」
専務取締役
事業統括本部
副統括本部長
兼 ITアウトソーシング事業本部長  北村 寛氏

 このようにITは、単に業務を効率化させるだけでなく、新しい働き方、新しい企業のあり方を可能にしてくれる。一時期には、ITを導入することそのものが目的のように謳われる時期もあった。しかし本来、「ITは企業を変革していくための便利な道具だ」(京セラコミュニケーションシステム専務取締役の北村寛氏)。思い切った企業変革のために、ITを使いこなすべきだと同氏は言う。

 「たとえば、海外に複数の拠点を持つ製造業の企業が、それら拠点をつなぎ、仕様書や図面をすべてデジタル化してやり取りすることにしたとする。そこまでならば、単なるコストの削減、単なる合理化に過ぎない。その環境を踏まえ、たとえば現地での部品調達や異なるスペックをはじめとするさまざまな変化に臨機応変に対応し、リアルタイムに更新していけるような仕組みを作り上げることができれば、大きなコスト削減と、より高い生産性を両立できる」(北村氏)。それを可能にするのがITの力だ。

全体的な視野からの検討を

 これはとりもなおさず、ITが企業にとって生命線となりつつあるということでもある。では、仮にこの生命線が何らかの理由で絶たれてしまったら? ITの果たす役割を踏まえ、そういった想定に基づいた対策を取っておくことは、企業リスク管理の一環としても重要なポイントに成る。企業の革新を実現するシステムを作り上げるには、同時に、信頼性や有効性といった意味も含んだ「厳しいセキュリティ」を欠かすことはできないと北村氏は指摘する。

 ただ残念なことに、現在、さまざまな要素がこの生命線を脅かそうとしている。最も分かりやすい例が、昨年のBlaster、今年のSasserに代表されるワームの蔓延だ。

自らが加害者となってしまうのだが、感染した側がそれに気づかないことも多い
IPサービス事業本部
セキュリティ営業部
責任者
麻尾 健史氏

 「最近のワームは、電子メールを開いた瞬間、ネットワークに接続した瞬間に感染してしまう。それも、被害は自社内にとどまらず、パートナーや顧客にまで迷惑をかけてしまうことがある。自らが加害者となってしまうのだが、感染した側がそれに気づかないことも多い」と、KCCSのIPサービス事業本部セキュリティ営業部の責任者を務める麻尾健史氏は言う。

 しかもこうしたワームは、必ずしも表口から入ってくるとは限らない。社員の自由な働き方を可能にするモバイルアクセスが、かえってワームが入り込む裏口を作り出すこともあるのだ。現にBlasterが広範に感染した原因として、社員がワームに感染したノートパソコンを直接、あるいはリモートアクセス経由で企業システムに接続してしまったことが挙げられている。

 昨年のBlaster騒動の陰では、国内でも多くの企業が多大な被害を被った。皮肉なことに、ITに大して高い意識を持ち、早くから取り組んできた大手企業で被害が甚大だったという。他社に先駆けてIPセントレックスやVoIPを導入したところでは、ワームの感染によって電子メールのやり取りのみならず、電話をかけることもままならい事態も生じたと言うことだ。

 多くの企業ではセキュリティポリシーの確立やウイルス/ワーム対策を進めていたにも関わらず、被害を防ぐことができなかった。背景には、ワームそのものの悪質化、蔓延の高速化といった要因に加え、海外を含めた企業ネットワークの拡大や、従業員一人ひとりが持ち歩くパソコンの増加といった環境の変化が挙げられる。急速な変化に、社員側のリテラシが追いついていないことも、問題の1つだろう。ITが隅々にまで行き渡り、多くのユーザーをつなげばつなぐほど、リスクもまた高まってしまうわけだ。

 だからといって、IT導入前の世界に戻るというのは、ITがもたらすさまざまなメリットまでも捨て去ることになってしまう。ITによるさまざまなリスクを受け止めたうえで、「ピンポイントではなく、全社的にセキュリティに取り組まなくてはならない。企業をどう変革させるのかという視点に立ってアーキテクチャを根本的に吟味し、その中に認証をはじめとするさまざまなセキュリティを組み込んでいくことが重要だ」と北村氏は語る。

便利さとリスクは表裏一体

 事実、企業側もずっと手をこまねき続けてきたわけではない。多くの企業ではセキュリティ対策の必要性に気づき、何らかの手を打とうと動き出している。ただ、そこには1つ大きな思い違いがあると北村氏は指摘する。

 「セキュリティの世界には神話がある。すなわち、ファイアウォールやIDS、ウイルス対策ソフトウェアを導入すれば、それでもう大丈夫だという考え方だ」(北村氏)。けれどその多くは事後的な、一過性の対策に過ぎない。こういったピンポイントの対策を取って安心していると、それがかえってアキレス腱になりかねないという。

 たとえ城壁があったとしても、突破方法はいろいろある。逆に言えば、絶対に突破されない城壁など、存在しない。突破されてから対応を取るよりは、あらかじめ壁の弱いところ――セキュリティホールがどこにあるのかを把握し、危険性を予測し、先回りして準備しておくことによって、効果的なセキュリティ対策が実現できるという。

 それにはまず、自社の体制がどうなっているかを把握する仕組みが必要だ。人間の体でもしばしば、「治療よりも予防が重要」と言われるが、まさに同じことがセキュリティにも言える。、現状を正確に把握し、継続的にその推移を知ることが、健康に近づく第一歩だ。これはまた、セキュリティに関するROIを把握する上でも重要なポイントになる。

 だが現実には、この作業はなかなか難しい。そもそも、「完全にセキュリティ対策を行っているつもりでも、実際にはユーザーが勝手に社内に別立てのLANや無線LANを導入し、セキュリティホールを作り出していたり、誰の接続を許可するのかというルールがあいまいになっているケースがままある」(麻尾氏)。

 しかも、「人間ならば1年に1度の健康診断ですむが、脆弱性は毎日のように発見されている。その上放置しておけば、あっという間に悪用コードが公表されて大変なことになってしまう。悪いところがなかなか分かりにくく、分かったときにはもう手遅れだという意味で、むしろ自然界のウイルスよりも対応が難しいかもしれない」(北村氏)。

未然の予防にも目を

 企業のセキュリティの現場は、ごく限られた優秀なエンジニアの献身的な努力で支えられているのが現状だという。しかし、そうしたスタッフ個人の力にすべてを託せる段階ではすでにない。企業ネットワークはいま、昼夜を問わず、国境を超えて発生するさまざまな脅威にさらされている。自社のネットワークの状態をリアルタイムで把握し、脆弱性の深刻度を量り、対策を支援するツールが必要なのだ。そうしたニーズに応えるのが、「nCircle IP360」である。


nCircle IP360の筐体画像とレポート画面

 nCircle IP360は、企業ネットワーク上にどういった機器やサーバがあり、それぞれどんな脆弱性を抱えているかをリアルタイムで診断するツールだ。脆弱性は数値化され、危険度に応じて色分けされたグラフィカルなレポートとして表示されるため、専門家でなくともどこにどういった危険が潜んでいるかを一目で把握することができる。

 「nCircle IP360を通じて、可視的にシステムの状態を把握することによって、エンジニアのみならず経営層もまた、自社が今どういった状態にあるかが即座に理解可能だ。このレポート結果とあるべきセキュリティポリシーとを照らし合わせることによって、マネジメント層の意識を高めていくことができる」(北村氏)。

 今後も、企業を取り巻く環境はダイナミックに変化し続けるだろう。その中では、常に自社のリスクを数値化し、明確に把握し続けるとともに、ユーザーに柔軟かつ厳格なアクセス管理を施していく必要もある。組織の変更や再編に応じて適切に情報へのアクセス権を管理するとともに、それに基づいた認証によって、「誰が」「いつ」「何に」アクセスしてもよいのかを制御していかなくてはならない。

 また、先日のワーム蔓延の教訓を生かすならば、そうしたアクセス認証の際に同時に、個人のノートパソコンが安全な状態にあるかどうかをチェックし、一定の水準を満たさない限りアクセスを許可しないといった仕組みも求められる。KCCSでは新製品も含め、そうしたニーズに応える製品を、NetWorld+Interopの同社ブースで紹介する予定だ。

 そして忘れてならないのは、ITを通じた企業の変革を推し進める以上、セキュリティに対する取り組みに終わりはないということだ。技術や組織は常に変化し、新たな脆弱性は登場し続ける。

 「日本企業の多くがセキュリティを意識しているが、大半は『ピンポイントの対策ツールを入れて終わり』というもの。継続的な取り組みという視点に欠けているのが最大の問題だ。セキュリティは技術的課題ではなく、経営課題であり、コーポレートガバメントの一環として取り組まなければならない」(同氏)。

関連リンク

関連記事