デジタル・アース代表取締役社長 佐藤義正氏

Windows XP Professionalではじめるセキュリティ対策〜診断編(前編)

セキュリティのスタートラインをしっかり固めたい

 シリコンスタジオ(株)は、「デジタルコンテンツ」に関わるさまざまな事業を手がけるハイテク企業である。映像編集システムの輸入・販売、最新のCG技術を駆使したデジタルコンテンツの制作、クリエイターの教育・人材派遣など、「デジタルコンテンツ」をキーワードに、その事業範囲は多岐にわたる。

 Netscape社およびSilicon Graphics社の創始者であるジム・クラーク氏をはじめとする錚々(そうそう)たるメンバーが株主に名を連ねていることからも、その事業内容は推察できるだろう。

 このシリコンスタジオ、いま"旬"であるGoogle Earthとも密接な関係を持つ。Google Earthは、今から1年前にGoogleが買収したKeyhole社の地図ビューアがベースになっているが、このKeyhole社と代理店契約を結び、同社の地図システムを販売していたのがシリコンスタジオなのである。

 ご存じのように、Google Earthは発表と同時に爆発的な人気を博し、そのビジネスへの応用が大きな注目を集めている。そこでシリコンスタジオがとった戦略は、Google Earthを核とするビジネスをさらに推進・拡大することだった。その中心となるのが、今年10月に設立された新会社「デジタル・アース株式会社」である。

 スタート時点の社員数は6名と少数精鋭だ。シリコンスタジオの常務取締役も兼ねるデジタル・アースの代表取締役社長 佐藤義正氏は、「このビジネスはまだ始まったばかり。観光案内、不動産開発、防災、学術……等々。いろんな可能性がありますよ。」と熱く語る。

 確かに、Google Earthは大いに盛り上がっているが、ビジネスへの応用はまだ始まったばかり。そんな中、デジタル・アースはB2B、B2GでのASPサービスやホスティングサービスを視野に入れた事業を構想していると言う。そうなると、将来的には膨大な顧客情報を扱うことになる。個人情報保護法のこともあり、「いまのうちから、しっかりとしたセキュリティ対策を行っておきたい」という佐藤氏には、将来のビッグビジネスが具体的にイメージされているように見受けられた。

※個人情報保護法:個人情報の不正流用や流出を防ぐため、個人情報を扱う事業者に情報の管理義務を負わせる法律。違反すると、6カ月以下の懲役か30万円以下の罰金が科せられる。ただし、取扱量が少ない等の一定の者を除く。“取扱量が少ない”とは、個人情報の件数(個人情報で識別される個人の数)が過去6か月以内のいずれの日においても5000件を超えないことを意味する。

実態の把握に効果的なセキュリティ診断サービス

 そこでデジタル・アースがとった“初めの一歩”は、無料のセキュリティ診断サービスだった(画面1)。

 この「職場のセキュリティ診断サービス」は、セキュリティサービスベンダーとして有名なラックとマイクロソフトによって提供されている企業内PCのセキュリティレベルを測定できるWeb形式のASPサービスだ。有料版と無料版が用意され、いずれもオフィス内の個々のPCに対して、次の5項目を診断できる(有料版と無料版の違いは表Aを参照)。

1.アカウント管理
ID、パスワード、アクセス権限などの設定状況を調査し、なりすましや不正利用などに対する危険性を診断する。

2.クライアント設定
セキュリティ対策に関するPCの設定状況を調査し、情報漏洩の危険性を診断する。

3.セキュリティパッチ適用
セキュリティパッチの適用状況を調査し、未適用のセキュリティパッチを診断する。

4.ウイルス対策
ウイルス対策ソフトの設定を調査し、ウイルスやワーム感染における危険性を診断する。

5.セキュリティ規定
利用規則等を調査し、不必要なソフトウエアのインストール状況や第三者による不正利用の可能性を診断する。

 結果は、○(安全)、△(普通)、×(危険)の3段階に分かれた診断レポートとして作成される。同時に、ユーザーに対して行う事前アンケートに基づいて2つのグラフが生成され、「利用者の認識」と「実際の状況」のギャップが示される仕掛けも用意されている。

 デジタル・アースでは、今年10月の設立時に導入した計8台のWindowsマシン(Windows XP Professional)に対し、このサービスの無料版を実施した。

 診断サービスの操作は、特に難しくはない。Web上で申し込みをしたら、あとは各社員が自分のPCで診断サービスのサイトを表示し、Web上で「セキュリティ意識調査アンケート」に回答するだけだ(画面2)。回答しているあいだにプログラムが自動実行され、診断が行われるので、一般的なWebアンケートに回答するのとまったく変わらない。デジタル・アースでも、個々の社員のスケジュールに合わせて仕事の合間に実施できたので、業務にはまったく支障はなかったということだ。

果たして、診断結果は……

 診断サービスの結果は、診断期間終了後、約1週間で管理者あてに郵送で送られてきた。その結果は、佐藤氏やネットワーク担当の松原氏はもちろん、実施した個々のPCユーザー(社員)をも驚かせる内容だった。表Bがその結果だ。

 ご覧のように「安全」と評価された項目はゼロであった。クライアント設定にいたっては、今すぐ対策が必要とされる「危険」、総合評価でもA(安全)〜E(危険)の5段階評価のDという評価が出てしまったのだ。

表B■無料診断の結果

  項目 評価 評価
1 アカウント管理△(普通)一部のPCで適切なアカウント管理が行われていません、利用者に対して、アカウント、およびパスワードの管理を徹底する必要があります。
2 クライアント設定×(危険) 多くのPCで、共有フォルダのアクセス権やロックアウト等が適切に設定されていません。
3 セキュリティパッチ適用△(普通) 一部のPCで、セキュリティパッチの適用がされていません。利用者に対して、セキュリティパッチの適用を促す必要があります。
4 ウイルス対策△(普通) 一部のPCでウイルス対策が適切に行われていません。利用者に対して、適切なウイルス対策を促す必要があります。
5 セキュリティ規定△(普通) 一部の利用者は、会社のセキュリティ規定を理解していません。利用者に対して、会社のセキュリティ規定を教育する必要があります。
総評 D
今回の診断では、問題となる点がいくつか存在しました。問題となるPCを放置しておくと、情報漏洩などを引き起こすセキュリティリスクが存在します。各診断項目の判定で「×」の項目に関しては早急な対策が必要です。

次回、解決編へ

 予想以上の悪い結果ではあったが、佐藤氏は、むしろ「診断した甲斐があった」と振り返る。会社設立から日が浅く、実質的な活動はスタートしていないため、このタイミングで事実を客観的に把握できた意義は大きいという意味だ。そこで、無料の診断サービスを急きょ有料の診断サービスに切り替え、ラック社のアドバイスを受けることを選択した。  その結果、追加のコストをまったくかけることなくセキュリティレベルを大幅に向上させることに成功したのである。「そんなことはあり得ない」と思われるだろうか? 次回、その"ありえない"解決方法を、ご覧いただこう。ヒントは、すでに本記事の中に隠れているのだが……。

提供:マイクロソフト株式会社
企画:アイティメディア 営業局/制作:ITmediaエンタープライズ 編集部/掲載内容有効期限:2006年6月30日