「ワイヤレスセキュリティの統合」を促す専門家

[IDG Japan]

　企業はワイヤレスセキュリティを別個のものではなく、既存のセキュリティアーキテクチャのアドオンとして考えるべきだ。Wireless Security Conference & Expoに参加したアナリストとベンダーはこう呼びかけた。IT管理者は、企業全体のセキュリティポリシーが既に存在するのであれば、それに新たにワイヤレスセキュリティの要素を統合するか、あるいはこの機会にITインフラ全体に向けた計画を作成するべきだとセキュリティ専門家らは4月20日、同イベントで促した。

　システムインテグレータFarpoint Groupのクレイグ・マチアス社長は、ワイヤレスセキュリティを別物と考える代わりに、IT管理者は既存の有線ネットワークをワイヤレス世界から生じる新たな脅威から守ることを考えなくてはならないと語った。

　以前はセキュリティの懸念から、企業はワイヤレス技術を容認しなかった。だが今は、ワイヤレス採用の主な障壁は、セキュリティが複雑だと思われていることだとコンサルティング企業Core Competenceのリサ・ファイファー副社長。

　Farpointのマチアス氏も同意見だ。「ほとんどのセキュリティソリューションはたいていの人にはあまりに使いにくく、理解しにくい。エンドユーザーが自分でセキュリティシステムインテグレータの役目を果たし」、あるベンダーからファイアウォールを買い、別のベンダーからVPNを買って、すべての製品の相互運用性を確保しなくてはならないことが多すぎると同氏。

　こうした状況は変わりつつある。ベンダー各社は無線LANスイッチにこれまで以上に多くの機能を盛り込んでおり、さらに一部の企業は使い勝手の問題に取り組んでいる。マチアス氏は、小規模企業やホームユーザーでも簡単に導入できるよう設計されたInterlink Networksのエンタープライズ級ワイヤレスセキュリティアプリケーション「LucidLink」を取り上げた。「これは正しい方向に向けた一歩だ。今後、業務用途に耐えるセキュリティ製品はどれもこの路線に進む」と同氏。

　同氏は、ワイヤレスは企業のセキュリティポリシーの小さな部分を形成するにとどまり、主にどの携帯デバイスとリモートアクセス用の中間ネットワークが企業のセキュリティ基準を満たしているかを定めることに関わってくるだろうと強調した。企業はセキュリティポリシーを更新し続け、攻撃に対処するために導入したソリューションがきちんと仕事をしているか確認する必要がある。

　大規模企業では、IT管理者は人間の手で違反行為や攻撃を監視するセキュリティオペレーションセンター（SOC）を設置できる。マチアス氏は、いずれ人手を使ったSOCと同じ機能を提供する自動化されたツールが中小企業向けに登場すると予測している。

　企業のセキュリティに対する考え方は時とともに変わる。モバイル通信企業Sprint Business Solutionsのマネージドワイヤレスサービス担当ジェネラルマネジャー、ロブ・カーモード氏は、自分の勤務先の体験を示した。8カ月前、同社はワイヤレス電子メールを「害がない」ものと考えていたが、2004年12月にNextel Communicationsとの合併計画を発表してからは一変した。

　合併計画に関する機密の財務情報が流出する可能性があることから、ワイヤレス電子メールは突然心配の種になった。これまでのところ、Sprintではこの問題への具体的な対策は行っていないとカーモード氏。大企業の多分に漏れず、「われわれは動きが遅い。セキュリティ対策を導入しようとしているところだ。完全な調査を行ってから行動に移るつもりだ」

　結局はどの企業も、人的要因などのために、今も、そしてこれからも完全なセキュリティなど存在しないことを認識する必要がある。

　「エンドユーザーを排除すれば、完全なセキュリティを実現できるという格言がある」とネットワーク認証ソフトを手がけるMeetinghouseの上級ソフト開発者ジム・バーンズ氏は皮肉を言った。

　必要なのは、企業が「セキュリティの文化」を確立すること、従業員がワイヤレス技術の安全な使い方を理解できるようトレーニングやサポートを提供することだとFarpointのマチアス氏は主張する。