|
|||||||||||||||||||||||||
セキュリティ関連予算について今回のアンケート調査では、IT関連予算の規模とそのうちセキュリティ関連の占める割合について聞いた。 まず、図1に業種別に見たIT関連予算計上の状況について示した(「特に決まっていない」「わからない」という回答を除いた470件についての内訳)。 図1 業種別IT関連予算計上状況(クリックで拡大表示) 製造業(電気機械・輸送用機械)、金融業・不動産業、情報サービス業ではIT関連予算の多い企業の割合が多く、農林漁業・鉱業や卸売・小売業、医療・保険・教育等では少ない。この結果は、前回取り上げた「セキュリティマネジメントに対する全社的な取り組み」に積極的な業種と消極的な業種とほぼ一致しており、情報化の進展度合いとセキュリティマネジメントに対する取り組みには強い相関関係があることがわかった。 当然の結果だと言われる読者も多いと思うが、情報化があまり進んでいない企業であっても、インターネットに接続していれば外部からの不正アクセスやネットワークを通じた機密情報の流出といった問題が起こらない理由はない。しかも他の企業の情報システムに不正侵入を試みるクラッカーの“踏み台”になる脅威はどの企業にも等しく存在する(現実にインターネットに接続しているサーバには1日に100回もの不正アクセスがあると言われている)。 このように情報化が進んでおらず、かつセキュリティマネジメントに消極的な企業が一社でも存在すると、ネットワークで隣接する他の企業まで不正アクセスの嵐に巻き込まれることになるのである。これはインターネットの普及が生んだ新しい問題であり、「自社は関係ない」と決して無頓着でいてはいけないのだ。 それでは、企業は実際にどの程度の費用をセキュリティ関連予算として計上しているのだろうか。図2に回答企業におけるIT関連予算のうちセキュリティ関連予算が占める割合を示した。 図2 IT関連予算のうちセキュリティ関連予算の占める割合 この結果からわかることは、回答企業の約半数が10%未満しか計上しておらず、1/4が10〜14%程度に留まっているということである。30%以上の予算をセキュリティ関連に費やしている企業も10%強存在するが、全体的に見るとセキュリティに対する投資としては少ないのではないか。もちろん、回答者によってセキュリティ関連予算に何を含めるかについての考え方に違いがあるため、このパーセンテージが大きいか小さいかを簡単に結論付けることはできない。 しかし、高度なセキュリティ対策を実施しないにしても、社員のパソコンへのウィルス対策ソフトの導入やファイアーウォールの設置といった基本的なシステム投資は最低限のセキュリティレベルを保つためには必要である。具体的に試算していないが、これら基本的なセキュリティ対策に必要な導入費用、メンテナンス費用だけ考慮してもIT関連予算の10%では収まらないはずである(1台のパソコンにインストールされるウィルス対策ソフトのライセンス料やアップデートの費用を考えて欲しい)。 このような実態の背景には、企業経営者のセキュリティマネジメントに対する認識が甘く、充分な予算が確保されていない状況があるように感じる。しかし、ひとたび情報システムへの侵入や不正プログラムの実行を許してしまえば、データの破壊やシステム停止といった直接的な問題が生じるだけでなく、企業の信用損失も含めるとその被害は甚大なものになる。企業経営者の方々にはぜひこの問題を正しく理解していただき、充分な対策コストを計上していただきたいものである。 セキュリティ製品に対する考え方それではセキュリティ対策の実態を見ていくことにする。図3に情報システムに関連した代表的なセキュリティ製品に対する考え方についての回答結果を示す(「わからない」という回答を除いた内訳である)。 図3 代表的なセキュリティ製品に対する考え方 現在、企業向けのセキュリティ製品として代表的なものは、以下の4つに大きく分類される。 (1)ファイアーウォール (2)IDS(侵入検知システム) (3)改ざん検知・防止ツール (4)セキュリティ監査ツール ここでは詳しい技術的な説明は省略するが、各製品の機能を簡単に述べると、まず「(1)ファイアーウォール」は、通信パケットのIPアドレスを見て不正なアクセスを遮断する機能を持つ。「(2)IDS(侵入検知システム)」は、(1)をくぐり抜けた巧妙な攻撃や内部者の不正使用に対し、通信パケットを分析することで不正アクセスであるかどうかを検知するツールである。「(3)改ざん検知・防止ツール」は、(2)では検知できない外部からの攻撃やオペレーションミスによる不正なファイル変更を検知・防止するツールであり、セキュリティホールに対するパッチ適用作業を支援する機能も持つ。「(4)セキュリティ監査ツール」は、システム設定ファイルをチェックしたり、外部から擬似的に不正な攻撃を仕掛けることにより、その情報システムに充分なセキュリティ対策が講じられているかをチェックするためのツールである。 アンケート調査の結果を見ると、「(1)ファイアーウォール」が重要であるとした回答企業が9割を超えている。“ファイアーウォール”の名称は一般ユーザーにも幅広く浸透しており、他のツールと比べてセキュリティツールとしての認知度が高いため、基本的なセキュリティ対策として導入は着実に進む。「(2)IDS」については約8割、「(3)改ざん検知・防止ツール」「(4)セキュリティ監査ツール」についても約7割の回答企業が重要であると回答しており、現在利用していない企業でも今後段階的に導入が進むことが期待される。 しかし逆に見ると、残りの2〜3割の企業がこれらのセキュリティ製品は重要でないと回答しており、(グラフには明示していないが)どのツールについても回答企業全体(母集団)の3割強が「わからない」と答えるなど、将来的にもこのようなセキュリティ対策を講じないユーザーがいると考えられることは脅威に値する。 セキュリティ製品の利用目的また、セキュリティ製品(IDS)の利用目的について調べてみたところ、図4のような結果を得た。
図4 IDS(侵入検知ツール)の利用目的 この結果から、利用している企業全体の60%がファイアーウォールを補佐するツールとして「外部からの不正侵入対策」を目的に導入していることがわかった。また、将来の導入に向けて「試用/評価」している企業も13%弱であった。 注目すべき点は「内部の不正アクセス対策」として導入した利用者が約25%もいることである。セキュリティ対策というと外部からの侵入を想定することが一般的のように思われるが、実は内部からの不正アクセスも少なくない。社員が会社のパソコンに勝手にアプリケーションをインストールした結果、社内の業務サーバに不正プログラム(トロイの木馬等)を常駐させてしまうケースがあり、本人も気づかないうちに不正アクセスを繰り返していることも多い。このような場合、IDSのようなセキュリティ製品で検知する対策は有効だが、それ以前に「不用意に会社のパソコンにアプリケーションをインストールしない」といったセキュリティ管理規定が設けられているべきではないだろうか。セキュリティ製品を積極的に導入することでセキュリティレベルを上げることも大切だが、社内ルールの策定・徹底や社員教育といった対策を講じなければ“もぐらたたき”を繰り返すだけなのである。 もちろん、内部関係者による不正アクセスが意図的に行われた場合は、問題はさらに深刻化するのだが・・・。 Copyright (c) 2003 Inter Intelligence Inc. All Rights Reserved.関連記事 セキュリティマネジメントに関するユーザー調査(1) [市川正紀,インターインテリジェンス] サーベイチャンネルは、専門スタッフにより、企画・構成されています。入力頂いた内容は、ソフトバンク・アイティメディアの他、サーベイチャンネルコーディネータ、及び本記事執筆会社に提供されます。
| |
||||||||||||||||||||||||
ITmediaはアイティメディア株式会社の登録商標です。 |