ニュース
2004/02/28 02:16:00 更新
「リスクを考慮せよ」と強調したガートナーのペスカトール氏
米Gartnerのアナリスト、ジョン・ペスカトール氏が、RSA Conference 2004の会場でショートプレゼンテーションを行った。
「ちょうど経営者が投資を行うときと同じように、リスクを考慮しながらセキュリティに向き合わなければならない」(米Gartnerのバイスプレジデント、ジョン・ペスカトール氏)。
ペスカトール氏はRSA Conference 2004の会場で、セキュリティリスク管理システム「Skybot View」を発表した米Skybox Securityの招きに応じて、ショートプレゼンテーションを行った。この中で同氏は、脆弱性との付き合いは切っても切れないものだとし、それを適切に管理していくことが必要だと語っている。
ペスカトール氏によると、昨年は、企業のIT予算のうち4.3%がセキュリティに投じられたのに対し、今年はそれが5.4%にまで向上するという。にもかかわらず、投じた費用とリスクとのギャップ、効率性とのギャップは依然として存在するのが現状だ。
さらに、「新しい技術がやってくれば、当然脅威ももたらされる」(同氏)。これからも、スパイウェアやキーロガーなどに起因する脅威が増大するほか、VoIPやモバイル機器、P2Pアプリケーションといった分野で新たな脅威が生じるだろうという。
こういった困難な状況の中で、企業はどんな対処を取っていくべきだろうか。ペスカトール氏の答えは、脆弱性とリスクの管理だ。「脆弱性を発見したならば、優先順位に基づいてホスト型IDSなどを用いて防御を施しながら、パッチの適用を通じて脆弱性そのものを修正する。同時に、それを狙おうとする脅威を監視し続ける……というサイクルを繰り返していかなければならない」(同氏)。
「新しいシステムを稼動させれば、新しい脅威も生じる。対処のためにより優れたソフトウェアを選択することは可能だが、基本的に、脆弱性とは長い付き合いになる」(ペスカトール氏)。
残念ながら、あらゆるソースコードには脆弱性が潜んでいる。設定ミスから生じる弱点も無視できない。「スキャンを行っていい加減なセキュリティや安易なCGI、設定ミスを見つけ出し、そのインパクトを把握すべきだ」と同氏。アプリケーションもその例外ではない。
ペスカトーレ氏はこれら一連の要素に対し、セキュリティ上のベースラインを定めた上で、スキャンによる脆弱性の発見とそれらの分類、緩和というサイクルを通じて、継続的にギャップを埋めて行くべきだと語った。また、「レポートも大切な機能。システムがどの程度守られており、効果的に保護されているかを見るセキュリティSLA(SSLA)を実現する上で重要だ」と述べている。
関連リンクSkybox Security
Gartner
RSA Conference 2004
[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.