ニュース
2004/02/28 02:16:00 更新


「リスクを考慮せよ」と強調したガートナーのペスカトール氏

米Gartnerのアナリスト、ジョン・ペスカトール氏が、RSA Conference 2004の会場でショートプレゼンテーションを行った。

 「ちょうど経営者が投資を行うときと同じように、リスクを考慮しながらセキュリティに向き合わなければならない」(米Gartnerのバイスプレジデント、ジョン・ペスカトール氏)。

 ペスカトール氏はRSA Conference 2004の会場で、セキュリティリスク管理システム「Skybot View」を発表した米Skybox Securityの招きに応じて、ショートプレゼンテーションを行った。この中で同氏は、脆弱性との付き合いは切っても切れないものだとし、それを適切に管理していくことが必要だと語っている。

ペスカトール氏

セキュリティリスクを把握し、緩和していくことの重要性を述べたペスカトール氏

 ペスカトール氏によると、昨年は、企業のIT予算のうち4.3%がセキュリティに投じられたのに対し、今年はそれが5.4%にまで向上するという。にもかかわらず、投じた費用とリスクとのギャップ、効率性とのギャップは依然として存在するのが現状だ。

 さらに、「新しい技術がやってくれば、当然脅威ももたらされる」(同氏)。これからも、スパイウェアやキーロガーなどに起因する脅威が増大するほか、VoIPやモバイル機器、P2Pアプリケーションといった分野で新たな脅威が生じるだろうという。

セキュリティハイプ

おなじみハイプ曲線を用いてセキュリティ上の脅威を分析。次なる脅威はP2Pやモバイル機器にあるという

 こういった困難な状況の中で、企業はどんな対処を取っていくべきだろうか。ペスカトール氏の答えは、脆弱性とリスクの管理だ。「脆弱性を発見したならば、優先順位に基づいてホスト型IDSなどを用いて防御を施しながら、パッチの適用を通じて脆弱性そのものを修正する。同時に、それを狙おうとする脅威を監視し続ける……というサイクルを繰り返していかなければならない」(同氏)。

 「新しいシステムを稼動させれば、新しい脅威も生じる。対処のためにより優れたソフトウェアを選択することは可能だが、基本的に、脆弱性とは長い付き合いになる」(ペスカトール氏)。

 残念ながら、あらゆるソースコードには脆弱性が潜んでいる。設定ミスから生じる弱点も無視できない。「スキャンを行っていい加減なセキュリティや安易なCGI、設定ミスを見つけ出し、そのインパクトを把握すべきだ」と同氏。アプリケーションもその例外ではない。

 ペスカトーレ氏はこれら一連の要素に対し、セキュリティ上のベースラインを定めた上で、スキャンによる脆弱性の発見とそれらの分類、緩和というサイクルを通じて、継続的にギャップを埋めて行くべきだと語った。また、「レポートも大切な機能。システムがどの程度守られており、効果的に保護されているかを見るセキュリティSLA(SSLA)を実現する上で重要だ」と述べている。

関連リンク
▼Skybox Security
▼Gartner
▼RSA Conference 2004

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.