第2回 情報セキュリティ、基礎の基礎の概念を知る(続)知ってるつもり? 「セキュリティの常識」を再確認(2/2 ページ)

» 2004年11月15日 09時13分 公開
[伊藤良孝(三井物産セキュアディレクション CTO),ITmedia]
前のページへ 1|2       

・情報漏洩対策ツール(ILP:Information Leak Protection product)

 不正な権限者による情報流出の防止や、正当な権限者による不正利用を抑止する機能を持つ。システムの入出力デバイスの制御、ファイル単位/画面単位でのコピー防止、操作の記録、ハードディスク自体の暗号化など、さまざまな機能を持つ製品が存在する。主に内部情報漏洩の防止を目的として導入される。

・VPNシステム(VPN:Virtual Private Network)

 さまざまなプロトコルレイヤでデータの暗号化やカプセリングを行い、仮想的な閉域ネットワークを構成して安全なデータ送受信を行う機能を持つ。代表的なVPN方式としては「IPsec」のほか、「PPTP」「SSL」などの方式を用いたものがある。第三者による盗聴などを防止し、企業間の通信等を安全に行うことを目的として導入される。

・公開鍵認証基盤(PKI:Public Key Infrastructure)

 公開鍵暗号を使用して、通信相手が間違いなく本人であること(真正性)、通信内容が改ざんされていないこと(完全性)を証明する機能を持つシステム。電子商取引等や電子自治体の基盤に応用されている。

・シングルサインオンシステム(SSO:Single Sign-on System)

 一回の認証手続きで、複数のOS、アプリケーション、システムへのアクセスを可能とさせる機能を持つ。資源の利用権限を統一的かつ効率的に管理することを目的として導入される。通常のパスワードによる認証のほか、ワンタイムパスワードや生体特徴による認証(バイオメトリクス認証)も応用される。

・セキュリティ監視システム(SEM:Security Event Manager)

 FirewallやIDS/IPS、またその他のセキュリティデバイスやネットワーク機器、サーバなどが吐き出すログなどを集中管理する機能を持つ。主にセキュリティインシデントのハンドリング効率向上を目的として導入される。

 これらが現在の情報セキュリティ基盤を構成するすべての要素を網羅しているわけではない。だが、いずれも基本的な要素として覚えておいてほしい。

大事なのは情報セキュリティの「維持」

 以上、さまざまなセキュリティプロダクトの基本的な機能とその目的について簡単に説明してきた。それでは、これらのプロダクトを組み合わせて具体的に情報セキュリティ対策に取り組む場合、どんな方針に基づき、どのレベルまで導入、実施すればよいのだろうか?

 それを決定するには「コスト」「利便性」をはじめ、さまざまな要素を考慮する必要がある。そして、どこまで対策を実施するかは、最終的には組織や管理者のポリシーに委ねられるのが基本である。

 一方で世の中には、一般的なセキュリティ対策指針を示す公的基準が存在する。これら基準を満たすことは、国で定めた認定制度などとも関連してくる。したがって、可能であればこれらの基準を参考にして、その実現に必要なセキュリティプロダクトや施策の取捨選択を行うほうがいいだろう。

 では、いったいどんな公的基準を参考にすべきだろう? 前述のとおりさまざまな公的基準が存在するが、中でも最も現実的な解は「ISO/IEC 17799(BS 7799-1)」だろう。

 現在国内で活発化している「ISMS(Information Security Management System)適合評価制度」は、このBS7799がベースとなっている。

 ここでは詳細は割愛するが、BS 7799は二つのパートに分かれており、ISMS適合評価制度では、このうちパート2に当たる「BS 7799-2」に基づいて評価が行われる。このステップの中では具体的なセキュリティ管理項目を規定する必要があるが、これらの項目はBS 7799-1に規定されているものの中から選択することになる。よって、セキュリティプロダクトを導入しようとする場合は、これらの管理項目をチェックして必要な機能を持つものを選定/導入すればよい。

 ただ、ここで一つだけ、決して忘れないでもらいたいことがある。セキュリティプロダクトの選定/導入だけに目を奪われないでほしい、ということだ。

 情報セキュリティ「マネージメント」システムという名前が示すとおり、ISMSの目的は、情報セキュリティシステムを適切に管理し、維持していくことにある。そして、情報セキュリティの維持はプロダクトをただ単に導入するだけでは不十分であり、それらが正しく運用・管理されてこそ実現されるのである。

 これは、より大きな視点から見た場合はPDCA(Plan:計画、Do:実施、Check:評価、Action:調整・改善)というライフサイクル、よりセキュリティの観点に立ったミクロな視点で見た場合、PDBC(Prevention:予防、Detection:検知、Block:防御、Correct:修正)というサイクルの構築を前提にしなければならないということだ。ISMSの本来の目的はまさにそこにある。

 読者の方々には単なる「技術オタク」にはなってほしくないため、第一回、第二回と続けて、技術者の方々にはちょっと退屈な話をしてしまったかもしれないが、どうかその意図を汲み取っていただければ幸いである。

 では次回から、本連載の主目的である現在の情報セキュリティシステム基盤を構成するプロダクトや技術に焦点を当てて、その概要について個別に解説していこう。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ