セキュリティの本来の目的は「コアビジネスを動かし続けること」――ISSセミナー（2/2 ページ）

[ITmedia]

　しばしば「管理者権限でサービスを動かすべきではない」と言われるが、その原則も守られているとは限らない。特に、データベースに対するアカウントコントロールが甘い例が見受けられるという。というのも「たいてい開発者は納期に追われているが、アクセスコントロールを厳密に行うとバグが増えてしまう。その結果、驚くほど多くのデータベースアプリケーションが管理者権限で動作しており、危険な状態にある」（高橋氏）。

　それ以前の問題として、自社のシステムにどんなサーバがあり、どんなサービスが動いているかが意外と把握できていないケースも多いそうだ。「監査後の報告会ではしばしば、『このIPアドレスはいったい何だ？』という台詞が出てくる」（同氏）。誰も知らないうちサーバが立てられ、インベントリから漏れている……という事例は決して珍しくないという。

　他にも、バックアップは取っていてもリストアを試していなかったために肝心のときにデータを戻せなかったり、緊急時対応の体制が整えられておらず、誰に連絡し、どのように対処すべきかが考えられていなかったりと、運用面での課題も多い。

「セキュリティ対策は経営の一部。ツールによる部分的な対策では効果は薄い」と述べた高橋氏

　そのことが顕著に現れた事例として、次のような事件があったそうだ。「ある企業から『DDoS攻撃を受けたので助けてほしい』という連絡を受けて急行し、トラフィックを確認してみたが、何もパケットが流れていなかった。調査してみると、実はWebページのデザイン変更が原因。変更によってWebページに含まれるオブジェクト数が増えたにもかかわらず、間にあるインテリジェントスイッチがパケットを落としていただけだった」（高橋氏）。

　このケースはまさに、自社ネットワークの現状把握ができておらず、いざというときに何を調べ、どう対処すべきかのルーチンがなかったために起こったと言えるだろう。

　高橋氏はこれまでの監査の経験を踏まえ、「『ISMSを取得したから大丈夫』『IPSを入れたから大丈夫』といった具合に、何かをすればセキュリティは大丈夫、と考えるケースが多すぎるのではないか」と指摘。それ以上に大事なのは、「セキュリティ施策に対する全体観」と「現状や効果を検証する仕組み」だと述べた。

　特に、現状と効果を評価する手法は重要だという。「効果を評価するには、まず現状を見えるようにする必要がある。サーバやネットワークの状態を把握できるようにし、それを基にして議論していかなければならない。さもないとセキュリティ問題は潜在化し、ある日突然浮上してビジネスに影響を及ぼす、ということになりかねない」（高橋氏）。