Intelも取り組む、バランスの取れたリスクテイク

米Intelのマルコム・ホーキンス氏が、同社の情報セキュリティやリスク管理に関する取り組みを語った。

[高橋睦美，ITmedia]

　インテルが8月30日に開催した自社IT部門の取り組みに関する説明会の中で、米Intel社内の情報セキュリティ業務を担当するマルコム・ホーキンス氏（情報セキュリティ担当ディレクタ）は、ビジネス上のメリットやコストとのバランスを取りながらリスク管理を行っていくことが重要だと述べた。

　たびたび指摘されているとおり、情報セキュリティを取り巻く状況は変化している。脆弱性が発見されてからそれが悪用され、攻撃に転化するまでの時間はどんどん短縮されているし、攻撃者側の動機も、愉快犯的なものから明確に金銭を目的としたものに変化してきた。さらに最近では、PDAや携帯電話といったハンドヘルド機器に入り込むマルウェアが増加している。

　こういった状況を踏まえてIntelでは、いくつかの取り組みを行った。その中には、セキュリティレベルの向上だけを目的としたものだけでなく、米企業改革法（SOX法）をはじめとする法規制の遵守をにらんだものも含まれている。

　たとえば、外部コンプライアンス監査を実施したほか、IP（知的財産権）や著作権違反がないかをチェックする監査を9万回以上実施し、コンプライアンス体制を強化した。また、セキュリティ事故や災害などさまざまなインシデントが発生した場合の対応時間を短縮するため、運用チームに対する教育を実施。これにより、たとえばワームに対するインシデント対応時間は、数年前の数日から数時間、最大でも1〜2日にまで短縮できたという。

　セキュリティ対策を進めていく上での課題の1つが、そもそも「情報システムのリスクと原因、脆弱性などの環境が十分に把握できていないこと」（ホーキンス氏）。ただでさえ情報システムが複雑化している上に、1つのシステムダウンが他のシステムに波及する恐れも高まっている。また、そうしたリスクが顕在化したときの損失を数値化するモデルが存在しないことも問題だという。

攻撃者とのいたちごっこの中、何とか先手を取っていかなければならないと述べたホーキンス氏

　「今の状態を把握した上で、全体としてどこまでリスクを取るかを考えなければならない。リスクをゼロにしようとするとあまりにお金がかかりすぎる。何かが起きたときにその影響をどう最小化するか、コストとのバランスを取りながら考えなくてはいけない」（同氏）。

　ホーキンス氏は同時に、「ユーザーに分かりやすい形」で、フィッシングをはじめどのような脅威が存在しているかを知らせ、認知度を高めること、また手順や規則が確実に「実施」されているかを確認できるようにすることも重要だとした。

　技術的な側面からは、無線LAN／ワイヤレス接続の導入と同時に、接続時の端末認証に取り組んでいるという。「どのようなデバイスであれ、ネットワークに接続されるものは100％セキュアにすることが目標」（ホーキンス氏）。パッチの適用状況をはじめとするセキュリティポリシーを強制することにより、はじめからウイルス感染のリスクのない環境を目指すという。