近年、この境界防御という概念を前提にしたセキュリティ施策の限界が話題となってきている。このことは、2005年2月に米大統領のInformation Technology Advisory Committeeが発行したリポートでも言及されている。
原因にはさまざまな要因が存在すると考えるが、主な要因としては、前述した「権限を持つ実体」に対するセキュリティ施策実施の困難さ、境界自体のマイクロ化や遍在化によってセキュリティ境界が非常に複雑な構成となってきていることによる維持管理の困難さ、さらにクライアントの小型化やネットワークにおける無線技術が急激に進行したことにより、セキュリティ境界に対して、従来の「内部」と「外部」の概念が通用しなくなってきていることが挙げられるだろう。
つまり、「完璧なセキュリティ境界の形成は不可能」であるという前提に立ったセキュリティ施策がますます重要性を帯びてきているのである。
例えば、セキュリティ境界に「時間の経過」という要因を考慮した場合はどうだろうか? 時間が経過しても情報セキュリティを適切に維持するためには、組織やプロセスの“マネジメント”という別の視点からの概念が必要となる。BS-7799(ISO/IEC-17799)やISMS適合評価制度という規格や基準によって、情報セキュリティが補完されているのはこのためである。
本連載では、情報セキュリティに関する考え方やそれを実現するための技術要素について簡単に説明してきた。「情報セキュリティにおけるさまざまな概念や施策は流動的なものであり、それは常に変化し続けるものである」。このことを忘れずにおいていただければ幸いだ。
全18回という長きに渡ってお付き合いいただいたことに、執筆陣一同心から感謝している。ご愛読ありがとうございました。
伊藤良孝(三井物産セキュアディレクション)
Copyright © ITmedia, Inc. All Rights Reserved.