なぜセキュリティ対策は中途半端に終わるのか?:そのセキュリティで満足ですか? 〜第2回
ここ数年で企業のセキュリティ意識は高まった。しかし被害は依然として後を絶たず、リスクを減らすためにネットワークの使い勝手まで犠牲にしている企業も多い。この原因は何なのかを探る。
山本篤志 (AT&Tグローバル・サービス)
前回は、企業にとってネットワークがいかに必要不可欠かを解説し、同時に企業活動を安全・安心に遂行するためセキュリティ対策の重要性について述べた。今回は、代表的なセキュリティ対策を挙げ、その有用性について検討してみたい。
いっこうに減らないセキュリティ被害
ここ数年で、セキュリティに対する企業の認識だが、これはここ数年で飛躍的に高まったといえる。セキュリティポリシーを策定している企業は全体の8割に上るし、またアンチウイルスソフトやファイアウォールなど基礎的対策を怠っている企業は皆無といっていいだろう。その一方で、セキュリティ被害は依然として減っておらず、対策実行についてもいくつか課題が残っている。
なぜだろうか?
理由は幾つかある。まず、セキュリティポリシーが「交通教本」と化していて、全社員に徹底できていない点がある。交通法規と同じで、守るべき事柄も重要性も充分認識しているはずだが、具体的な行動にまで落とし込めているケースは少ない。この背景には、一般企業やITベンダーを問わず、実行力を持ったセキュリティ専門家が不足している点が影響している。
またセキュリティ被害についても、かつてのような愉快犯から、現在は情報の売買を目的とする悪意のある人による犯行が主流となっている。場合によっては、自社が加害者になってしまうリスクすらある。
主要セキュリティ対策の効果を検証する
肝心のセキュリティ対策はどうか。主なセキュリティ対策とその用途を表1にまとめてみた。現在、ITベンダーから非常に多くのセキュリティ製品が提供されているが、そのほとんどについて、1. 不正アクセス防御、2. なりすまし防御、3. ウイルス対策、4. データの機密保持、5. その他の5つに分けられる。
これらの対策についていえることは、1つ1つは効果があるものの、表1を見ると分かるように、ほとんどが「個別対処」に陥っている点が大きな課題であることだ。例えば、ファイアウォールは不正アクセス防御に強いが、最新ウイルスを防ぐには専用のアンチウイルスソフトを利用した方がいい。ただし最新のウイルスに対処するには、頻繁にアップデートを繰り返せねばならず、エンドユーザーやIT担当者に負担を強いることになる。
さらにいえば、ファイアウォールとアンチウイルスだけでは、ユーザーのなりすましやデータの機密性確保に対処できない。つまりあらゆるセキュリティ課題に対処するには、個別ソリューションを積み上げねばならず、結果としてコストやIT担当者の管理負荷が高くなってしまうのだ。その一方で、人為ミスや悪意によるデータの削除、盗難、持ち出しへの対処など、課題は山積みだ。
そのため、ノートPCの持ち出し/持ち込みを禁じたり、USBメモリの使用制限や、社外からのアクセスを遮断したりといった、思い切った施策を打つ企業も少なくない。こうした施策が、社員の生産性低下の要因になっているのも確かだ。
CxOが「使い勝手」と「安全性」を両立すべき
セキュリティ対策は、常に「使い勝手」か「安全」かの二者択一の中でせめぎ合っている。こうした中、抜本的なセキュリティを実現するには、企業ネットワークを預かるCEOやCIOこそが強力なリーダーシップを持って対策を進める必要がある。
具体的には、社内環境に合わせたセキュリティポリシーの設定と社内への徹底周知、そしてポリシーに基づいたマネジメント体制の整備だ。例えばPC持ち出しやUSBメモリの使用をやみくもに禁止するのではなく、事故発生時の対処法や責任の所在を明確にした上で、利用を促進する方がずっと有益な場合もあり得る。このように、使い勝手と安全性は、二律相反するものではなく、マネジメント体制を整えることで両立させることも可能となる。
問題は、既存のセキュリティ製品やソリューションでは、結局個別対策に過ぎないため、あらゆるニーズや課題に対処しきれないこと。これについては、ITベンダー側でも対策を練っており、米国ではIAM(Identity & Access Management)やSIM(Security Information Management)と呼ばれる総合セキュリティソリューション市場が立ち上がっている。そして最近は国内でも総合セキュリティ分野が注目されてきており、効率的なセキュリティ環境が整いつつあるといえよう。
そしてこうした最新ソリューションをうまく組み合わせ、抜本的なセキュリティ対策を実現することこそが、CEOやCIOに期待されているのである。
次回は最新のセキュリティソリューションについてより深く考察し、本当に効果のあるセキュリティ対策を実現する具体的な手段を提言したいと思う。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素
ITmediaはアイティメディア株式会社の登録商標です。