ニュース
» 2009年01月08日 08時00分 公開

「2009年 逆風に立ち向かう企業」 ガートナージャパン:情報を扱うのは人間、セキュリティの大原則を忘れずに (1/2)

情報漏えいに代表される企業のセキュリティ事件が経営にダメージを与えるケースが増加している。経営を取り巻く環境が厳しさを増す中で、企業は2009年におけるセキュリティリスクへどのよう立ち向かうべきだろうか。

[聞き手:國谷武史,ITmedia]

 企業システム対する不正アクセスや内部関係者による情報漏えいなど、企業を取り巻くセキュリティのリスクが経営課題となり始めている。経済情勢の悪化など経営環境が厳しさを増す中で、セキュリティ対策の不備はビジネスに大きな影響を与えるといっても過言ではない。企業が2009年に取り組むべきセキュリティ課題について、ガートナージャパンでセキュリティ調査を担当するリサーチディレクターの石橋正彦氏に聞いた。

石橋氏

ITmedia 2008年は企業の情報漏えい問題が以前にも増して注目されました。現状の情報セキュリティ対策はどこまで進んでいるのでしょうか。

石橋 情報漏えい対策は、海外では「Data Loss Prevention」(DLP)とも言われ、企業における重要なテーマになっています。企業が抱える顧客情報や経営情報の流出事件など受けて、クライアント上ではHDDの暗号化、サーバ側ではWebサイト経由の不正アクセス対策などの導入が進みました。

 また、データ自体を保護する技術として国内企業ではDRM(デジタル著作権管理)の導入も拡大しました。これまでDRMは、音楽や映像作品などの不正コピー対策として注目されていましたが、これを企業内のデータコンテンツに適用することで不正使用を防止できるようになります。例えば、「社外では印字出力をさせない」「インターネット上に送信させない」といったポリシーをデータに付与し、社員がうっかりした操作をした場合でも流出のリスクが軽減できると期待されています。

 不正アクセス対策では、IPS(侵入防止システム)の機能をアウトソーシングする動きが広まりました。従来は専用のハードウェアアプライアンスを導入して、自社で運用管理するケースが中心でしたが、低廉な月額サービスの普及などでネットワークの保護を外部に委託する傾向が強まりました。不正アクセス対策のための装置や専任者を自社で設置するよりも、専門家に任せた方がよいという認識が広がっているようです。業務アプリケーションをWeb環境で使用する企業も増えており、こうした企業ではWebシステムへの不正アクセスを防止するために“WAF”(Web Application Firewall)を導入しているところもあります。

ITmedia 情報漏えい事件の原因をみると、組織に関係する人物のミスや故意による行動が少なくないようです。

石橋 企業が情報セキュリティを考える上で忘れてはならないのが、「重要情報を扱うのは人間である」というセキュリティの大原則です。重要情報に対する外部からの脅威や悪用を防ぐための技術が多数存在していますが、こうした技術への依存が強まると、重要情報を扱っているのは誰なのかという視点が抜けてしまいがちです。

 例えば、J-SOX対応やIT統制では業務プロセス管理の仕組みを構築すると、次にシステムのさまざまなログを収集・管理することで情報漏えいなどのセキュリティリスクを予防する、「発見的統制」の構築へ取り組みます。しかし、ログを効率的に管理したいという点が先行してしまい、情報の利用者は誰かというポイントを見落してしまっているようです。

 利用状況を知るためのアクセスログが重要になりますが、ログの意味を知るには利用者のアクセス権限がどのようになっているかを正確に把握しておかなければなりません。在席している社員の権限だけでなく、退職した社員の権限が放置されたままになっていないか、人事異動に伴う権限の変更が正確に反映されているかどうかを正確に知っておくべきだと思います。

 また、特権ユーザーに対する管理も重要になります。米国ではシステム管理者の権限を別の管理者が監督するというスタイルが普及しつつあります。

ITmedia 関係会社が原因となるケースも目立ちますが。

石橋 日本ではシステム開発を外部の協力企業に丸投げするケースが数多くありますが、開発時やテスト段階で用いられたアクセス権限が運用開始後も放置されるケースが多数見受けられます。

 企業の管理者よりも開発会社の人間の方がシステムに詳しいという場合が少なくなく、管理者が把握しない権限が悪用される事件も発生しました。すでにシステムを運用している場合には、不要な開発企業の権限が存在していないかをまずチェックする必要があります。開発途中であれば、本番移行時に必ず不要な権限を削除することを徹底すべきでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ