情報を扱うのは人間、セキュリティの大原則を忘れずに：「2009年 逆風に立ち向かう企業」 ガートナージャパン（2/2 ページ）

[聞き手：國谷武史，ITmedia]

SaaSやリスク管理でも適切なアクセス権限を

ITmedia　SaaS（サービスとしてのソフトウェア）普及などで企業のIT環境が大きく変化していますが、セキュリティ上の課題はどのようなものですか。

石橋　SaaSなどのクラウド環境では、サーバやネットワークを含めた総合的な対策が実施しなければなりませんが、ユーザー側では、やはりアクセス権限の管理が重要になると思います。

　SaaS型アプリケーションは企業の内外のさまざまな場所で利用しやすいというメリットがありますが、なりすましなどの被害には気をつけるべきでしょう。認証に固定のIDとパスワード、認証経路の暗号化などの対策を導入しているケースが多数見受けられますが、SaaS上の重要情報を悪用されないためには二要素認証の活用が注目されます。

　二要素認証には、“ワンタイムパスワード”（OTP）認証や生体認証などがあります。OTPはコストの低廉化が進み、導入時のハードルが低くなりつつあります。しかし、入力時に周囲の人物に盗み見されないようにするなどの配慮をしなければなりません。指紋などを使う生体認証は運用の手間が少ないものの、専用装置などのコストがまだまだ負担となる場合があります。欧州ではオンラインバンキングなどのサービスにOTPとICカードを併用しているところもあります。

ITmedia　情報セキュリティへの対応強化は企業の重要な経営テーマになりつつあります。

石橋　特に事業継続性（BCP）の見直しやセキュリティ事件への即応体制の構築が焦点になるでしょう。

　まず、BCPでは災害発生時や新型インフルエンザにおける情報アクセス権限の見直しが重要です。例えばディザスタリカバリ（DR）としてメインのデータセンターを東京に、バックアップのセンターを大阪に設置しているとします。しかし、初期に構築されたDRではユーザー認証システムが東京だけにあり、実際に東京で災害が起きると認証が機能せず、バックアップの大阪のセンターにアクセスできないといった状況が発生することが想定されます。このような課題へ速やかに対処すべきです。

　新型インフルエンザへの対応も早急な課題ですが、特に在宅勤務とした場合などでは情報管理を徹底する必要があります。自宅からインターネット経由で業務システムを利用する際のデータの利用範囲を限定する、USBメモリなどへの情報の移動を禁止するといった対策技術の導入が必要なると思われます。

　リスクマネジメントの観点から、情報セキュリティ事件に対応する専門の社内機関の「CSIRT」（Computer Security Incident Response Team）設置も検討すべき課題になるでしょう。CSIRTは情報システムや法務、経営企画などの担当者で構成され、米国では経営者の直轄組織として情報漏えいや不正アクセスなどの事件に即応します。CSIRTでは、「CISO」（最高情報セキュリティ管理者）という管理者が経営職に準じる立場として、事件時にはシステム権限を掌握し、各担当者が原因分析や被害の拡散防止、外部対応などの役割に基づいて行動します。

　日本では情報セキュリティ委員会などの組織が存在しますが、米国と大きく異なるのは米国がトップダウン式の命令系統であるのに対し、日本は権限のないボランティア的な存在となってしまっている場合が多く見られます。経営リスクの1つとして情報セキュリティリスクに対処する上では、CISOを頂点とする組織体制を構築し、いつでも機能できるように準備しておくべきでしょう。

ITmedia　2009年もセキュリティで対処すべき領域は非常に広範囲に及びますが、どこから手を付ければよいのでしょうか。

石橋　経済情勢が厳しくなり、セキュリティを含めたIT投資が難しくなるケースもあるでしょう。そうした企業も含めて、まずはシステムの管理者や利用者、関係者のアクセス権限の状況を正確に把握するところから始めるべきだと考えます。

　アクセス管理はセキュリティ対策の基本中の基本ともいえるものです。「特権IDを管理する」「退職者のIDを必ず削除する」「共有IDの管理を厳重にする」といったことが挙げられますが、これらを徹底することが情報漏えいなどのリスクを最小化し、情報セキュリティ事故が経営に与える影響を排除することにつながります。