海外展開での悩み事と「木を見て森を見ず」のセキュリティにアドバイス アナリスト陣が講演セキュリティ&リスク・マネジメント サミット リポート(1/2 ページ)

セキュリティとリスク管理がテーマのガートナー サミットが開催。同社のアナリスト陣が、グローバル展開に求められるセキュリティの在り方や「セキュリティインテリジェンス」について解説した。

» 2013年07月01日 19時54分 公開
[國谷武史,ITmedia]

 ガートナー ジャパンが主催するイベント「セキュリティ&リスク・マネジメント サミット 2013」が7月1日から2日間、東京コンファレンスセンター・品川で行われている。初日の講演ではリサーチ ディレクターの石橋正彦氏が、グローバル展開する日系企業が考慮すべきセキュリティ対策について、また、米Gartner バイスプレジデント兼フェローのジョセフ・フェイマン氏が「セキュリティインテリジェンス」について解説した。

海外での通用する用語や定義を理解すべし

ガートナー リサーチ リサーチ ディレクターの石橋正彦氏

 石橋氏による基調講演のテーマは「グローバル展開に必要とされるインフラストラクチャ・プロテクションとは」というもの。今年初めまで長らく続いた円高基調から製造業を中心に海外進出が進み、国内と海外との間でセキュリティ対策に悩む企業が増えている。同氏のもとには顧客企業から、「委託先のキーマンを海外に連れて行きたい」「グローバルで同じポリシーをどう実現すべきか」といった相談が多く寄せられているという。

 「委託先のキーマンを海外に連れて行きたい」というのは、セキュリティ対策の運用などをセキュリティサービス会社などの外部に委託するケースが多いためだ。また、「グローバルで同じポリシーをどう実現すべきか」という声は、国内の担当者と海外拠点との担当者との間で、セキュリティ用語の意味などが異なり、意見がかみ合わないことに起因する。

 前者に対して声に対するアプローチとして、「マネージドセキュリティサービス(MSS)プロバイダー」の活用がある。例えば、エース損害保険は国内ではNTTデータ先端技術、海外拠点では米SymantecのMSSを利用し、グローバルでWebアクセスにおけるポリシーを統一化しているという。

 後者について、例えば日本語の「迷惑メール対策」は海外では「Secure E-Mail Gateway inbound」、「出口対策」は「Secure Web Gateway」と表現される場合が多い。日本語でこうした対策を海外の担当者に説明しても通じないシーンがみられる。これは言語の問題というよりも知識不足によるところが大きく、その結果として講じるべき対策の方針や手段などに齟齬(そご)が起きてしまう。

 まず、こうした点について日本の担当者には、セキュリティの要件や運用にかんして、海外でも通用する用語の使用や定義付けの必要性を認識することが求められる。日本と海外の違いを確認し、海外でのベストプラクティスも評価対象に加えることが大事だとしている。

 次に、海外展開で必要されるインフラストラクチャ・プロテクションでは(1)技術の変遷を理解する、(2)エンドポイントを再評価する、(3)身の丈に合ったサンドボックス型技術を評価する――ことがポイントになる。

 インフラストラクチャ・プロテクションとは、ガートナーではモバイルデータ保護(HDD暗号化)、次世代型のファイアウォールやIPS、UTM、エンドポイント保護、セキュアWeb/メールゲートウェイ(Web/メールセキュリティ)などの製品群を指している。

 (1)について同社は、技術の登場期から本格普及までの経過時間をユーザーの期待度に基づいて示す「ハイプサイクル」というものを提示している。2012年の日本における情報セキュリティのハイプサイクルによれば、例えば、モバイルデータ保護は登場からの期間が短く、ユーザーの期待度も高いステージにあるが、これからは実際の導入が増えるにつれて、いったんは「幻滅期」を迎え、その後数年を費やして本格普及に向かう。仮想化セキュリティは「幻滅期」を越えて本格普及期に移り始め、UTMは既に本格普及期に入った。

 (2)では導入済みや過去に採用した製品を再評価する。例えば、アンチウイルス製品では従来はパターンマッチングが主流だったが、現在ではオフライン端末で利用可能なUSBメモリ型のウイルススキャン製品(トレンドマイクロ)や、仮想化環境用のウイルススキャン(ヴイエムウエア)、チップセットベースのルートキット対策(インテル、マカフィー)など、毎年新たな技術が登場している。

 (3)は不審なファイルなどの挙動を仮想コンピュータ環境(サンドボックス)で解析し、サイバー攻撃などの可能性を可視化する手法について、アプライアンス製品やクラウドサービスが登場している。

 インフラストラクチャ・プロテクションにおける技術や製品、サービスの導入・展開ではそれを実施する国や地域の環境や法規制、サポートなどを考慮することも重要だという。石橋氏は、既に導入、または過去に導入された経緯や採用理由などを踏まえ、上述の点などを参考に、選定していくことをアドバイスした。

 なお、グローバル展開でのセキュリティ対策は、当然ながらすぐに実現されるものではなく、例えば、3年後のあるべき姿(To-Be)を目標に取り組むことになる。そのための行動では(1)直ちに全体を見渡して、不足部分や脆弱な部分を調べる、(2)海外との違いを理解し、製品の評価、再評価を実施する、(3)PDCAサイクルを回しながらTo-Beに到達しているかを、関係部門を交えて確認する――ことが求められるとしている。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ