1年で2倍に増えるマルウェア――Intel社内のセキュリティ対策最新事情(2/2 ページ)

» 2016年03月30日 07時00分 公開
[國谷武史ITmedia]
前のページへ 1|2       

シャドーITは結果的にしなくなる

 報告書で挙げられた「生産性の向上」や「ビジネスのデジタル化」の一環として、同社でもクラウドを積極的に活用しているという。特にSaaSに関して250種類以上のサービスを利用しているが、その利用状況をもとに情報システム部が「SaaS セキュリティー・リファレンス・アーキテクチャー」を定め、リスクの軽減化につなげている。

SaaS セキュリティー・リファレンス・アーキテクチャー

 SaaS利用におけるセキュリティの観点は「IDとアクセスの管理」「アプリケーションとデータの制御」「ログと監視の制御」の3つあり、それぞれで暗号化やDLP(データ漏えい防止)を始めとするさまざまな対策を講じる。特に「ログと監視の制御」ではクラウドサービスとの全ての通信を情報システム部門がリアルタイムに監視しているという。

 業務部門が新たにSaaSを導入したいなど場合は、情報システム部門が共同で対応しているという。「SaaS セキュリティー・リファレンス・アーキテクチャ」をもとにサービスを選定していくが、SaaSがIntelのセキュリティ要件を満たすと同時に、シングルサインオンが可能であることといった利便性も考慮している。

 従来は業務部門主導でSaaSが導入されることも多かったが、現在では情報システム部門と共同で導入することが定着している。「シャドーITが無くなるわけではないが、こうした取り組みによって結果的にシャドーITをすぐにやめてしまう」(邱氏)

セキュリティの費用対効果を試算する

 同社は年間のセキュリティ予算額を公表していない。邱氏によると、セキュリティ対策の投資対効果については、さまざまなインシデント被害のシナリオをもとにそれが起きた場合の具体的な損失規模を試算して評価を行い、その結果をもとに次年度の予算額を決定しているという。

 「被害が起きてはいけないので、実際の効果を評価することは不可能ですが、ブランドイメージの損失なども含めて想定される被害をもとに評価しています」(邱氏)

 同社のセキュリティ対策の運用ではSBIなどをシステム的な取り組みが大きな効果を挙げているものの、邱氏は従業員のセキュリティ意識の向上が全社的なセキュリティの強化を支えるとも語る。

 ITを中心としたセキュリティの組織体制としては、情報システム部や法務、内部監査などの部門からなる「制御オーナー」を中心に、現場とは業務部門の“セキュリティリーダー”と連携しながら社員のセキュリティ意識の向上を図る。経営層とはセキュリティ対策状況をこまめにレポートするなど密なコミュニケーションを図り、こうした全体的な取り組みを「運用レビュー委員会」が評価する。

インテル社内のセキュリティ推進体制

 「セキュリティを企業文化に取り入れることが基本です。例えば、社内ではUSBメモリの利用もアプリケーションのインストールも基本的に許可していますが、データや情報をどのように扱うべきかといった社員一人ひとりの理解は常に高めていかないといけません」(邱氏)

 技術と人の両面からの取り組みが、同社のセキュリティ対策の根底になっているという。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ