SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Events & Seminars

セキュリティ対策の賞味期限をいかにして見極めるか

次から次へと登場する脅威とおびただしい数の製品。情報システムを使う以上、避けて通れないセキュリティという課題にどのように対応するべきか。2011年4月19日(火)に東京コンファレンスセンター・品川で開催された「Gartner Security & Risk Management Summit 2011」の中から、セキュリティの専門家ジョン・ペスカトーレ氏による講演の内容を再構成してお届けする。

新しいデバイス、サービスの発展が予想外の脅威を生む

ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ジョン・ペスカトーレ氏
ガートナー リサーチ 
バイス プレジデント 兼 最上級アナリスト
ジョン・ペスカトーレ氏

 インターネットが普及する以前からITセキュリティの仕事に携わってきたプロフェッショナルのペスカトーレ氏から見ると、新しいセキュリティの危機の出現は新しい技術、デバイス、サービスの流行とリンクしているという。

 例えば、古き良きメインフレームの時代は、今と比べれば狭く閉じた世界ではあるが、故に安全な世界でもあった。データセンターに鎮座するステムには専用端末からしかアクセスできない。結果として、脅威にさらされることも少なかったわけだ。

 しかし、80年代にPCが登場すると、クライアント&サーバー型システムが普及。LANやインターネットなど外部ネットワークの一般化とあいまって、人々は様々なデバイスを利用するようになった。テクノロジーのトレンドに合わせて、ワームやマクロウイルス、スラマー、ブラスターといった脅威が発生した。さらに、最近では、フィッシング、ボットネットなどの新しい脅威や、facebook、twitterなどのソーシャルサービスを狙った攻撃が問題化している。

 新たな脅威が生まれる度に、企業は自社のシステムを守るためにさまざまな対策を講じるようになった。しかし、脅威の範囲、内容はあまりにも多岐に渡ることも事実だ。

 「多くの企業はIT予算の5~6%をセキュリティ対策に当てている。金融や政府などはもっと多いかもしれない。しかし、どんな企業や団体も全ての脅威に十分な対策を打つことは不可能だ」(ペスカトーレ氏)。

 すべての脅威に対応することが現実的に難しい以上、自社のビジネスに対して致命的な被害を与えるものから優先的に手当てをするという姿勢をとらざるを得ない。そうしたスタンスで臨む限り、セキュリティを担保するためには、自社がどのような脅威にさらされているかを、抜け漏れなく常に把握しておく必要がある。

 例えば、SaaSやクラウドサービスが企業情報システムに浸透するようになった現在、企業が持つデータが脅威にさらされる機会は以前よりも増えている。また、すっかりお馴染みとなった仮想化システムに対する攻撃も登場している。今後、企業のセキュリティを担保していく上では、テクノロジーの変化に合わせて、新しい脅威が登場することを予測しつつ、そのリスクを見極める必要があるだろう。「新しいサービスを利用することで、どのような脅威が発生するのか」「現時点で的確な対策を講じているか」などを検証するように心掛けたい。

データを守りきるために何が必要なのか

 では、セキュリティ対策を考えるに当たって知っておくべき考え方にはどのようなものがあるだろうか。

ネットワーク・アクセス・コントロール

 ファイヤウォールを設置するのは当然として、どのようなデバイスを使ってユーザーがアクセスしているかチェックする。場合によっては、特定のデバイスに対してアクセス制限を行うことも必要だろう。社外のビジネスパートナーがアクセスする場合は、ゲストネットワークを設けることも検討する。「アクセス管理はセキュリティ対策の基本。侵入者からの不正アクセスをまず防ぐことが肝要」と氏は述べる。

脆弱性管理

 ペスカトーレ氏によると、アプリケーションに含まれる脆弱性を利用した攻撃によって多くの被害が生まれているという。ここには、ベンダー製品だけではなく、自社開発も含まれる。悪意を持った人間は「あらゆる場所から攻撃してくる」ことをセキュリティ担当者は念頭に置いておくべきだと氏は示唆する。

データセキュリティ

 企業が最終的に守らなければならないのは、データに他ならない。ペスカトーレ氏は、「データを暗号化しておけば、盗まれても大きな脅威にならないという考え方は間違い」とし、「暗号化だけでなく不正を検知する仕組みを持つことが重要」とアドバイスする。具体的にはデータへのアクセスを常に監視する体制だ。

 データセキュリティを担保する手段の一つとして氏が紹介したのが、『DAM(データベース・アクティビティ・モニタリング)』。システム管理者を含めたユーザーのデータアクセスの振る舞いを監視する考え方だ。例えば、深夜2時に何者かが2,500万件のデータを扱っているとしよう。システム管理者の場合は、データをバックアップしていると考えられるが、一般社員の場合は、注意深く監視し、アクセスログを緻密にチェックする必要がありそうだと見当がつく。ユーザーの行動からデータが脅威にさらされていないかチェックするわけだ。DAMと並行して、データベースシステムに対してどのような変更がなされたのかをチェックする『SIEM(セキュリティ情報イベント管理)』の手法も重要になる。

 効率的なセキュリティ対策には、攻撃を特定し、防御することが肝要だ。誰がどのデータにアクセスし、どのような操作を行ったのかをモニタリングし、データ、アプリケーションなど特定の資産に対する脅威に対する備えを作る。もちろん、最終的には、それら以外の例外的な脅威にも備えるようにしていく。「データ保護戦略を効率的にとれるかどうかでセキュリティの質は大きく変わる」(ペスカトーレ氏)。

IAM(アイデンティティ・アクセス・マネジメント)

 さらに、ペスカトーレ氏がクラウド時代のセキュリティ対策として確立すべきと訴えるのは、『IAM(アイデンティティ・アクセス・マネジメント)』のフレームワークだ。例えば、パブリッククラウド、プライベートクラウドの2系統を活用する場合、プライベートクラウドに部外者がアクセスするケースも出てくる可能性があるためだ。「社内スタッフのアイデンティティ管理を明確にしておくことで、安全にクラウドを運営できる」(ペスカトーレ氏)という。

 (次ページへ続く)

 

 

次のページ
セキュリティ戦略を支えるITマーケットクロック

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Events & Seminars連載記事一覧

もっと読む

この記事の著者

大西 高弘(オオニシ タカヒロ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3111 2011/05/12 00:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング