Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Gartner Security & Risk Management Summit 2011 セキュリティ対策の賞味期限をいかにして見極めるか

  2011/05/12 00:00

次から次へと登場する脅威とおびただしい数の製品。情報システムを使う以上、避けて通れないセキュリティという課題にどのように対応するべきか。2011年4月19日(火)に東京コンファレンスセンター・品川で開催された「Gartner Security & Risk Management Summit 2011」の中から、セキュリティの専門家ジョン・ペスカトーレ氏による講演の内容を再構成してお届けする。

新しいデバイス、サービスの発展が予想外の脅威を生む

ガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ジョン・ペスカトーレ氏
ガートナー リサーチ 
バイス プレジデント 兼 最上級アナリスト
ジョン・ペスカトーレ氏

 インターネットが普及する以前からITセキュリティの仕事に携わってきたプロフェッショナルのペスカトーレ氏から見ると、新しいセキュリティの危機の出現は新しい技術、デバイス、サービスの流行とリンクしているという。

 例えば、古き良きメインフレームの時代は、今と比べれば狭く閉じた世界ではあるが、故に安全な世界でもあった。データセンターに鎮座するステムには専用端末からしかアクセスできない。結果として、脅威にさらされることも少なかったわけだ。

 しかし、80年代にPCが登場すると、クライアント&サーバー型システムが普及。LANやインターネットなど外部ネットワークの一般化とあいまって、人々は様々なデバイスを利用するようになった。テクノロジーのトレンドに合わせて、ワームやマクロウイルス、スラマー、ブラスターといった脅威が発生した。さらに、最近では、フィッシング、ボットネットなどの新しい脅威や、facebook、twitterなどのソーシャルサービスを狙った攻撃が問題化している。

 新たな脅威が生まれる度に、企業は自社のシステムを守るためにさまざまな対策を講じるようになった。しかし、脅威の範囲、内容はあまりにも多岐に渡ることも事実だ。

 「多くの企業はIT予算の5~6%をセキュリティ対策に当てている。金融や政府などはもっと多いかもしれない。しかし、どんな企業や団体も全ての脅威に十分な対策を打つことは不可能だ」(ペスカトーレ氏)。

 すべての脅威に対応することが現実的に難しい以上、自社のビジネスに対して致命的な被害を与えるものから優先的に手当てをするという姿勢をとらざるを得ない。そうしたスタンスで臨む限り、セキュリティを担保するためには、自社がどのような脅威にさらされているかを、抜け漏れなく常に把握しておく必要がある。

 例えば、SaaSやクラウドサービスが企業情報システムに浸透するようになった現在、企業が持つデータが脅威にさらされる機会は以前よりも増えている。また、すっかりお馴染みとなった仮想化システムに対する攻撃も登場している。今後、企業のセキュリティを担保していく上では、テクノロジーの変化に合わせて、新しい脅威が登場することを予測しつつ、そのリスクを見極める必要があるだろう。「新しいサービスを利用することで、どのような脅威が発生するのか」「現時点で的確な対策を講じているか」などを検証するように心掛けたい。

データを守りきるために何が必要なのか

 では、セキュリティ対策を考えるに当たって知っておくべき考え方にはどのようなものがあるだろうか。

ネットワーク・アクセス・コントロール

 ファイヤウォールを設置するのは当然として、どのようなデバイスを使ってユーザーがアクセスしているかチェックする。場合によっては、特定のデバイスに対してアクセス制限を行うことも必要だろう。社外のビジネスパートナーがアクセスする場合は、ゲストネットワークを設けることも検討する。「アクセス管理はセキュリティ対策の基本。侵入者からの不正アクセスをまず防ぐことが肝要」と氏は述べる。

脆弱性管理

 ペスカトーレ氏によると、アプリケーションに含まれる脆弱性を利用した攻撃によって多くの被害が生まれているという。ここには、ベンダー製品だけではなく、自社開発も含まれる。悪意を持った人間は「あらゆる場所から攻撃してくる」ことをセキュリティ担当者は念頭に置いておくべきだと氏は示唆する。

データセキュリティ

 企業が最終的に守らなければならないのは、データに他ならない。ペスカトーレ氏は、「データを暗号化しておけば、盗まれても大きな脅威にならないという考え方は間違い」とし、「暗号化だけでなく不正を検知する仕組みを持つことが重要」とアドバイスする。具体的にはデータへのアクセスを常に監視する体制だ。

 データセキュリティを担保する手段の一つとして氏が紹介したのが、『DAM(データベース・アクティビティ・モニタリング)』。システム管理者を含めたユーザーのデータアクセスの振る舞いを監視する考え方だ。例えば、深夜2時に何者かが2,500万件のデータを扱っているとしよう。システム管理者の場合は、データをバックアップしていると考えられるが、一般社員の場合は、注意深く監視し、アクセスログを緻密にチェックする必要がありそうだと見当がつく。ユーザーの行動からデータが脅威にさらされていないかチェックするわけだ。DAMと並行して、データベースシステムに対してどのような変更がなされたのかをチェックする『SIEM(セキュリティ情報イベント管理)』の手法も重要になる。

 効率的なセキュリティ対策には、攻撃を特定し、防御することが肝要だ。誰がどのデータにアクセスし、どのような操作を行ったのかをモニタリングし、データ、アプリケーションなど特定の資産に対する脅威に対する備えを作る。もちろん、最終的には、それら以外の例外的な脅威にも備えるようにしていく。「データ保護戦略を効率的にとれるかどうかでセキュリティの質は大きく変わる」(ペスカトーレ氏)。

IAM(アイデンティティ・アクセス・マネジメント)

 さらに、ペスカトーレ氏がクラウド時代のセキュリティ対策として確立すべきと訴えるのは、『IAM(アイデンティティ・アクセス・マネジメント)』のフレームワークだ。例えば、パブリッククラウド、プライベートクラウドの2系統を活用する場合、プライベートクラウドに部外者がアクセスするケースも出てくる可能性があるためだ。「社内スタッフのアイデンティティ管理を明確にしておくことで、安全にクラウドを運営できる」(ペスカトーレ氏)という。

 (次ページへ続く)

 

 

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 大西 高弘(オオニシ タカヒロ)

    1988年、出版社で就職・転職情報誌および経済関連出版物の編集、執筆を担当。2003年から、IT系雑誌の編集部に所属。IT導入事例の編集記事などで、ユーザー企業への取材を多数経験。業務系アプリケーションなどに関する企画記事の編集、執筆にも従事。2006年からIT系Webメディアの編集部に所属。201...

バックナンバー

連載:Events & Seminars

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5