pr

対策を講じないことが最も高くつく――
システムはリスクに満ちている


企業情報システムの拡大につれて、そこに潜むリスクの脅威の度合いも飛躍的に高まっている。しかしながら、実際に何かが起こらないと、われわれはなかなかそのことに気付くことができない。ホワイトペーパー「Cost of Doing Nothing――対策を講じないことによるデメリット」は、システム管理の専門家が執筆した企業規模のセキュリティ指南書。リスクがどこに潜み、それにどう立ち向かうべきかが分かりやすく解説されている。

    潜んで突然牙をむく、それがリスク

 リスクという敵は、ひっそりと潜んでいるのが常である。気配を消すのも上手だから、表面上は何の問題もないように見える。その状態が永遠に続いていくかのように感じられる。だが、その安心しきったスキをついて、突然牙をむく。思いもかけない形で、必ず。そして、そのようにして受けた傷はいつも、思っていた以上に深いものになるのだ。

 ITの世界もまた例外ではない。経営とITが密接に連携しあう今日、企業情報システムの規模は拡大の一途をたどっており、実のところ、それにつれてリスクの潜む機会も等比級数的に増加している。しかしながら、明示的に何かが起こるのでもない限り、われわれはその事実に気がつかないまま、毎日を過ごすことになる。その状態が、ある意味で“奇跡”であるとも思わずに――。

    システム管理の専門家によるセキュリティ指南書


本ホワイトペーパーは、TechTargetジャパンでダウンロードできます。

 それゆえ、「Cost of Doing Nothing――対策を講じないことによるデメリット」と名付けられたこのホワイトペーパーには衝撃を受けることだろう。

 これは、システム管理とエンジニアリングに加え、Microsoft、Citrix、VMware技術によるアーキテクチャで幅広い知識を備えるGreg Shields氏が執筆した、いわば、企業規模のシステムセキュリティ指南書だ。Shields氏は『Redmond Magazine』と『Microsoft Certified Professional Magazine』の寄稿編集者、米国のIT会議、TechMentorのシステム/ネットワークトラブルシューティングのカリキュラムで指導にあたる講師としても活躍している。

 このホワイトペーパーは全9章からなり、拡大を続ける企業情報システムのどこにリスクが潜んでいるかを指摘するとともに、それらに対し、どう対策を講じるべきかを論じるものだ。具体的には、サーバOSの特権管理やアクセス制御、Webアクセス管理、ユーザーのアクセス権与奪管理、エンタープライズSSO、アイデンティティ管理、パスワード管理、アイデンティティ・フェデレーションなど、企業情報システムに求められるセキュリティおよびコンプライアンス実践テクノロジが、ひととおり網羅されたものになっている。

    特権ユーザーは極めて危険な存在

 システム管理およびエンジニアリングに造詣が深い著者が執筆しただけに、内容が非常に具体的なのが特長だ。例えば第1章はサーバOSの特権管理について論述されているのだが、サーバOSにネイティブで付されているrootやadministratorといったスーパーユーザー、特権ユーザーが、いかに強大な権限を持っており、しかし無造作に用意されていてその制御も難しいために完ぺきにセキュリティ上の抜け穴になっていて、いかに企業を潜在的な脅威にさらしているかが詳細に解説されている。

 例えば次のようなデータベース管理の例は、理解しやすく、内容的にもうなずける人も多いのではないだろうか。

 機密性の高いデータを搭載しているデータベースサーバがある。IT部門のシステム管理者はその情報自身にアクセスする権限は与えられていない。しかし、システム管理者は、基本的なハードウェアとソフトウェアの保守、パッチの適用、トラブルシューティング関係の処理などを行う必要があることから、スーパーユーザー特権を有している。

 つまるところ、特権を持つユーザーは保守や管理のために与えられた権限を利用して、アプリケーションデータ、アプリケーションログデータ、データベースアプリケーション、ネイティブファイルシステム、サーバOSログデータ、コアOSという、サーバ上のすべての構成要素にアクセスできてしまうというわけだ。「OSでは特権の承認方法の仕組み上、スーパーユーザーのアクセス権を完全に取り消さない限り、スーパーユーザーのデータアクセス権を制御することは実質的に不可能」という筆者の表現に、OSレベルで講じられる対策の限界を強く感じた。

 この章はほかにも、より安全性の高い運用を目指すためのユーザー分類法、ログデータの取り扱いに潜むリスクなどの記述もあって参考になる。著者はこのサーバOSの特権ユーザー問題を根本的に解決するアイデアとして、CA IAM製品群の1つである「CA Access Control」を紹介している。全社規模で適用でき、厄介な特権ユーザーを詳細に設定して確実にコントロール下に置けると聞くと、ちょっと中身を知りたくなってくる。

    対策を講じないことの代償は大きい

 このホワイトペーパー全9章を通読して感じたのは、何もしないということが最も高い代償を払わされる結果に終わる、ということだった。また逆に、ユーザーのアクセス権与奪管理、アイデンティティ・フェデレーションなどは、このような洗練されたシステム管理向上の方法があったのか、と膝を打つ思いだった。音も立てず潜むリスクの存在に気付き、講じるべき正しい対策に立ち上がることを望まれるなら、この機会に一読されることをお勧めする。

「Cost of Doing Nothing――対策を講じないことによるデメリット」
はこちらからダウンロードできます


本ホワイトペーパーは、TechTargetジャパンでダウンロードできます。

提供:日本CA株式会社
企画:アイティメディア 営業本部
制作:@IT情報マネジメント編集部
掲載内容有効期限:2009年5月24日

関連リンク
日本CA
CA Access Control


関連記事
特権ユーザーの権限を制限する「CA Access Control」 (@IT情報マネジメント Special)
日本CA、買収拡大戦略から一転、製品群の絞り込みへ (@IT News)
時代はコンプライアンス対応の自動化へ (@IT News)
複雑化するIT環境には洗練された管理、CA(@IT News)
中堅企業にも親しまれたい、米CA(@IT News)
IT業界は複雑化の責任を取れ〜米CA社長(@IT News)

ホワイトペーパー ダウンロード
Cost of Doing Nothing――対策を講じないことによるデメリットが、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。