2003年10月16日に開催された「＠IT実践セキュリティセミナー」（主催：アットマーク・アイティ）。そこで行われた講演とパネルディスカッションの模様をセミナーレポートとしてお送りする。

　セミナーでは、アットマーク・アイティの新野淳一、アイ・ティ・フロンティアの園田道夫氏、シマンテックの海藤秀人氏の3氏が講演を行った。新野は情報セキュリティリスクの変化とその対策を解説。園田氏はエンドユーザー対策から考えたリスク管理を提唱。海藤氏からは、多様化する情報セキュリティリスクに対応するシマンテックの最新ソリューションが紹介された。

　セミナーの最後には、講演で登場した新野、園田氏に加えてシマンテックの野々下幸治氏、企業の情報システム担当者を代表してファムの根津研介氏、大手SIベンダでエンジニアを務める宮本久仁男氏によるパネルディスカッションが行われた。それぞれ異なる立場から、「セキュリティに対するユーザーのリテラシーを高めるにはどうすればよいか」などが論じられた。

セキュリティリスクは「外部」と「内部」にある

　最初のセッションでは、アットマーク・アイティ編集局長の新野が講演。企業が抱える情報セキュリティリスクを「外部」「内部」に分けて説明した。

　外部セキュリティではクラッキングの手口の変化を取り上げ、「最近は無差別に攻撃するツールが出回っており、あらゆる企業が標的になり得る」と指摘。DNSやSMTPなど正規プロトコルを経由するセキュリティホールも存在するので、ファイアウォールだけでクラッキングは防げないとした。

　加えて最近のウイルス／ワームは、自己増殖のためにネットワーク帯域を大幅に消費する。そのため、社内のPCが1台でもウイルス／ワームに感染すれば、ネットワークの停止に追い込まれる危険性がある。「アンチウイルスとWindows Updateの両方で対処し、抜け道を作らないことが重要」と提唱した。

　内部セキュリティへの脅威としては、ウイルス感染で社外秘の情報が流出するリスクも高まっている。さらにモバイル製品の普及で、社内情報が簡単に社外に持ち出される危険性が指摘された。

　そうした内部セキュリティの課題に対して、新野は「セキュリティポリシーの設定と利用者を特定するアイデンティティ管理が大切になる」として、セキュリティポリシーの具体例やアイデンティティ管理の技術動向を紹介した。

エンドユーザーにリテラシー向上を期待するな

　次のセッションではアイ・ティ・フロンティアの園田氏が講演し、エンドユーザー対策から見たリスク管理の在り方を提唱した。

アイ・ティ・プロンティア ネットワークセキュリティ部 シニアセキュリティコンスタント 園田道夫氏

　冒頭で園田氏は「PCが全社導入されたことで、企業は新しいリスクを抱えるようになった」と指摘。PCの機能向上やネットワーク接続の常態化がリスクを高めているとした。さらに、「PCの自宅利用など業務形態の変化もリスクをもたらしている」と、最近流行したBlasterワームの感染経路の4分の1が「（社内スタッフが外部から）持ち込んだPCから」だったことを示す調査データを紹介した。

　そのうえで園田氏は、「PCの便利さとリスクの関係を理解できないユーザーでもPCの利用が仕事上必須になってしまったことが、セキュリティ対策上の最大の問題」との見方を示す。エンドユーザーを対象としたリテラシー教育やユーザー任せのパッチ管理は十分な効果を上げていないとして、「リスクを理解できないエンドユーザーにリテラシー向上を期待しない方がよい」との持論を披露した。

　こうした認識のもとでのリスク管理として次の3点を提唱した。

• セキュリティポリシーはスローガンのようなもので、それだけはエンドユーザーは動かない。手順書や業務に即したワークフローまで落とし込むべき。
  
  
• パッチ管理もユーザー任せでは徹底できない。パケットフィルタリング機能やパーソナルファイアウォールを使ってPCの機能を制限。ポートスキャンなどの手法で問題点を早期発見していく必要がある。
  
  
• 情報漏えいを防ぐ決定的な手段はないが、アクセスをなるべく制限したうえでアクセスログを必ず記録。記録していることを社内に告知して、情報漏えいを抑止する。

　園田氏は「こうした手段を講じてもインシデントは発生する」とも指摘。そこで、通信量を常時監視するトラフィックモニタなどを活用してインシデントを素早く検知し、事件・事故が発生した場合の対応手順を決めておくことが重要になると強調した。

プロアクティブなセキュリティ対策のススメ

　3番目のセッションでは、シマンテックの海藤氏が登場。企業の情報セキュリティが抱える課題と、それに対応する総合セキュリティソリューションを紹介した。

　海藤氏は最近流行したBlasterやWelchiaワームを引き合いに出して、「ネットワークへの脅威は進化しており、複合型の脅威に発展している」と説明。その特徴として次の3つを挙げた。

• Webサイトの改ざんやデータ破壊など、コンピュータ環境への損害
  
• 電子メールやセキュリティホールなど複数経路での侵入
  
• 人の手を介さず、メールの自動配信などにより自動的に伝播する

シマンテック システムエンジニアリング本部 ソリューションSE部 システムエンジニア 海藤秀人氏

　海藤氏は調査機関のデータを示しながら、システム脆弱性の報告が増えるに従い、セキュリティインシデントが急増。特に2002年以降は深刻度が「中」〜「大」の脆弱性が相次いで発見されている状況を指摘した。自社の早期警告サービス「DeepSight」の調査結果として、脆弱性公開から脅威拡散まで平均3カ月程度の余裕期間があることを示し、「適正にパッチを当てればほとんどの脅威は防げるが、企業はセキュリティ管理者不足の問題を抱えていて、被害の増大を招いている」と結論付けた。

　こうした状況から海藤氏は、「シングルソリューションでは不十分。管理者の負担を軽減するためにも複数の機能を備え、プロアクティブ（事前予防型）なセキュリティ対策を実現する統合ソリューションが必要になっている」と、自社の最新製品を紹介した。

　PC向け製品としては、アンチウイルスとパーソナルファイアウォールの機能を一体化させた「Symantec Client Security」を取り上げた。定義ファイルの自動配信や適用状況の集中管理、ファイアウォールの集中設定など、システム担当者にとって便利な機能を解説した。

　続いて、セキュリティアプライアンス製品「Symantec Gateway Security 5400」シリーズを紹介。同製品は、フルインスペクション対応のファイアウォールを基本に、IPSec対応VPNやIDS（侵入検知システム）、コンテンツフィルタリングなど複数のセキュリティ機能を統合している。管理ツール「Symantec Security Management System」と連携させると、大規模ネットワークでもセキュリティ管理の手間を大幅に軽減できるとした。

　最後に海藤氏は、ITインフラの脆弱性を解析する専用ツール「Symantec Vulnerability Assessment」を取り上げた。「サーバ単位やインフラ全体での脆弱性を瞬時に把握する。解決策のアドバイスが得られ、プロアクティブに脆弱性を管理できる」とメリットを強調。プロアクティブな統合ソリューションを目指すシマンテックの製品戦略を印象付けた。

ユーザーの自意識に働きかけ、トラッキングすべし

　パネルディスカッションは、「社員のセキュリティリテラシー向上と運用を考える」と題し、園田氏、根津氏、野々下氏、宮本氏が参加した。

　園田氏はセミナーでも触れたとおり、「啓蒙活動を行ってもルールを守らない社員は出てくる。最初から100％守らせることはあきらめた方は楽ではないか」との考え方を披露。企業でシステム管理を担当する根津氏は、「社員個々に守らせるのは難しい。コンピュータに詳しい担当者を部署ごとに任命して、責任を持たせてパッチ適用などをやらせている」と自社の取り組みを紹介した。

　大手SIベンダでエンジニアを務める宮本氏も「啓蒙できたとしても、仕組みとしてどうセキュリティを守るかに答えられないと意味がない」と応じた。シマンテックの野々下氏は、「コンピュータセキュリティは、システムでなるべく自動化するべき。社員に啓蒙するのは、文書を機密度に応じて管理するなどソーシャルセキュリティの面ではないか」と指摘し、米本社の最大顧客である米海軍の取り組み例を紹介した。

　議論は内部セキュリティを高める効果的な方法に移った。根津氏は「製造業が取り入れている事故撲滅のやり方は応用できる。問題行動があれば、名前は出さないまでも事柄は公にして、改善を呼び掛ければよい」と提案した。宮本氏も「個人の自意識に働き掛けるのは有効。誰かが見ているとなれば、自制するようになる」と賛同した。一方、野々下は「インターネットの利用を制限するよりも、トラッキングできる仕組みが必要。それは性悪説ではなく、ルールに従っている人を守るため」との考えを披露した。

　アンチウイルスやWindows Updateの自動化でセキュリティ対策は十分か？ という論点では、4氏とも「必要条件だが十分条件ではない」との認識で共通していた。園田氏は「何かの仕組みに依存し過ぎるのは怖い。セキュリティ対策は全体プロセスから検討すべき」と指摘。根津氏も「ソーシャルセキュリティの検討が重要。『メールに契約書を添付してもよいのか』など、社内でポリシーを決める必要がある」と応じた。また、野々下氏は「まずマシン（や部署）ごとに基本ラインを決めて管理すること。部署によっては、USBポートを使用不可にして、物理的にデータを持ち出せないようにする必要もあるだろう」と述べた。ディスカッションは、パネラーがそれぞれの立場で活発に議論し、来場者からも好評だった。

　当日のセミナーでは、企業が直面している情報セキュリティリスクの高まりが明らかになった。シマンテックの海藤氏が指摘するとおり、ネットワーク脅威の進化、相次ぐ脆弱性発見、管理者不足の三重苦に企業は悩まされている。一方で、アイ・ティ・フロンティアの園田氏の言葉を借りれば、「誰もがPCやインターネットを利用する現在、エンドユーザー全員のリテラシー向上は期待できない」のが現状だろう。そうした状況変化に応じてセキュリティ対策も変わらざるを得ない。

　セキュリティ製品も分野別に適用・運用していくのではなく、システム全体へ統合的に適用・運用していかなくては、煩雑なセキュリティ管理は効率化できなくなっているといえるだろう。

＠IT実践セキュリティセミナー協賛企業 　 株式会社シマンテック