第9回 求む、新時代のセキュリティアーキテクチャ
三輪 信雄
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
2009/8/11
きっちり取ったログが身を滅ぼす?
クラウド業者は、基本的には「ちゃんと運用しています」というスタンスでサービスを提供しますから、「あなたの無実を証明します」というサービスは個々の企業が自前で調達しなければいけません。
例えば、2つの企業間で機密とされていた情報が漏えいし、どちらの企業から漏えいしたかで訴訟が起きた場合、それぞれの企業がそのアクセス記録を適切にとっていないと自社の無実を証明することは困難になるのではないでしょうか。私は法律の専門家ではないのですが、クラウド環境においてある情報が漏えいした場合に、責任問題が複雑になることは容易に想像ができます。
また、アクセス記録の複雑化に伴った「無実の証明が困難」とは正反対の問題が起きることを懸念しています。それは、「漏えいの事実は認められないので、漏えいしておりません」という言い訳がまかり通ってしまうことです。
これはつまり、「ログがあるから漏えいがばれる」。別の言い方をすれば、「漏えいしたということが分かるログがなければ漏えいそのものを認めることもない」ということです。
私が過去にかかわってきた事案でも「ちゃんとログをとっていたことで、漏えい件数が明確になり謝罪した会社」と、「漏えいしたことが分かるログがなかったから、漏えいを認めず謝罪しなかった会社」があるのです。
極論をいうと、現在は「ログがない方が得」かもしれないのです。これは「何のログをとっておかなければいけないか明確に決まっていない」ということに起因する問題です。会計や売上処理の記録などは厳しく監査対象となっていますが、機密情報や顧客情報に関しては「ログは良心に任せられている」といっても過言ではありません。クラウド時代に突入すれば、情報漏えいの被害者にとっては不利な状況になっていくと思われます。
望まれる「新時代のセキュリティアーキテクチャ」
少々極端な表現をしているかもしれませんが、クラウドにおけるアクセスログの収集と活用についてはまだまだ議論が必要です。現在は社内にある自社のサーバのログでさえ、収集と活用を十分に行えている企業は少ないでしょう。それでも社内のログであれば、統合ソリューションが登場していますので、それらを使って相関分析まで行うことができるようになってきました。ところが、クラウドでサービスを受けるようになった場合には、これまでの統合ログ管理ソリューションでは適応できないのです。
グリーンITやエコなどの流行に押されて、クラウドや仮想化がもてはやされています。インターネットがセキュリティを置き去りにして普及し、その後問題が大きくなっていったように、クラウドや仮想化でも、今後セキュリティ問題が表面化してくることが、いまから十分に予想されます。
これまでのセキュリティ基盤を生かしつつも、新しいセキュリティアーキテクチャへの変革も行っていかなければならないと強く感じています。
 |
3/3 |
| Index | |
| 求む、新時代のセキュリティアーキテクチャ | |
| Page1 「クラウド」「仮想化」そして「セキュリティ」 仮想マシン同士の通信を見張るには |
|
| Page2 仮想であるがゆえに不可能な「物理的取り換え」 仮想化環境推進を妨げる課題 |
|
 |
Page3 きっちり取ったログが身を滅ぼす? 望まれる「新時代のセキュリティアーキテクチャ」 |
セキュリティ、そろそろ本音で語らないか バックナンバー
- 第1回 IT界の埋蔵金? 手付かずのセキュリティコストと戦う
- 第2回 情報セキュリティコスト削減、4つのアプローチ
- 第3回 CISO考――ところで、CISOって必要ですか?
- 第4回 “セキュアなWebアプリ”に立ちはだかる課題
- 第5回 中堅企業には中堅企業ならではのセキュリティ対策を
- 第6回 情報セキュリティは情報システムコストを削ってから?
- 第7回 プログラマをやって思うこと
- 第8回 非常時のために「さらば分厚い規定集」といおう
- 第9回 求む、新時代のセキュリティアーキテクチャ
- 第10回 誌上セミナー「拡大を続けるログ砂漠」
- 第11回 犯罪者の「否認」に対応するには
- 第12回 セキュリティシステムをマネジメントせよ
- 第13回 「脆弱性根絶なんてできっこない」と嘆く前に
| Profile |
| 三輪 信雄(みわ のぶお) S&Jコンサルティング株式会社 代表取締役 チーフコンサルタント 1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。 そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。 また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。 上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。 |
 |
セキュリティ、そろそろ本音で語らないか 連載インデックス |
ホワイトペーパー(TechTargetジャパン)
- 「脆弱性根絶なんてできっこない」と嘆く前に (2010/2/2)
バグをなくせ、脆弱性を作るな――そんな精神論はもう飽き飽き。でもあきらめる前に、この現状でもできることを考えよう - データ保護と暗号化はイコールではない? (2010/1/27)
暗号化だけが保護の方法ではありません。要件として設定されている「保存されたカード会員データを保護すること」の真意を解説します - OpenID/SAMLのつなぎ方とその課題 (2010/1/22)
1つのベン図からスタートしたID管理技術の相互運用。OpenIDとSAMLを例に、実際の運用方式とその課題を解説します - 新春早々の「Gumblar一問一答」 (2010/1/20)
一躍メジャーになってしまったトロイの木馬、ガンブラー。何が脅威でどう対策すべきか、もう一度確認してみましょう
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。