立場に応じてセキュリティを考えていますか？：目指せ！ ネット時代の幸せな管理者（4）（1/2 ページ）

企業のセキュリティは日々の運用によって保たれていく。つまり管理者には大きな責任がある。では業務において、それぞれの立場に応じてセキュリティを意識した運用プロセスを確立するにはどうしたらよいのか。

　第2回、第3回と続いたセキュリティに関するテーマも、今回までで一段落となります。今回は『企業のシステム管理者』という立場で、インターネットやサーバといった個別のセキュリティではなく、“システム全体の管理” という視点でこの時代の脅威について考えてみたいと思います。そしてその脅威からどうやってセキュリティを確保すれば良いのかという点について、考えていきましょう。

セキュリティ対策ニーズは日々移り変わっていく

　はじめに、セキュリティについて改めて考えてみたいと思います。

　企業のシステムを管理している皆さんにとって、『セキュリティ』という言葉の意味合いは年々変化しているような気がしませんか？

　数年前まで企業でセキュリティを確保するのには、ファイアウォールをインターネットと社内ネットワークの境界に設置し、不正なアクセスを制御することである程度の安全性が保てていました。約10年前はそれだけでも十分だったのです。

　現在はどうでしょうか？ 皆さんの会社のセキュリティはファイアウォールだけで十分な安全性を確保できますか？ 当然、出来ませんね。

　ファイアウォールで検知できない不正なアクセスや攻撃性のあるアクセス（多様な攻撃やワーム、クラッカーからの不正アクセス等）から社内LAN内にIDS（注1） や IPS（注2） を設置するなどの防御措置を講じているのではないでしょうか。

　また、現在の企業のセキュリティは上述した外敵からの不正アクセスの制御だけにフォーカスすれば良いということではなくなりました。企業内部からの情報漏えいやワームの感染防止、業務システムの安定運用等、その範囲はとどまるところを知りません。

　そう、セキュリティは時代とともにその意味合いが変化します。

　現在では、セキュリティが広範かつ多様化しています。例えば、コンピュータやサーバのOS、アプリケーションの脆弱性など、技術者視点でのセキュリティに加えて、政府や法律の観点で考えるセキュリティなど、さまざまな立場でセキュリティを求め、またその定義を行います。

　特に近年ではコンプライアンスという観点からも、企業のセキュリティについて注目が集まっています。従来のクラッカーのような外敵やワームのほかに社会的な要請からのセキュリティ対策項目が増え、システム管理者の守備範囲は日々広がっています。脅威は日々増加するばかりです。

　こうした状況で、自社のシステムの安全かつ安定した運用を行うためにはどうしたら良いでしょうか？

　企業のシステム管理者が、システムおよびネットワークのセキュリティを確保するために必要なことは、最新のセキュリティ専用機器やワーム防御のソフトウェアの導入ではありません。当然、機器やソフトウェアの導入は手段としては必要となりますが、本当に必要なことは日々変わる脅威に対して、それに適した運用体制を整えることや迅速な対応をすることです。

　セキュリティは運用によって保たれるのです。どんなに良い機器を導入しても適切な運用がなければ、機器やソフトウェアはその効果を出せません。

　現在の企業のシステム管理者に、まず求められるものは、日々の業務の中でセキュリティの向上を意識した運用プロセスの確立です。運用プロセスを確立する為には、まず管理者の担当レベルを分け、それぞれの役割が行うべきことの明確化から始めることが重要です。

　では、ここからは企業におけるセキュリティ管理のポイントについて、担当レベルを分けて話を進めていきたいと思います。レベルは大きく分けて3つ。「担当者」「リーダー」「責任者」です。

　順番に、それぞれの役割の中で必要なポイントを見ていくことにしましょう。