トップの責任が問われるセキュリティポリシー策定

2002/1/17

 米シマンテックのローレンス D.ディエッツ(Lawrence D. Dietz)氏が1月15日来日し、「米国における最新セキュリティ事情」と題し複合型ウイルスの脅威を語った。昨年から、従来のウイルスとは異なり、ワームの機能を持った複合型のウイルスが多く発生している。ローレンツ氏はその対策として、単にファイアウォールやウイルス対策ソフトを導入するのではなく、ガイドラインの策定(セキュリティポリシー策定)が重要であることを改めて指摘した。

米シマンテック マーケットインテリジェンスディレクターのローレンス D. ディエッツ氏、ボスニアにおいて合同情報軍事作戦の副司令官を勤めた経歴もあり、現在も予備役陸軍大佐でもある

 同氏は、米シマンテックのマーケットインテリジェンスディレクターで、市場調査、アナリストリレーションの責任者でもある。

 ローレンス氏は、米国でのウイルス攻撃による経済的影響として、被害総額が1998年に60億ドル、1999年は120億ドル、2000年は170億ドルと年ごとに増大していることを示した。中でも、CodeRed、Nimda、SirCamによる被害総額は、2001年9月現在107億ドルにも達しているという。「ウイルス攻撃による時間のロスや逃したビジネスチャンスの被害総額は、世界規模で年間1兆6000億ドルにものぼる」(ローレンツ氏)。

 また今後のウイルス攻撃として、複合型ウイルスの脅威を同氏は警告する。昨年末のIPAの報告にもあるが、2001年のウイルスの被害件数は、2000年に比べ2倍以上となっている。これは、従来のウイルスとは異なり、ワームの機能を持った複合型のウイルスが多く出てきたことによる。ワームの機能を持った複合型のウイルスは、多様な方法でコンピュータに攻撃を行い、人の介在なしで自動的に増殖し、脆弱性を自動的に探して攻撃する。

 そのような複合型ウイルスの脅威に対する対策は、「セキュリティの脆弱性に対するあらゆるパッチを当てる」「ファイアウォールを駆使する」「ウイルス対策ソフトによりウイルスを取り除く」ことであるという。これらの対策をゲートウェイ、サーバ、クライアントそれぞれの階層に対して、可能な限り行わなければならない、とローレンツ氏は指摘する。

 さらに、この対策の前に行わなければならないことがある。それはガイドライン(セキュリティポリシー)の策定だ。そして同氏は、一般のセキュリティの知識がない人に伝えるべき重要なこととして、「組織、企業がどのようにセキュリティポリシーを実施しようとしているのか」「どういったビジネスルールを策定しようとしているのか」「ビジネス情報を防御するためにどのようにITを活用するのか」から始めるべきであるという。

 ローレンツ氏はこれらのことを行うに当たり一番重要なこととして、トップの責任を挙げる。「組織/企業のトップがセキュリティに対して責任を持たなければならない。トップが重要性を理解し、責任を持たなければ、どのようなセキュリティも成功しないのだ」(ローレンツ氏)。そして米国では、万が一十分な注意を払わなかった場合、トップが責任を取らされることもあるという。

 最後にローレンツ氏は「今後セキュリティポリシーの策定は必須であり、これを実行することが重要である」と強調した。

[関連リンク]
シマンテック
IPA

[関連記事]
  [2001年版] お騒がせウイルスTOP10は? (@ITNews)
 2種のウイルス被害拡大で分かるセキュリティ対策の甘さ (@ITNews)
 Code RedとSirCamで明らかになったウイルス対策の落とし穴 (@ITNews)
 ウイルスを防ぐ最大の砦は"基本にある"とNAI (@ITNews)
 セキュリティポリシーの国際標準、BS7799とは何か? (@ITNews)
 セキュリティポリシー提供を目的としたアライアンスが設立(@ITNews)
 セキュリティポリシーで事業を守れ (NewsInsight)
 サイバーテロには官民一体となった対策を (@ITNews)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

TechTargetジャパン