Security&Trust

第9回 読者調査結果
〜2004年のセキュリティ重点課題&対策とは?〜

小柴 豊
アットマーク・アイティ
マーケティングサービス
2004/6/12

 大規模ウイルス感染、顧客リストの漏えいなど、ネット社会のダーク・サイドを反映した事件が年々増加している。企業ネットワークのセキュリティ管理者は、いまどのような課題に心を砕き、今年度どういう対策を取ろうとしているのだろうか? @IT Security&Trustフォーラムが実施した第9回読者調査の結果から、その状況をレポートしよう。

喫緊のセキュリティ課題とは?

 はじめに、読者がかかわるネットワークで、現在対策が求められているセキュリティ課題を尋ねた結果が、図1だ。課題として「ネットワーク外部からのウイルス感染」がトップに挙げられた。また、「脆弱なPCを起点とした内部からのウイルス感染」が僅差で続いており、感染経路の多様化に手を焼くウイルス対策現場の状況がうかがえる。

 さらに、ウイルス関連に次いで、「ネットワーク外部からの不正アクセス」および「内部関係者による不正アクセス/情報漏えい」を挙げる読者も、それぞれ全体の5割前後に上っている。ウイルスと不正アクセスは、セキュリティ・インシデントの2大要素として以前から知られているが、その発生源がネットワーク外部のみならず、社内関係者となってきた点が、今日的な特徴といえるだろう。

図1 対策が求められるセキュリティ課題(複数回答 N=626)

セキュリティ対策の“三本柱”とは?

 次に上記セキュリティ課題に向けて、読者のかかわるネットワークで今後実施を予定している対策を尋ねたところ、「セキュリティ・ポリシーの策定/運用」「セキュリティ対策ツールの導入」「従業員のセキュリティ教育/リテラシー向上」の3点が、ほぼ同率で上位に挙げられた(図2)。

図2 予定しているセキュリティ対策(複数回答 N=626)

 セキュリティ対策というと、ともすればファイアウォールなどのツールの導入を想定しがちだが、読者からは、

  • システム面をいくら強化しても、使う側のリテラシーが低い状態ではセキュリティが強化できない。構成員のリテラシー向上が急務
  • メーカーは新しい技術で製品をどんどん出してきますが、製品と合わせた教育(トレーニング)は行われません。いかにして時代に合った教育を行い、意識を向上させていくかが課題

といった、“ツール先行型セキュリティ対策”の限界を指摘するコメントが、多数寄せられた。特に上述した「内部からのウイルス感染/情報漏えい」問題に対しては、自社に最適化されたポリシーの策定とそれに基づく教育の徹底が、ツールの導入に先立って必要/有効な対策となるだろう。

セキュリティツール導入状況:アタック対策ツール

  続いて、読者のかかわるネットワークにおける、セキュリティ対策ツールの導入状況を見ていこう。しかしながら、この分野にはさまざまな種類のツールが存在する。そこでまず、不正アクセス/ウイルスなどの“アタック対策ツール”について尋ねたところ、現在は「クライアントPC用ウイルス対策」「ゲートウェイ(以下GW)用ファイアウォール」「GW/サーバ用ウイルス対策」の順で、導入が進んでいることが分かった(図3 緑棒)。

 一方、読者のネットワークで“2004年度に導入が見込まれるツール”としては、「セキュリティ・パッチ配布/更新管理」のポイントが、比較的高くなった(図3 黄棒)。NimdaやBlasterなど、OS/アプリケーションのセキュリティホールを悪用するウイルスの増加が、パッチ管理ツールの需要拡大につながっているようだ。

図3 アタック対策ツール導入状況・導入見込み(複数回答 N=626)

セキュリティツール導入状況:認証/暗号/アクセス管理ツール

 次に、認証/暗号/アクセス管理ツールの導入状況を見てみよう。こちらではファイアウォールやアンチウイルスのレベルまで普及したツールは見当たらないが、「ファイル操作の権限管理」の導入率が、ほかを一歩リードしている(図4 茶棒)。ファイルの基本的なパーミッション設定(読み込み/書き込み/実行)は古くからあるが、最近ではこれらに加えて印刷/転送/有効期限など、より細かな権限管理を可能にする“ライツ・マネジメント”技術が発展している。情報漏えい対策をファイル自体に埋め込む方法として、今後も注目される分野といえそうだ。

図4 認証/暗号/アクセス管理ツール導入状況・導入見込み(複数回答 N=626)

学びたいセキュリティ知識・スキル分野は?

 ところで頻発するセキュリティ課題に立ち向かうエンジニアは、いまどのような知識やスキルを身に付けたいと思っているのだろうか? 最後に読者のセキュリティ分野の学習意向を尋ねた結果、個別の要素技術を抑えて「現在のセキュリティ技術に関する体系的な知識」がトップに挙げられた(図5)。

図5 セキュリティ知識・スキルの習得意向分野(複数回答 N=626)

読者からは、

  • 社内にセキュリティの専門家がおらず、対策の重要性を認識しながら先に進めていない
  • (課題や対策が)ありすぎてどこから手を付けてよいか分からない/どういう順序で対応してよいか分からない

 といった声も多く聞かれた。細分化/専門化が進むセキュリティ対策に取り組む前に、まずは総合的な知識習得の必要性が高まっているようだ。こうしたニーズにおこたえすべく、本フォーラムではコンテンツをテーマ別に分類したインデックスを作成している。現在のセキュリティ技術の全体像の把握や、今後学ぶべき分野の確認などにご活用いただければ幸いだ。

調査概要

  • 調査方法:Security&TrustフォーラムからリンクしたWebアンケート
  • 調査期間:2004年3月15日〜4月9日
  • 回答件数:626件
Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH