「ユーザー企業は声を上げよ」 ―― 山口セキュリティ補佐官

2005/10/19

 10月18日より開催されているシスコシステムズのプライベートイベント「CiscoWave 2005」の初日に基調講演を行った奈良先端科学技術大学院大学教授の山口英氏は、「企業セキュリティにはいまこそチームとしての対応と体系的な考え方が求められている」と訴えた。山口氏は内閣官房情報セキュリティセンター(NISC)情報セキュリティ補佐官も務めている。

欲しいものをベンダに求めていくべきだと話す山口英教授

 山口氏は、セキュリティにおける新たな課題として、「変化による脅威」「人間系のリスク」「規模拡大による脅威」の3つを挙げた。

 「変化による脅威」とは、「見えないコンピュータ」、つまりカーナビやビデオレコーダー、IP放送のセットトップボックスなど、コンピュータの形はしていないがコンピュータを搭載している製品が増加し、こうした機器がますますブロードバンドインターネットに接続されるようになってきたにもかかわらず、十分なセキュリティ対策がとられていないということ。山口氏は、2004年9月に発生した東芝のビデオレコーダー「RD」シリーズが攻撃の踏み台となった例を示した。

 企業におけるセキュリティ対策はテクニックに走りがちだが、守る対象が単にネットワークやコンピュータではなく、日々の経済活動であることを認識すべきだと山口氏は強調した。

 「対策としてまず必要なのは情報資産管理を現状に適合させること」。この際には携帯電話などの機器に情報が拡散していることを考慮しなければならない。ポータブルPCの移動性管理も典型的な課題だと山口氏は指摘する。

 「人間系のリスク」については、日常業務におけるコンピュータへの依存度が高まるばかりであるにもかかわらず、高度IT人材が不足していること、さらに攻撃は企業の内部でも発生しており、社員の忠誠心に期待することもできない状況だと山口氏は述べた。

 企業におけるセキュリティ対策の推進ではトップマネジメント、事業部門、IT専門家の3者がそれぞれの責任を果たすべきだとされる。トップマネジメントは、セキュリティの問題性を少しずつ理解するようになってきたが、コストセンターでしかないという感覚もまだ根強い。セキュリティ責任者は、社内の事業部門からも、「自分たちが稼いできた金を使うだけのくせに」という誤解を受けやすい。

 「セキュリティ責任者は1人で問題を抱えずに、皆で力を合わせることが大切。チームをつくり、これをトップマネジメントに認知させることで、遊びでないことを分からせるべきだ」と山口氏は話した。

 「規模の拡大による脅威」については、銀行のオンラインシステムや空港の管制システムのように、インフラとして稼働しているシステムが停止すると、多大な影響が発生すると指摘。ネットワーク管理についても、SNMPからセマンティック管理、さらにポリシー管理へと移行していかなければならないとした。

 この点におけるテーマは事業継続性にあると山口氏は語り、「単なるフェイルオーバにとどまらない耐障害性設計が求められる。アベイラビリティ(可用性)管理の観点から、これからのネットワークデザイン、これからのセキュリティを考えていってほしい。新しい分野であるため答えは出ていないが、ユーザー、ベンダ、システムインテグレータが力を合わせて解決していかなければならない。ユーザーは声を出して、ベンダに自分の要求を突きつけていかなければならない」と、ユーザー企業の主導権が重要であることを強調した。

(@IT 三木泉)

[関連リンク]
シスコシステムズ

[関連記事]
「インターネットのアメダスを作る」、新JPCERT (@ITNews)
国の情報セキュリティ研究機関に何が期待できるか (@ITNews)
日本には真の意味でのセキュリティ情報管理製品がない (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -