サーバ集約化で野良サーバ追放も

「日本社会の無謬性神話を否定する」、NISCの基本計画

2009/06/29

 政府の情報セキュリティ政策会議は6月22日に、2009年度の情報セキュリティ計画となる「セキュア・ジャパン2009」を決定した。政府が2月にまとめた3カ年計画「第2次情報セキュリティ基本計画」に基づいて、2009年度に取り組むべき具体的な施策をまとめたもの。これまでの取り組みを踏まえ「事故前提型」の対策構築に力点を置いた内容となっている。

 第2次情報セキュリティ基本計画は、「事故前提型社会への対応力強化のための基盤作り」「合理性に裏付けられたアプローチの実現」、それに「現下の経済情勢への対応を支える取り組みの推進」という3つの柱を掲げている。3カ年計画の1年目に当たるセキュア・ジャパン2009では、従来から取り組んできた事前の防御に加え、「情報セキュリティ事故は起こりうるものだ」という前提に立った、合理的な対策を行うよう改善に取り組むという。

 「(今回の計画は)日本社会にありがちな無謬性の神話を否定するもの。絶対に間違いはないという前提で対策を進めると、いざセキュリティ事故が発生したときに思考停止に陥ってしまう可能性がある。事前の対策を進めつつ、いざというときには、あわてふためくことなく合理的な対策を取れるよう見直しを進める」(内閣官房情報セキュリティセンター 関啓一郎参事官)。

 情報セキュリティ政策会議は同時に、政府機関が保有している公開Webサーバや電子メールサーバを集約し、2013年度末までに半減させる目標を掲げた。

 情報セキュリティセンター(NISC)が政府機関の保有するIT資産を調査したところ、政府機関全体で公開Webサーバが約1000台、電子メールサーバは約1900台運用されていることが明らかになった。しかし、統制がないままに多数のサーバを設置・運用すると、コストが増大するだけでなく、セキュリティ事故などの緊急時に迅速・的確な対応が困難になる恐れがある。事実、2009年4月には、官公庁のサーバが改ざんされたにもかかわらず、週末だったため担当者への連絡が遅れ、適切な対応が取れなかったというケースが生じた。

 「知識を十分に持たない部門が勝手にサーバを立て、運用してしまうことの危険性を認識していなかった」(NISCの伊藤毅志参事官)。そこでNISCでは、重点検査の中で、サーバの設置・運用状況について詳細に把握するとともに、緊急連絡体制の点検を実施。さらに、責任を持ってきちんと管理できるところにサーバの管理主体を集約していく方針だ。

 どのサーバを集約対象とするのか、また仮想化技術をどのように活用するのかなど、具体的な集約プロセスについてはこれから検討する。ただ、サーバの集約化と合わせて最適化・標準化を推進し、ポリシーに沿って適切にサーバを運用管理できる体制作りを進める方針という。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH