セキュリティキーワード2009～くも

現在位置

ホーム

長引く経済不況は企業の体力を容赦なく奪い、追い討ちをかけるように今年もセキュリティ事故が後を絶たなかった。企業を取り巻くインシデントの脅威＝見えない暗雲＝と、少しでも運用管理の負担を減少させるために期待されているクラウドについてふれる。

セキュリティ事故の原因をみると、インターネットからの外部脅威もさることながら、内部脅威によるものが多かった。とりわけ情報システムに携わる特権ユーザが、与えられた権限を使って事故を起こしたケースが目に付いた。いくつかのケースでその背景を考えてみると、

ITシステム管理者が顧客情報を大量に持ち出したケースでは…、

見る必要のない情報が見えてしまったために、事故を誘発してしまった
リスクより利便性や迅速性を優先せざるを得ない状況にて、必要以上の権限を付与してしまった
限られた運用管理体制の元、職務分離や相互牽制に十分なリソースが避けなかった

外部委託業者から情報が流出したケースでは…、

長い付き合いによる会社間の信頼関係がベースになっている
提示するシステム要件が、業務要件中心であり、セキュリティ要件は業者任せになっていた
特に開発委託で海外へ再委託される場合には、文化などの違いからセキュリティに対する認識に違いがあることに気づいていなかった

セキュリティの脆弱性をついて不正なプログラムに感染したケースでは…、

セキュリティパッチの必要性は認識しているが、業務システムは頻繁にとめることができない
デフォルトのままの設定で運用しており、不要なプロセスが動作していた
管理者権限のパスワードが、すべて同じものを使用していた

危険だとわかっていても、利用部門での業務優先、運用管理業務の効率性優先せざるを得なかった結果である。今や技術的管理策では、各社とも致命的な対策漏れはなく、むしろ課題は運用管理の充実化（合わせ技）や利用部門の協力体制だと考える。これまで築き上げてきた信頼関係を疑うようなことはしたくないが、少なくとも〝見えない暗雲〟を〝見える〟ようにする努力は不可欠である。

〝見えない〟といえば、「自分たちの実装レベルが、世の中のレベルに比べてどれくらいの水準なのだろう」ということ。組織のセキュリティリスクを考えるとき、〝施策の多さ〟だけではなく、〝組織の成熟度レベル〟に目を向けるようにしている。管理策（ツール）が、個人依存でたまたま導入されたのか、組織的なIT戦略に基づき導入されたのかでは、将来に向けて組織を取り巻くリスクに大きな差が出てくると考えているからだ。このため〝グループ企業を含むセキュリティガバナンス〟の推進が特に重要だと考える。COBITの考え方を応用しアレンジしたIT統制成熟度指標による評価から、セキュリティガバナンスに対する傾向がみえてきた。

（クリックで拡大）

クラウドコンピューティングとは、ネットワーク上に存在するさまざまなシステムが提供するサービスを、その存在を意識することなしに利用できるという話題のサービス形態だ。不特定多数の事業者に業務をアウトソーシングするクラウドソーシングという言葉も登場した。企業がクラウドコンピューティングを採用する動機は、「迅速な実装」「経済性」「機能性」の3点に集約される。

一方、クラウドコンピューティングには、「データの所在が不明」「運用実態が不明」という懸念があり、

特権管理の問題
データ管理の問題
事業継続（業務継続）の問題

をクリアにする必要がある。たとえば「SAS70・TypeⅡ」を当該事業者に要求するなど、外部委託基準（業者選定基準）が、今以上に求められる。クライドコンピューティングは、サービス形態が文字とおり「くも」の中にあるが、セキュリティ要件まで〝雲の中〟に埋没させてはならない。

〝見えない暗雲〟を〝見える〟ようにする手段の一つが「モニタリング」である。意識喚起や抑止には一定の効果があるが、あまりやりすぎると逆効果の側面もある。従業員に対するリスク低減の考え方は、企業方針（性善説／性悪説など）によって、大きく対応が分かれるところである。現に顧客からは、
「システムの故障はしょうがない、人災をいかに減らすかだ」
「指示されたことは確実に行なうという責任感やモラルは高い。しかし（指示されたこと以外はやらないため）業務遂行におけるセキュリティリスクの意識は低い」
といった言葉を聞くが、共通しているのは、業務への影響を考慮してプラスのモチベーションを喚起し、不満を蓄積させないようにする努力が行なわれているということ。

以下は、某救命救急センタで働く条件…寄せ集め集団を屈指の医療チームに仕上げるために行なった、医師、看護師、検査技師、事務スタッフに対する4つの指示である。参考にされたい。