セキュリティにおける企業の「健康診断」と「処方箋」

企業のセキュリティのポイントは、過去のコラムでも述べたように、ヒューマン系およびシステム系の対策をうまく組み合わせ、多層防御を実現することである。

常に状態が変化する企業のセキュリティは、私たちの健康に似ている。今回のコラムでは、企業のセキュリティ対策を私たちの健康管理に例えて説明したい。


● まずは自分の健康状態（自社のセキュリティの状態）を知る

セキュリティ対策の議論を始める前に、まずは自社セキュリティの現状を知ることが重要である。私たちの生活における健康診断のように、現在の自社の保有する情報資産、それを管理しているシステムの状況などを明らかにする必要がある。

それには、人間ドック的な ISMS（情報セキュリティマネージメントシステム）での情報資産リスク分析や、歯科検診的なシステム スキャンなどの手段がある。このような現状の把握なくして有効なセキュリティ対策を立てるのは難しく、結局何が有用なのかわからないまま、漠然と脅威にさらされるだけになってしまう。


● セキュリティ対策の14の処方箋

健康診断で確認できた個別の症状に対して、食事の制限をしたり、医者の処方箋による治療を受けたりすることにより、私たちは健康維持に努める。セキュリティ維持にも様々な処方箋があるが、Edward Amoroso は、著書の中で次の14種類の対策を列挙している。

アクセス管理、認証、生体認証、ファイアウォール、侵入検知、暗号化、DOS フィルター、インシデント対応、欺き、スキャン、倫理的ハッキング、セキュリティ・ポリシー、監査、脅威管理

もちろん、別の分類方法もあるだろうが、セキュリティ対策が多岐に渡るという点に相違はない。以下、この中で最近注目される興味深いものをいくつか解説する。

・アクセス管理

誰が、どの情報に対して、どんな操作をするか、を管理すること。今年施行された J-SOX 法への対応で注目度の高い処方箋の一つである。J-SOX 法では、財務報告の信頼性が要求されるが、その元になるデータに対して、権限を持つ正当な者のみが適切に操作できるようにシステム的に制御するのがアクセス管理である。

J-SOX 法への対応初期段階では、財務システムへのアクセス管理が最優先となるが、いずれは財務報告の元になるデータが間接的に関与する発注管理などその他のシステムへのアクセス管理も同等レベルになっていくだろう。

・認証/生体認証（バイオメトリックス）

認証とは、アクセスを要求するものが他人ではなく本人であるという確認をするものであり、ユーザー ID とパスワードの組み合わせが最もよく知られた方法である。一方、生体認証とは、パスワードの代わりに指紋や静脈、声紋などの我々一人ひとりが固有で持つ生体の特徴を利用するものであり、昨今注目を浴びている方法である。

生体認証は、通常のパスワードよりも破るのが難しいとされ、最近ではセキュリティエリアへの入退室管理などに採用される例が多いが、映画「マイノリティ・リポート」でトム・クルーズが持ち運んだ眼球の虹彩でセキュリティドアを突破したように、生体認証と言えども100％安全の保証はない。

・暗号化

情報をあるルール（アルゴリズムと鍵）によって変換し、正当な者のみが読めるようにすることで保護する処方箋である。シーザーの時代から秘密通信のために様々な暗号が考案されてきたが、情報ネットワーク上では、IPSec、SSH、SSL といったセキュリティ通信プロトコルにも用いられている。

暗号化した情報を利用するには元の形に復号化する必要があるので、セキュリティが保たれるのは実際には暗号化されている区間または期間の中だけである。

米国 Purdue 大学のセキュリティ大家 Gene Spafford は暗号の限定的な役割を、「インターネット上の暗号は、大金を路上生活者から公園生活者に運ぶ装甲車のようなものだ」とたとえた。

また、多くの暗号は計算に時間をかければいつかは破られる。暗号解読にかかるコストに見合わない使い方である限りまず安全であるという一方で、中長期的には強度を上げていく必要がある。

・欺き（Deception）

セキュリティ攻撃者をだます手段である。見せ掛けの賭博場に仇敵を誘い込んで賭けさせ、まんまと金を取り返す「スティング」という映画があったが、警察も盛んにおとり捜査を行う米国では、インターネット上でも攻撃者の裏をかいて攻撃を無効にする方法が取られる。

「ハニーポット」と呼ばれる偽の空間を用意して攻撃者をそちらに誘導し、架空のシステムを攻撃させて実害が起こらないようにした上、証拠を取って攻撃者を捕らえようとする。以前は政府レベルの大掛かりな仕組みだったが、最近では企業向けのハニーポット機能を実装したセキュリティ製品や、それを使ったサービスも出てきている。

以上のように、様々なセキュリティ対策がある一方で、万能薬は存在しない。まさしく、私たちの健康維持に定期健診と適切な処方箋が必要なように、企業は専門家による定期的な診断やアドバイスを受け、自社の目的や状況、日々新しく生まれる脅威、費用対効果などを考慮し、最適な対策を講じることが必要なのである。

(AT&T ジャパン株式会社 ソリューション企画部長 門野健治)