|
頭が痛い企業セキュリティ対策
〜サンの場合はこうしています〜
サンのCIO、Bob Worrall(ボブ・ウォラル)と、サンの最高情報セキュリティ責任者、Mark Connelly(マーク・コネリー)が、情報システム部門を悩ませる企業セキュリティに対する脅威や課題についてのトレンドについて論じ、これらに対するサンが自社で行っている対応方法についてご紹介します。
皆さん、こんにちは。この度サンの新しいCIOに着任致しましたボブ・ウォラルです。これに伴い、サンのニュースレター、Inner Circleのエグゼクティブ・スポンサーも務める事になりました。このニュースレターでは、今後数ヵ月に亘って、この様な公開討論の形で、サンの技術的展望についての洞察や、業界における最新の進展についての私の解釈を述べさせて頂きたいと思います。
数ヶ月前にCIOという職務を引き受けた時、私は朝目覚めて、最大の懸案事項を全て一枚の紙に書き出しました。そのリストの最初の項目は、「セキュリティ」でした。CIOなら誰でも、何について考えると夜眠れなくなるか訊ねられたら(私の場合は早朝目覚めて眠れなくなるのですが)、きっと、企業のセキュリティだと答えるでしょう。
セキュリティ上の課題に対するサンの理解度と対応能力を判断する為に、私は直ちにサンの最高情報セキュリティ責任者、マーク・コネリーとの打ち合わせの場を設けました。マークとの打ち合わせは非常に有意義でしたので、私は今回、彼をこの場に招いて、企業セキュリティに関する彼の洞察を皆さんと共有したいと思います。
 |
| ウォラル: |
この業界は四六時中、新しいウィルスやセキュリティ上の脅威に直面している様子なので、今回あなたに登場してもらったのは絶妙のタイミングですね。最高情報セキュリティ責任者の視点から見て、今直面している課題は何か教えて下さい。 |
|
|
| コネリー: |
長い間、人々は安全な方法でコミュニケーションを取ろうと努力してきました。その一方で、セキュリティ対策を破ろうとする試みも存在し続けました。現在と過去との違いは、今日は、セキュリティの専門家がグローバル企業と世界経済を保護しようと努力している点です。 |
| |
例えばサンでは、セキュリティ・チームが、170ヶ国に亘って3万8千人を超える従業員を擁する組織の情報資産のセキュリティ対策を担当しています。更に、今日の人々の働き方に対応して、サンは、場所と時間を問わず、あらゆるデバイスによる情報へのセキュアなアクセスを提供しています。 |
|
| ウォラル: |
企業セキュリティに対する最大の脅威は何ですか。 |
|
|
| コネリー: |
脅威は複雑になる一方です。しかし一般に、大方の脅威マトリックスは、スパム等の古典的な侵入から、企業のセキュリティ上の弱点を探しだす為に高度な偵察を行なう人々による、極めて入念な企みへと変化しています。脅威は、トラブルを引き起こすだけの子供から、犯罪を目的とした経済スパイにまで及び、また、その間を埋めるあらゆるタイプが加わって、多岐に亘っています。 |
|
| ウォラル: |
従来の、城の周りを堀で囲む様なセキュリティ対策は、企業の城壁(つまり、ファイアウォール)を保護して悪者を寄せ付けない事を中心に考えられていました。しかし、先程のお話の様に、脅威はこうした戦略を超えて発展している様ですが。 |
|
|
| コネリー: |
そうです。私が最も危惧している事の1つが、ソーシャル・エンジニアリングです。こうした手段を用いると、先程おっしゃった様な保護対策を簡単に回避出来ます。戦いを学んだ人なら誰でも、強みでなく弱点を攻撃するほうがより道理に適っていると言うでしょう。卓越したソーシャル・エンジニアであるKevin Mitnick(ケビン・ミトニック)氏は、「The Art of Intrusion」(ハッカーズ その侵入の手口)という本の中で、ソーシャル・エンジニアリングを使って企業の保護対策をどの様にすり抜ける事が出来たかを解説しています。脅威が一度城の中に入ってしまえば、企業は、侵入された事や、その結果重大なIPの損失が起こりかねない事を、知る事さえ出来ない場合があるのです。 |
 ページ先頭へ
|
| ウォラル: |
悪意ある攻撃とは別に、ただビジネスを行うだけでそこに内在するセキュリティ上の課題もある様ですが。 |
|
|
| コネリー: |
その通りです。グローバル・パートナー、新しいビジネス・モデル、各国の法的要件等、全てがセキュリティ問題の複雑さを増幅しています。法的要件に関しては、サンは、170を超える国々でビジネスを行なっており、国によって法規が異なる事はよくあります。自社の計画には、こうした全ての規則を考慮に入れています。更に、サンは 自社の全てのソフトウェアをオープンソース化する様努力していますが、極めて知的財産中心の企業でもあります。
この為、セキュリティは、自社のIPを保護し、関連する全ての法規に準拠するものでなければなりません。幸い当社には、顧客企業向けに開発された、こうした対策に大いに役立つ優れた技術とソリューションがあります。最後に、リスク管理と連携させる事で、自然災害発生時の業務へのリスクを軽減する総合的な災害復旧計画を備えています。 |
|
| ウォラル: |
組織的な観点から見て、セキュリティの専門家が企業内で直面している課題は何ですか。 |
|
|
| コネリー: |
1つに、価値命題という領域があります。CEOは「投資」について質問しなければならない時に、「経費」に関する質問を投げかける事がよくあります。この記事をお読みになる多数のCISOとCSOの皆さんは、ビジネス意識を高く持つ必要があります。セキュリティの専門家にとって、自分の業務の価値を証明する事は非常に困難です。どなたか最高情報セキュリティ責任者に聞いてみて下さい。彼らは、企業を保護するインフラストラクチャの価値を経営管理者に説明するのに役立つ価値計算書や脅威マトリックス、その他の書類を準備しています。
残念ながら、人は誰しも受身的になりがちで、何かが起こってから行動しようとします。とは言うものの、セキュリティの専門家は、セキュリティに関する情報を経営者(又は取締役会)に提示する責務を負っているので、企業は、事前に行動する事の本当の価値を正しく評価する事が可能です。
企業としての2つ目の問題は、熟練したセキュリティの専門家です。彼らは、セキュリティ管理チームの中心です。私のアドバイスはこうです。彼らの技能を保ち、必要なトレーニングを全て受けられる様支援して下さい。3つ目は、システムを導入した事によって低減された投資やリスクのパフォーマンスを明確に示す測定基準を持った、総合的なセキュリティ管理システムを構築する事です。最後に、経営陣、あなたが導入したセキュリティ・プログラムの積極的なサポーターにする事です。 |
|
| ウォラル: |
3万8千人超の人員を擁するサンの様な企業では、個々の人員に至るまでそのセキュリティを管理する事はほぼ不可能と思われます。情報セキュリティ責任者は、この様に膨大な従業員のセキュリティを管理する上で適切なリスク・プロファイルをどの様に決定するのでしょうか。 |
|
|
| コネリー: |
あなた自身がおっしゃった様に、全てはリスクの問題です。基本的に、企業は、脅威の深刻度、及びその脅威が現実となる可能性に基づいて投資を行なう必要があります。あらゆる情報セキュリティ責任者が、絶対的な数値によるリスク要因を特定の脅威に帰するのは、極めて困難だと言うでしょう。例えば、個人情報の侵害は、株式公開企業の市場価格に影響を及ぼすのが常ですが、株主が失った利益の正確な金額はどうやって算出するのでしょう。
多くのセキュリティの専門家が、予防の為の出費(私が「投資」と呼ぶものです)は通常、修復に関連するコストの100分の1だと声を大にして述べるのは、この為なのです。これは、従業員にとっても、顧客にとっても、ビジネスにとっても良い事です。 |
|
| ウォラル: |
情報を安全かつセキュアに保つ上で、企業が頼りにしている戦略は何ですか。 |
|
|
| コネリー: |
最終的な頼みの綱は、強力なセキュリティ・ポリシーです。全ての企業に、一連の強力なポリシーが必要です。これらのポリシーによって、企業がセキュリティ戦略を導入する際の方法と、その戦略を推進する為の運用手順が決まります。更に、これらのポリシーは、最善の業界標準に基づいて構築される必要があります。
セキュリティ・ポリシーが決まったら、企業はこれらの業界標準を用いてセキュリティ・ポリシーを実装し、その実装を監視しなければなりません。これは、監査の時期には特に重要です。監査に際して、監査役は先ず、ポリシーがあるかどうか、また、そのポリシーが実装されているかどうかを訊ねます。その次には、何か業界標準を採用しているか訊ねるでしょう。これらの質問に「はい」と答えられれば良い評価が得られます。 |
|
| ウォラル: |
その他に、セキュリティの専門家が、七つ道具として常備しておくべきものは何ですか。 |
|
|
| コネリー: |
もう1つの重要なツールは、マルチレイヤー型保護対策の採用です。企業が複数のレイヤーによる保護対策を講じていれば、突破するのがより難しくなります。また、こうした保護対策は、マルチレイヤーにするだけでなく、マルチベンダーにしておく必要もあります。1つのレイヤーを突破出来たとしても、異なるベンダーのテクノロジをベースにしている場合は特に、その他のレイヤーを突破するのがより難しくなります。 |
ページ先頭へ
|
| ウォラル: |
また、製品及びサービスの観点から、サンが、自社の企業セキュリティを確保する為にしている事は何ですか。 |
|
|
| コネリー: |
たくさんあります!チャネル戦略に基づくものか、IT分野におけるベンダー調達によるものかを問わず、サンには多くのパートナー企業があります。サンのパートナー企業は、当社のデータセンターやネットワークを運用し、ウィルスやスパムのフィルタリングを行なっています。
サンは、最善の戦略を採用してコストを抑え、柔軟性を改善し、企業のセキュリティをよりスケーラブルにしています。また、アイデンティティ管理、アクセス管理、ディレクトリ・サービス等、自社のセキュリティ製品も実装しています。サンはお客様に、ありとあらゆるハードウェア、ソフトウェア、サービスを提供しているので、当然ながら、社内でもこれらの資産を活用しています。
|
|
| ウォラル: |
スパムのフィルタリング、ウィルスのフィルタリング、侵入検知といった、事実上全ての企業が直面している類の問題について、サンは具体的にどんな対策をとっていますか。 |
|
|
| コネリー: |
サンは1日に4千万通以上のスパム・メッセージと2〜3百万のウィルスをフィルタリングで排除しています。また、ネットワーク上及びサン社内のゲートウェイにウィルス・フィルタとスパム・フィルタを設置して、ウィルスの拡散を防止しています。サンには認証チームもあり、このチームの同僚たちは、24時間365日体制でのネットワークの監視を支援しています。インシデントが発生すれば、その都度直ちに報告され、対応が取られます。更に、サンはネットワークベースの侵入センサーを実装している為、誰かがサンのネットワークに侵入しようとすれば、当社のチームが対処します。ネットワーク周辺の保護に関して、サンは極めて余念がありません。 |
|
| ウォラル: |
これまでに、ソーシャル・エンジニアリング、スパム、ウィルスについて話してきました。次に直面する大きな困難は何だと思いますか。 |
|
|
| コネリー: |
セキュリティの観点から言うと、サンは絶えず、増殖するデバイスと格闘しています。これはファット・クライアントかシン・クライアントかというだけの問題ではありません。数々の新しいポータブル・デバイスやワイヤレス・デバイスが存在し、その全てがネットワークに接続します。サンは、自社の個人情報保護管理責任者と連携して、個人情報流出のリスクを軽減するあらゆる対策を講じています。
IPの喪失は、少量でもトラウマになるほど衝撃的な事件ですが、サンでは万が一個人情報が流出したり、或いは個人情報の侵害が疑われるだけの場合でさえも、これを報告する義務があり、重大なペナルティを受ける場合もあります。企業は新しいデバイスに気を配り、これらを慎重に管理し、保護対策を実装し、従業員にその適切な使用法を教育する必要があります。 |
ページ先頭へ
|
| ウォラル: |
セキュリティ対策の中心をどこに置けば良いか悩んでいる、サンよりも小さな企業のCISOに対するアドバイスはありますか。 |
|
|
| コネリー: |
より規模の大きい企業と同様、中小企業も、強力な一連のセキュリティ・ポリシーを作成し、自社で開発したセキュリティ管理システムの基礎を業界標準に置き、それをビジネス目標に基づいて配置する必要があります。もし企業に大量の資金やリソースがない場合には(又は例えそれがあったとしても)セキュリティの専門家が取る事の出来る最も有効な対策は、セキュリティ管理システムの一部として、セキュリティ意識の高いプログラムを導入する事です。これは明らかに、有益でコスト効率の高いプログラムです。 |
|
| ウォラル: |
セキュリティ意識を向上する事で、どの様な利益が生まれますか。 |
|
|
| コネリー: |
サンでは、3万8千人を超える従業員全員が、常にセキュリティについて考える必要があります。これにより、コストが抑えられます。この事は、当社の従業員及び株主の利益の保護につながります。また、場合によっては、ビジネスの前提条件となります。それは単なる出費でなく、新しいビジネス・チャンスを生み出します。 「セキュリティ内蔵」でビジネスを拡大する事も可能です。 |
|
| ウォラル: |
最後に一言、アドバイスはありませんか。 |
|
|
| コネリー: |
何度か述べた様に、完全なセキュリティ管理システムを企業全体に亘って実装する事が、あらゆるセキュリティ・ポリシーを成功に導く鍵です。IT組織とは、企業のセキュリティのあらゆる局面の結合を表す概念です。サンにおいて、私は、実際にセキュリティを担うスタッフ、製品グループのスタッフ、個人情報保護管理責任者、法務及び監査の専門家、輸出管理担当者と協力して仕事をしています。セキュリティにおけるこれら全ての局面は、経営目標をサポートする様結合され、調整される必要があります。リスクベースで、しかも、安全な方法でそれを行う事が我々の仕事です。 |
|
重要なセキュリティ上のアドバイス
- 強力なセキュリティ・ポリシーを採用する
- 独自のセキュリティ・ポリシーを業界標準に基づいて構築する
- マルチレイヤー、マルチベンダー型の保護対策を導入する
- 最善のセキュリティ・パートナーを選択してコストを抑え、柔軟性を改善し、企業のセキュリティをよりスケーラブルにする
- あらゆるセキュリティ・ポリシーが、ITの専門家、実際のセキュリティ担当者、法務/監査チーム、輸出管理を含む全体的なアプローチに基づいたものとなる様にする
- あらゆるセキュリティ・ポリシーの実現において、従業員に、自らがキー・プレーヤーである事を自覚させる
| |
|
トピックス一覧 ≫
ページ先頭へ
|
印刷用ページ