...

社会動向 守りから攻めへ変わる情報セキュリティ対策

by user

on
Category: Documents
23

views

Report

Comments

Transcript

社会動向 守りから攻めへ変わる情報セキュリティ対策
社会動向
守りから攻めへ変わる情報セキュリティ対策
河井 宣之 / 島田 毅
情報セキュリティ対策への取り組みは, 企業への
社会的要請になりつつあります。 何らかの対策に取
り組む企業は非常に増えましたが, その内容はいま
だ必ずしも十分ではありません。 また一方で, やみく
もな対策投資は得策ではなく, 対策推進の際に解決
すべき課題には, ポリシーの明確化, 取り組み体制
の確立, リスクを押さえること, 規程の整備, 人材の
育成,様々な対策の実施による負担の軽減などがあ
ります。 今後は, いたずらに厳格さばかりを強調する
情報セキュリティではなく, 実効性があり, 効率的に
企業を活かす情報セキュリティが求められます。
1
企業に対する情報セキュリティ対策向上の圧力
(1) 情報セキュリティ事件 ・ 事故の怖さ
近年,社会的に企業のリスク管理への関心が高まってい
ます。IT 事件 ・ 事故がもたらす直接的な損害あるいは社
会的な信用失墜は,企業に深刻な影響をもたらします。
NPO 日本ネットワークセキュリティ協会によると,2006 年
のいわゆる個人情報漏えい事件 ・ 事故による 1 件あたり
の“想定損害賠償額”は図 1 のようになります[1]。
想定損害賠償額は,100 万円以下の個人情報漏えい
事件 ・ 事故が 45%を占めているため,高額ではない印象
があるかもしれません。しかし1億円を超える事件 ・ 事故は
12%あり,2006 年の“平均想定損害賠償額”は 4 億 8 千
万円になると報告されています[1]。したがって,情報漏えい
による損害賠償金額は,やはり企業にとって大きな脅威と
いえます。
(2) 政府による法整備や情報セキュリティ管理への取り組み
情報セキュリティへの社会的な関心の高まりに伴い,個
人情報保護法をはじめとした法の整備が進み,更に会社
法や金融商品取引法などによる内部統制への取り組みに
おいては,認証やアクセス管理など情報セキュリティ対策
が重要な要素として包含されています。
また,法整備だけではなく,政府は企業に向けて様々な
取り組みを展開しています。経済産業省は,情報セキュリ
ティガバナンス研究会を発足させ,①情報セキュリティ対策
ベンチマークの提供,②情報セキュリティ報告書モデルの
策定,③事業継続計画策定ガイドラインの策定 などにより,
企業の情報セキュリティ管理への取り組みを推進していま
す[2]。
2
遅れている企業の情報セキュリティ対策
社会が情報セキュリティ対策を要請するなかで,企業
はどの程度情報セキュリティ対策に取り組んでいるのでしょ
うか。図 2 は,総務省による 2006 年の調査[3]です。何らか
の情報セキュリティ対策を採っている企業は約 95% となっ
ています。その中で 1 位の PC のウィルス対策プログラム
の導入は約 81% ですが,3 位のファイアウォールの設置
や4位のアクセス制御は約 51% と約半数であり,企業の情
報セキュリティ対策への取り組みは遅れているといえます。
3
変革時期にある企業の情報セキュリティ対策
(1) つぎはぎの情報セキュリティ対策から統合された
情報セキュリティ対策へ
2 章で述べたように,企業における情報セキュリティ対策
は,まだ決して十分とはいえない状況です。そして更に,そ
れら従来の情報セキュリティ対策は,例えばウィルス対策ソ
出典: 2006年情報セキュリティインシデントに関する調査報告書[1]
図 1. 1件あたりの想定損害賠償額
1 件あたりの想定損害賠償額は, 個人情報漏えい事件 ・ 事故を
引き起こした際の直接的な影響度と考えることができます。
フトの導入,ネットワークの不正アクセス防止製品の設置な
ど,それぞれが独立して考えられていました。しかし最近
は,ファイアウォール機能に不正アクセス検知機能,VPN
機能やアンチウィルス機能,フィルタリング機能などが統合
された UTM(統合脅威管理)という製品が市場に出回って
います。あるいは,社内のネットワークに PC などを接続す
る際に,接続してもよい機器かを確認し,更にウィルス対策
ができているか,OS のパッチは最新か,不正なソフトウェ
アを搭載していないかなどをチェックしたうえでネットワーク
へのアクセスを許可する検疫ネットワークシステムが注目さ
れています。このように,単独の情報セキュリティ機能では
なく,複数の情報セキュリティ機能を統合し有機的に連携さ
せた,より安全な,より効果的な,そしてより管理しやすい
情報セキュリティシステムが主流になりつつあります。
あり,リスク管理,経営管
理といえます。また,顧客
情報の漏えいや紛失,納
品したシステムのセキュリ
ティ事故などを防ぐ取り組
みは,セキュリティ品質管
理といえます。すなわち,
企 業 を 強 く し,競 争 力 を
高めるために情報セキュ
リティは位置づけられるべ
きです。
情報セキュリティという
キーワードで企業を変え
る,その実現のために必
要 な の は,人 と シ ス テ ム
[3]
(情報セキュリティ製品や
出典: 平成 18年通信利用動向調査報告書 企業編
図 2. データセキュリティへの対応状況
それらを組合わせた仕組
多くの企業が何らかの情報セキュリティ対策を実施していますが, まだ十分とはいえない状況です。
み)の両面でバランスよく
情報セキュリティを推進す
ることです。“情報セキュリティの根幹は人”といえますが,
(2) 守りの情報セキュリティから攻めの情報セキュリティへ
情報セキュリティへの対応により,めんどうで不便で余計
あまりに人に依存すると社員の負荷ばかりが増えてしまい
な仕事が増えるといわれますが,企業や組織は,情報セ
ます。システムでできることはシステムに任せ,人は情報セ
キュリティへの対応を社会的な信頼を保っていくためのコス
キュリティに対する意識を高めて基本的な情報セキュリティ
トだと割り切ろうとしてきました。
行動を守る。そして,情報セキュリティに対する思考や風土
従来は,法律や社会的背景からやむを得ず,“とにかく
が企業活動に反映されることにより,企業が新たな価値を
何をやればよいのか?”など比較的短絡的な,すなわち
生む時代がやってきます。
“これだけやっておけばオーケー”という解を求める企業が
多くありました。しかし,最近では少し様子が変わってきまし
た。“対策を打ったが十分なのか?”,“本来あるべき情報
セキュリティは何かを整理したい”,“いかに徹底できるか,
またどうすれば維持継続できるか”という本質的な情報セ
キュリティを求める企業が増えてきました。
政府も,ともすれば過剰反応を引き起こしがちだった個
人情報保護法を適正に運用していくために,ガイドライン
の見直しなどを積極的に行っています[4]。
がむしゃらに情報セキュリティ対策を厳しくするのではな
く,何のための情報セキュリティなのか,その原点に立ち返
るべき時期にきているのです。
4
企業をより強くするための情報セキュリティへ
では,情報セキュリティはどのような位置づけになって
いくのでしょうか。
今後は,情報セキュリティが企業や組織全体に浸透し,
かつそれが,情報セキュリティ対策のための情報セキュリ
ティではなく,業務にいかに密接に関わるかという視点で
の情報セキュリティであることが問われていきます。逆に言
うと,業務のためにならない情報セキュリティ対策は徐々に
排除され,企業を活かす情報セキュリティ対策に置き換え
られていきます。
情報セキュリティは,内部統制や日本版 SOX 法対応,
事業継続計画など様々なシーンでキーワードとして出てき
ます。いずれも,言い換えるとリスク管理であり,経営的な
側面,品質管理的な側面などがあります。例えば,重要な
情報を集積したサーバセンターの管理は事業継続計画で
【参考文献】
[1] NPO 日本ネットワークセキュリティ協会. “JNSA 2006 年 情報セキュ
リティインシデントに関する調査報告書 Ver.02.00”. 2007 年 10 月,
(オンライン), 入手先
<http://www.jnsa.org/result/2006/pol/insident/070720/2006inci
dentsurvey-02-071010rev.pdf>, (参照 2007-11-30)
[2] 経済産業省情報セキュリティガバナンス研究会. “情報セキュリティガ
バナンス研究会報告書~情報セキュリティによる企業価値創造に向け
て~”. 2007 年 3 月, (オンライン), 入手先
<http://www.meti.go.jp/policy/netsecurity/downloadfiles/07_03
governancehoukokusyo.pdf>, (参照 2007-11-30)
[3] 総務省情報通信政策局. “平成 18 年通信利用動向調査報告書 企
業編”. 2007 年 3 月, (オンライン), 入手先
<http://www.johotsusintokei.soumu.go.jp/statistics/pdf/HR200
600_002.pdf>, (参照 2007-11-30)
[4]内閣府国民生活局.“個人情報の保護に関するガイドラインについて”.
(オンライン), 入手先
<http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html>,
(参照 2007-11-30)
Profile
河井 宣之 Kawai Nobuyuki
プラットフォームソリューション事業部
プラットフォームソリューション第三部 部長
ネットワークシステム及び情報セキュリティシステムの
提案, 設計, 構築に従事。
島田 毅 Shimada Tsuyoshi
IT 技術研究所 研究開発部
セキュア構築ラボラトリー 室長
セキュア構築技術の研究開発全般に従事。
IEEE Computer Society 会員。
2
3
「東芝ソリューション テクニカルニュース」2007年(冬季号)
「東芝ソリューション テクニカルニュース」2007年(冬季号)
Fly UP