Comments
Description
Transcript
社会動向 守りから攻めへ変わる情報セキュリティ対策
社会動向 守りから攻めへ変わる情報セキュリティ対策 河井 宣之 / 島田 毅 情報セキュリティ対策への取り組みは, 企業への 社会的要請になりつつあります。 何らかの対策に取 り組む企業は非常に増えましたが, その内容はいま だ必ずしも十分ではありません。 また一方で, やみく もな対策投資は得策ではなく, 対策推進の際に解決 すべき課題には, ポリシーの明確化, 取り組み体制 の確立, リスクを押さえること, 規程の整備, 人材の 育成,様々な対策の実施による負担の軽減などがあ ります。 今後は, いたずらに厳格さばかりを強調する 情報セキュリティではなく, 実効性があり, 効率的に 企業を活かす情報セキュリティが求められます。 1 企業に対する情報セキュリティ対策向上の圧力 (1) 情報セキュリティ事件 ・ 事故の怖さ 近年,社会的に企業のリスク管理への関心が高まってい ます。IT 事件 ・ 事故がもたらす直接的な損害あるいは社 会的な信用失墜は,企業に深刻な影響をもたらします。 NPO 日本ネットワークセキュリティ協会によると,2006 年 のいわゆる個人情報漏えい事件 ・ 事故による 1 件あたり の“想定損害賠償額”は図 1 のようになります[1]。 想定損害賠償額は,100 万円以下の個人情報漏えい 事件 ・ 事故が 45%を占めているため,高額ではない印象 があるかもしれません。しかし1億円を超える事件 ・ 事故は 12%あり,2006 年の“平均想定損害賠償額”は 4 億 8 千 万円になると報告されています[1]。したがって,情報漏えい による損害賠償金額は,やはり企業にとって大きな脅威と いえます。 (2) 政府による法整備や情報セキュリティ管理への取り組み 情報セキュリティへの社会的な関心の高まりに伴い,個 人情報保護法をはじめとした法の整備が進み,更に会社 法や金融商品取引法などによる内部統制への取り組みに おいては,認証やアクセス管理など情報セキュリティ対策 が重要な要素として包含されています。 また,法整備だけではなく,政府は企業に向けて様々な 取り組みを展開しています。経済産業省は,情報セキュリ ティガバナンス研究会を発足させ,①情報セキュリティ対策 ベンチマークの提供,②情報セキュリティ報告書モデルの 策定,③事業継続計画策定ガイドラインの策定 などにより, 企業の情報セキュリティ管理への取り組みを推進していま す[2]。 2 遅れている企業の情報セキュリティ対策 社会が情報セキュリティ対策を要請するなかで,企業 はどの程度情報セキュリティ対策に取り組んでいるのでしょ うか。図 2 は,総務省による 2006 年の調査[3]です。何らか の情報セキュリティ対策を採っている企業は約 95% となっ ています。その中で 1 位の PC のウィルス対策プログラム の導入は約 81% ですが,3 位のファイアウォールの設置 や4位のアクセス制御は約 51% と約半数であり,企業の情 報セキュリティ対策への取り組みは遅れているといえます。 3 変革時期にある企業の情報セキュリティ対策 (1) つぎはぎの情報セキュリティ対策から統合された 情報セキュリティ対策へ 2 章で述べたように,企業における情報セキュリティ対策 は,まだ決して十分とはいえない状況です。そして更に,そ れら従来の情報セキュリティ対策は,例えばウィルス対策ソ 出典: 2006年情報セキュリティインシデントに関する調査報告書[1] 図 1. 1件あたりの想定損害賠償額 1 件あたりの想定損害賠償額は, 個人情報漏えい事件 ・ 事故を 引き起こした際の直接的な影響度と考えることができます。 フトの導入,ネットワークの不正アクセス防止製品の設置な ど,それぞれが独立して考えられていました。しかし最近 は,ファイアウォール機能に不正アクセス検知機能,VPN 機能やアンチウィルス機能,フィルタリング機能などが統合 された UTM(統合脅威管理)という製品が市場に出回って います。あるいは,社内のネットワークに PC などを接続す る際に,接続してもよい機器かを確認し,更にウィルス対策 ができているか,OS のパッチは最新か,不正なソフトウェ アを搭載していないかなどをチェックしたうえでネットワーク へのアクセスを許可する検疫ネットワークシステムが注目さ れています。このように,単独の情報セキュリティ機能では なく,複数の情報セキュリティ機能を統合し有機的に連携さ せた,より安全な,より効果的な,そしてより管理しやすい 情報セキュリティシステムが主流になりつつあります。 あり,リスク管理,経営管 理といえます。また,顧客 情報の漏えいや紛失,納 品したシステムのセキュリ ティ事故などを防ぐ取り組 みは,セキュリティ品質管 理といえます。すなわち, 企 業 を 強 く し,競 争 力 を 高めるために情報セキュ リティは位置づけられるべ きです。 情報セキュリティという キーワードで企業を変え る,その実現のために必 要 な の は,人 と シ ス テ ム [3] (情報セキュリティ製品や 出典: 平成 18年通信利用動向調査報告書 企業編 図 2. データセキュリティへの対応状況 それらを組合わせた仕組 多くの企業が何らかの情報セキュリティ対策を実施していますが, まだ十分とはいえない状況です。 み)の両面でバランスよく 情報セキュリティを推進す ることです。“情報セキュリティの根幹は人”といえますが, (2) 守りの情報セキュリティから攻めの情報セキュリティへ 情報セキュリティへの対応により,めんどうで不便で余計 あまりに人に依存すると社員の負荷ばかりが増えてしまい な仕事が増えるといわれますが,企業や組織は,情報セ ます。システムでできることはシステムに任せ,人は情報セ キュリティへの対応を社会的な信頼を保っていくためのコス キュリティに対する意識を高めて基本的な情報セキュリティ トだと割り切ろうとしてきました。 行動を守る。そして,情報セキュリティに対する思考や風土 従来は,法律や社会的背景からやむを得ず,“とにかく が企業活動に反映されることにより,企業が新たな価値を 何をやればよいのか?”など比較的短絡的な,すなわち 生む時代がやってきます。 “これだけやっておけばオーケー”という解を求める企業が 多くありました。しかし,最近では少し様子が変わってきまし た。“対策を打ったが十分なのか?”,“本来あるべき情報 セキュリティは何かを整理したい”,“いかに徹底できるか, またどうすれば維持継続できるか”という本質的な情報セ キュリティを求める企業が増えてきました。 政府も,ともすれば過剰反応を引き起こしがちだった個 人情報保護法を適正に運用していくために,ガイドライン の見直しなどを積極的に行っています[4]。 がむしゃらに情報セキュリティ対策を厳しくするのではな く,何のための情報セキュリティなのか,その原点に立ち返 るべき時期にきているのです。 4 企業をより強くするための情報セキュリティへ では,情報セキュリティはどのような位置づけになって いくのでしょうか。 今後は,情報セキュリティが企業や組織全体に浸透し, かつそれが,情報セキュリティ対策のための情報セキュリ ティではなく,業務にいかに密接に関わるかという視点で の情報セキュリティであることが問われていきます。逆に言 うと,業務のためにならない情報セキュリティ対策は徐々に 排除され,企業を活かす情報セキュリティ対策に置き換え られていきます。 情報セキュリティは,内部統制や日本版 SOX 法対応, 事業継続計画など様々なシーンでキーワードとして出てき ます。いずれも,言い換えるとリスク管理であり,経営的な 側面,品質管理的な側面などがあります。例えば,重要な 情報を集積したサーバセンターの管理は事業継続計画で 【参考文献】 [1] NPO 日本ネットワークセキュリティ協会. “JNSA 2006 年 情報セキュ リティインシデントに関する調査報告書 Ver.02.00”. 2007 年 10 月, (オンライン), 入手先 <http://www.jnsa.org/result/2006/pol/insident/070720/2006inci dentsurvey-02-071010rev.pdf>, (参照 2007-11-30) [2] 経済産業省情報セキュリティガバナンス研究会. “情報セキュリティガ バナンス研究会報告書~情報セキュリティによる企業価値創造に向け て~”. 2007 年 3 月, (オンライン), 入手先 <http://www.meti.go.jp/policy/netsecurity/downloadfiles/07_03 governancehoukokusyo.pdf>, (参照 2007-11-30) [3] 総務省情報通信政策局. “平成 18 年通信利用動向調査報告書 企 業編”. 2007 年 3 月, (オンライン), 入手先 <http://www.johotsusintokei.soumu.go.jp/statistics/pdf/HR200 600_002.pdf>, (参照 2007-11-30) [4]内閣府国民生活局.“個人情報の保護に関するガイドラインについて”. (オンライン), 入手先 <http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html>, (参照 2007-11-30) Profile 河井 宣之 Kawai Nobuyuki プラットフォームソリューション事業部 プラットフォームソリューション第三部 部長 ネットワークシステム及び情報セキュリティシステムの 提案, 設計, 構築に従事。 島田 毅 Shimada Tsuyoshi IT 技術研究所 研究開発部 セキュア構築ラボラトリー 室長 セキュア構築技術の研究開発全般に従事。 IEEE Computer Society 会員。 2 3 「東芝ソリューション テクニカルニュース」2007年(冬季号) 「東芝ソリューション テクニカルニュース」2007年(冬季号)