もう一つの仕組み化であるITによる仕組み化についてお話ししよう。今日では情報資産は主にコンピュータ内に蓄積されており、セキュリティ対策も技術的なものが多く導入されてきている。弊社の調査でも特にファイアウォールやウィルス対策ソフトの導入率は100%に近い。こういった対策はIT製品でしか対応しようがないものである。しかし最近、これまで人的な運用に頼っていたものを技術で保証したり、セキュリティマネジメントをサポートするツールも出始めている。

　前者には例えば検疫ネットワークのソリューションがこれに該当する。これはセキュリティパッチが不完全なPCや、ウィルススキャンを一定期間実施していないPCをLANから隔離してしまうものである。後者の例としてはサーバの脆弱性管理ツールがある。これは複数のサーバのセキュリティパッチの状況を管理し、どのサーバにどの脆弱性があり、いつ頃対処が行われる予定なのかを管理するツールである。

　こうした対策は従来、従業員やサーバ管理者に「きちんと対応するように」と通告するだけの組織が多かった。しかし、そういった人的な対策のみでは徹底することができず、少数のルール無視が組織全体の桶から水を漏らしている状態であった。このように技術的な仕組み化とは、これまで人的な運用に頼っていた部分を、一歩進んで対策を強制、管理する仕組みを導入して個別の施策をより強く保証し、また全社レベルで正確な数字を基にリスク管理を行うことである。

　次回は、最後の「現場化」についてお話ししたい。

（２/２）


NRIセキュアテクノロジーズ株式会社
情報セキュリティ調査室長
菅谷光啓
1991年、野村総合研究所入社
1995年頃より情報セキュリティ関連事業に参加
2000年、NRIセキュアテクノロジーズ発足と同時に出向
コンサルティング事業部長を経て現職
現在、情報セキュリティに関わるコンサルテーション、脆弱性評価、監査、教育・研修、情報提供事業を担当
工学博士、CISA、CISSP、CAIS

次回2006年2月下旬掲載予定