【セミナーレポート】 企業のコンプライアンス対策後に必要な社内セキュリティソリューションとは

IDC Japan セキュリティリサーチマネージャー 花岡秀樹氏

　セミナーの冒頭、IDC Japan　セキュリティリサーチマネージャーの花岡秀樹氏による「コンプライアンス対策後に必要なセキュリティソリューションとは」と題した基調講演が行われた。

　ITセキュリティコンサルタントや監査などの幅広いセキュリティ業務経験をマーケット分析に生かしている花岡氏は、企業のコンプライアンス対策を含めたセキュリティ市場の状況と対策後のセキュリティソリューションについて提案した。

　まず、成長率の高いセキュリティ市場は変化も早いが、今年どのようなことにIDCが注目しているのか、重要な点を10上げた。中でも4点では、今回のテーマであるコンプライアンスに関連するものと、それに対するソリューションが触れられた。

1.内部統制を導入し、ルールが厳格化したことによって、手続きが多くなりビジネススピードが落ちる。さらに不慣れなプロセスのために違反が増加する
2.情報漏えい対策ソリューションが揃い、大企業から広がる
3.内部統制、情報保護の要求によって、セキュリティサービスマーケットが拡大する
4.NACソリューションによるセキュリティ制限緩和

　特にNACソリューションは、外部からのアクセス管理だけではなく、アイデンティティアクセスマネージメントなど、総合的なネットワーク、PC、デバイス管理を行うソリューションとして、利便性を犠牲にすることなく、リモートアクセスを実現し、セキュリティ制限を緩和することによって、ビジネスの効率性を高めることに注目しているという。

　続けて「日本版SOX法による内部統制整備の義務化対象企業は、上場企業で3800社、連結子会社で5万社、アウトソース企業を含めると数万社になるといわれていますが、我々の調査では日本版SOX法対策のインプリメントが未だ進んでいないという結果になっています」と花岡氏。「罰則は報告書に虚偽がある場合に適用されるため、報告書には問題のあるプロセスは、改善項目として記載されるでしょう」という。

　今後、内部統制が厳格化されていくことになるが、先行している米国の状況を見ても、これからは外部からの脅威に加えて、悪意のあるなしにかかわらず内部脅威が大きな問題になっていくであろうと花岡氏は指摘する。

　内部統制を厳格化するために必要なのは、業務分掌である。管理者が何でもできた状況から、SI部門のマネージャーに加えてビジネスオーナーの承認が、システム変更の際に必要になる。このようにシステム担当者の権限が縮小され、業務プロセスが煩雑になることにより、業務効率が低下する。さらに、慣れないプロセスであるため、担当者のエラーが増加し、コンプライアンス違反のリスクが大きくなると考えられている。

　業務分掌の実装方法として、「予防的コントロール」と「発見的コントロール」がある。業務分掌をシステムに実装する「予防的コントロール」が導入できれば理想的であるが、通常のシステム運用管理では人員リソースに限りがあるため、現実的には不可能な場合が多い。そのため、業務分掌のシステム実装を緩め、問題のあるプロセスにはログによる監査で対処する「発見的コントロール」が選択されることが多い。ログ管理や変更管理などにセキュリティソリューションが有効利用できるため、需要は拡大すると予測されている。

　また、アイデンティティ管理で考えなければならないことがいくつかある。まず、アカウント管理とサービス利用権限の明確化である。業務分掌で権限を整理し、ユーザーとロールを明確にし、整理する必要がある。

　アイデンティティ管理を導入すると、複数アカウント、パスワード管理の問題解消とアカウント管理コストの削減が実現される。今後の展開としては勤怠管理との連携などがあり、アイデンティティアクセスマネージメントは、ほかのセキュリティ対策と比べて、さまざまな展開が考えられる。

　「非常に手間がかかるため、規模が大きいものではアイデンティティアクセスマネージメントのプロジェクトは数年かかる場合があります。アイデンティティ管理ソリューション導入には、各システム、ビジネス権限、役割に深く関連しており、ビジネスプロセスをよく理解した、信頼できるパートナー選択が特に重要です」と花岡氏は締めくくった。

NEC 第一システムソフトウェア事業部 マネージャー 三浦一樹氏

　続いて、NEC第一システムソフトウェア事業部　三浦一樹氏から「（協調型セキュリティ）＝（InfoCage）＋（α）」と題した講演が行われた。 セキュリティには、「内的要素」と「外的要素」がある。

　内的要素には、信頼できる企業というブランドイメージがある。信頼のある企業では、売り上げが拡大し、儲かるための情報が貴重な情報資産となっている。外からの脅威に対して情報資産をどのように守っていくかに注目することで、明確かつポジティブな発想で対策ができる。

　外的要素には、社会・ステークホルダーからの要望、法制度、規制、CSRや社会貢献などあるが、どうしてもネガティブ発想のセキュリティ対策になってしまう。そのため、内的要素から考えるとセキュリティ対策は行いやすいという。

　「NECではさまざまな対策を用意していますが、インシデントの発生ごとにパッチワークを行っていては対策の費用が増加し、利便性が保持できない上に機密データの認識ができなくなってしまいます。そこで、リスク管理、情報に注目し、それらを基準にしたセキュリティマネージメントとして、協調型セキュリティという発想を展開しています」と三浦氏。

「協調型セキュリティは大きく3つに分けることができます。1つはセキュリティマネージメント。2つ目はプラットフォームセキュリティと呼ばれるITでコントロールしてしまうPCやネットワークなどの領域。最後にシステムセキュリティと呼ばれているものです。システムとフィジカルな部分を連携させたり、メールやウェブ、シンクライアントなどになります。」

　InfoCageは、Client、File、Server、Networkと全体をコントロールするManagementという5つのカテゴリからなっており、既存のセキュリティ対策資産を活かす発想になっている。

　効果的にリスクを埋めるための階層構造において、ネットワークの対策を最初に行うことが有効であると考えられている。ネットワークの対策ができれば、PCやサーバへの対策になっていくが、最終的には情報資産を入れるファイルへの対策をしなければ、機密情報を守ることはできない。問題が起こったときのフェールセーフの考え方が重要で、ネットワークで駄目であっても、サーバやPCで対策があるから大丈夫だという方針でやっていくと、効果的にリスクを埋めることができる。

　InfoCageでは、ネットワークにつなぐ前の段階での検査・隔離が可能だ。ネットワークで流れているセグメント状のパケットをInfoCageのアプライアンス製品が自動的に確認し、接続するかどうか判断しているため、エージェントレスで行える。不正接続防止製品からPC検疫製品への連携が可能なため、ユーザーの既存環境に合わせて検疫やネットワークアクセスコントロールを行えるのが、InfoCageの強みとなっている。

　「情報を共有化するためにファイルサーバに置いているから安全という意見がありますが、そのファイルサーバに暗号化やアクセスコントロールを行うことが重要になっています。NECのファイル暗号化運用ノウハウとマイクロソフトのIRMを連携させて、暗号化とアクセス権管理を簡単にできる仕組みをInfoCageファイルセキュリティで実現しています」と三浦氏は締めくくった。

NEC 第二コンピュータソフトウェア事業部 マネージャ 尹 秀薫氏

　次に登壇したNEC 第二コンピュータソフトウェア事業部マネージャ 尹秀薫氏は、「一つのセキュリティポリシーで簡単・安全なリモートアクセス」をテーマに、社内のセキュリティと社外のセキュリティをリモートアクセスの観点で紹介した。

　まず、現在のリモートアクセスにおける課題について、「今までセキュリティ対策を社内で練られていると思いますが、外部と社内をつなぐリモートアクセスを導入する際には、大きな変更をともなう見直しが必要になってきます。特に社外からどのような人がアクセスしてくるか、どのような条件ならば許可をするかなど、細かいセキュリティポリシーを策定しなければなりません。既存のセキュリティの設定変更も必要になります。また、リモートアクセスを導入するにしてもコスト面の問題があります。セキュリティ対策を強固にするため、外部認証システムを導入することによるコストの増大も課題の一つですし、外部に持ち出したPCの管理も課題です。さらに、リモートアクセスする際のユーザー認証が必要ですが、どのPCからのアクセスを許可するか設定しなければなりません。VPN接続中の利用アプリの制約やアクセス制限についての問題もあります」と解説する。

　これらの課題を解決するソリューションが、NECが提供する「SecureBranch」だ。社内を基幹のネットワークととらえ、枝の部分である外出先や自宅などそれぞれのロケーションに持ち出したPCに対して、セキュリティポリシーを適用していく。SecureなBranchオフィスをどこにでも提供できるソリューションというわけだ。

　「SecureBranch」では、確保された社内のセキュリティ空間を社外にも広げていくという「中から外向き」のアプローチ方法をとっている。これは従来のリモートアクセスのような外部接続に対するセキュリティ対策（外から中向き）の発想を逆転させているといえるだろう。

　端末認証を行うことで、社内で利用しているパソコンのセキュリティ強化を行うほか、社内のセキュリティシステムを社外でも適応させることを実現。1つのセキュリティポリシーを社内にも社外にも適用できる点が、従来のリモートアクセスとの大きな相違点である。

　同時接続100ユーザー規模による初年度コストの比較を表してみると、従来のSSL-VPN製品では、本体価格に認証システムなどを組み合わせ、ファイヤウォールの設定見直しやホストチェックの条件を更新するなど、人的なコストが発生し、初年度で800万円前後の費用が必要になる。

　一方、SecureBranchでは、本体価格に加えて、中継サーバというアプライアンスが必要になるが、この2つのアプライアンスを購入するだけで社内のセキュリティをそのまま使うことができるため、コスト削減が実現でき、約440万円での導入が可能になる。導入コスト、運用コストに関して、一つのセキュリティポリシーによるコストメリットが考えられるという。

シスコシステムズ シニアプロダクトマネージャー 杉江智之氏

　シスコシステムズ シニアプロダクトマネージャー 杉江智之氏は、4番目の講演者として登壇し、「ビジネスの継続性のためのネットワークセキュリティの姿とは」と題して、シスコシステムズのネットワークセキュリティへの取り組みを紹介した。

　まず、「ネットワークが、”つなぐ”という目的から、アプリケーション、サービスと密接に連携するように大きく変わってきています。IP化が着実に根付いていると言えるでしょう」と前置きし、「最近では、モバイル化が進んでおり、今後2、3年で大きく成長していくと考えています」と語った。そして、バーチャル化、ネットワークの仮想化といった3つが合わさって発展してきており、この大きな流れを「Network as the Platform」社会基盤として、ネットワークを確立していこうと考えているという。

　セキュリティ問題としては、以前はウィルスやワームへの対策が重要視されていたが、現在ではその次元を超え、犯罪対策が大きな課題になっている。ITを利用した犯罪が増加しており、2007年の後半からはウィルスやワームなどの目立ちやすい攻撃から、目立ちにくい攻撃に変化してきているという。なかでもボット系のウィルスと呼ばれるものが増えているという顕著な傾向がある。目立ちにくい攻撃に対しては、既存の技術ではなかなか太刀打ちできない。それらは受動的攻撃と呼ばれ、いったん情報を仕入れてから攻撃を行うという方式をとっている。

　LANのセキュリティ攻撃の脅威として、杉江氏は代表的なものを4つ紹介した。「パスワードの盗聴」「なりすまし攻撃」「ネットワーク機器へのDOS攻撃」「データの盗難や不正アクセスの脅威」だ。対策には、IEEE802.1Xの技術を使ったポートベースのセキュリティが必要である。検疫のシステムをポートレベルの不正アクセスと連携させていくかが重要で、基礎的に作ったポートセキュリティを応用させていくことが可能になっており、検疫のアプリケーションをNACアプライアンスソリューションで提供している。アイデンティティ管理やコンプライアンス対策などの応用活用にもつなげようと考えていると杉江氏は語る。

　また，ネットワーク環境も「明確なネットワークの始点と終点が存在しなくなっている｣というように大きくシフトチェンジしてきている。さらに、｢管理対象外の端末の利用が増加しているため、管理者を非常に悩ませてきているのです。これまではセキュリティの脅威を防ぐことに主眼をおいてきたわけですが、これからは企業の重要情報，機密資料の流出をどのように防ぐかもにも主眼を置く必要が出てきています。そして、法令順守、コンプライアンスも非常に大きなテーマとなるのです」と杉江氏。

　アプリケーション活用の観点からは，「今後の包括的なセキュリティを考慮する上で、Web 2.0の存在は欠かせないテーマとなっていきます」とし、「システム管理をする側からは，Web 2.0の取扱いを考慮しなければならない」という。これからの大きな潮流になりつつあるWeb2.0に対応したサイトは，従来に比べて，通信量が圧倒的に増加する上に，高速通信が必要になる。Web2.0のコンテンツはダイナミックなコンテンツ制御が特徴だ。常に多くのバックグラウンド通信が発生し，携帯情報端末や，ウイジェットなどの新しいタイプのクライアントも通信の発生頻度を増す要素となる。結果，それらの通信を集約する場合のセキュリティの設計では，新たなポイントに着目する必要がある。

　「Web 2.0を提供するサイトにも攻撃が行われ、システムは複雑になり、ログを取る必要がでてきています。Web 2.0を取り巻く環境が非常に大きく変わってきているのです。この状況に対して、高速処理をさせることに加えて、システムをシンプルにしていく必要があると考えています。機能やサービスを統合すること、コラボレーションが重要となるでしょう」と説いた。

マイクロソフト エグゼクティブプロダクトマネージャ 森屋幸英氏

　最後の登壇は、マイクロソフト・サーバープラットフォームビジネス本部Windows Server製品部・エグゼクティブプロダクトマネージャの森屋幸英氏で、テーマは「Windows Server2008が実現するDynamic IT」。今年4月中旬に製品発表が予定されているWindows Server 2008の機能について紹介した。

　Windows Server 2008は3つの柱で構成されている。その1つ目は「柔軟性の高いIT基盤」であり、ビジネスの変化に対して迅速に対応できるよう、サーバ仮想化による柔軟なサーバ配置が行えるという。これについては、Hyper-Vと呼ばれるサーバの仮想化ソリューションをWindows Server 2008に標準装備すると発表されているほか、場所を選ばないアプリケーションへのアクセスが挙げられる。従来のターミナルサービスと呼ばれていたアプリケーションが、高度なバージョンアップによって機能を充実させているのだ。これによって、社内と社外で同様な生産性を実現するソリューションや、サーバの仮想化によるサーバリソースの柔軟な配置を実現すると、森屋氏は語る。

　2つ目はセキュリティとコンプライアンスだ。製品そのものに付加価値や基礎的なバージョンアップが重ねられ、セキュリティポリシーの組織全体での徹底を実現する。Windows Server 2008では、Windows Serverとして初めて検疫ソリューションを標準装備した。検疫ソリューション導入が困難な企業において、その理由にはソフトウエアの運用管理が挙げられるという。「Windows Server 2008では、アクティブディレクトリを利用した管理が可能です。このため、導入障壁の低い検疫ソリューションとなっており、ITガバナンスの実現に貢献します」。

　3つ目に、次世代サービス基盤として、インターネットサービスではRIAと呼ばれるアプリケーションが先端的に扱われている点が挙げられる。RIAのサービスを標準的に提供できるのが、Windows Server 2008 IIS7.0というサーバだ。インターネット標準に準拠した高い相互運用性では、今後競争優位の確保をする上で重要になる。IPv6のネットワークにネイティブで対応しているサーバのオペレーティングシステムであり、IPv6にネイティブで対応していることは、すべてのサービスが透過的にIPv6ネットワークで利用することができるという。

　「『ターミナルサービス』の大幅機能強化によって、クライアントアプリケーションの展開が飛躍的に柔軟になります。『ネットワークアクセス保護（NAP）』によるセキュリティコンプライアンスの実現で、企業のセキュリティポリシーを動的に保護しながら、検疫ソリューションを提供することが可能です。WAN回線越しの通信やファイル共有のパフォーマンスが大幅に向上します」と森屋氏は説いた。

セミナー当日の様子

　セミナー当日は、序盤から満席の来場者が熱心に耳を傾け、セキュリティの最新動向と課題の解決方法に対する関心の高さがうかがわれた。