【セミナーレポート】 社内の脅威を回避するための具体策とは

IDC Japan セキュリティリサーチマネージャー 花岡秀樹氏

　まず基調講演に登壇したのは、IDC Japanのセキュリティリサーチマネージャーである花岡秀樹氏。「今後ますます重要になる情報リスクマネジメント投資の見直し」と題して講演を行った。

　ITにおける脅威といえば、かつてはネットワークの外から入り込んでくるものだった。しかしここ数年、社内に存在する脅威へと企業のセキュリティ担当者の興味は移っているという。これに呼応するように、内部統制やリスクマネジメントがドライバとなりマーケットを牽引している。こうしたマーケットの現状を紹介した後、花岡氏は現在のセキュリティ対策の取り組みはバランスに欠けていると指摘した。

　セキュリティ対策の要として頻繁に例に挙げられるCIA、つまり機密性、完全性、可用性のうち、可用性だけがおきざりにされているというのだ。機密性や完全性も重要だが、企業を一システムとして見た場合の可用性や、利便性が重視されていないセキュリティ対策は従業員のモラル低下やビジネス機会の損失を招く危険性がある。

　実例として花岡氏は、メール内容をスキャンする情報漏えい対策製品を導入したが、システム負荷が高いため、メールにZIPファイルの添付を認めない運用をしていた企業の例を紹介した。実際にはその企業では、ZIPファイルの拡張子を書き換えてメールに添付するという操作が常態化してしまった。これではセキュリティが向上するどころか、脅威が潜在化し、より危険な状態に陥ってしまう。こうした事態を招かないために、これからのセキュリティ対策においてはセキュリティと利便性のトレードオフの精度を高めていくことが求められるだろうと、花岡氏は言う。

　本来、企業のITは情報リソースを広い相手とやりとりすることで価値を生み出していくためのものだ。その基本に立ち返り、これまで機密性、完全性を優先されてきたセキュリティのバランスを見なおすことで得られるメリットに注目していかなければならない。軽減されるリスクだけではなく、業務の効率性や有効性をも考慮した指標でセキュリティ投資効果を判断していくべきだと、花岡氏は講演を締めくくった。

NEC 第一システムソフトウェア事業部 マネージャー 三浦一樹氏

　続いて、具体的なソリューションやセキュリティ対策の手法を紹介するセッションへとセミナーのプログラムは進んだ。「（脅威の見える化）＝（既存資産）＋（InfoCage）」というタイトルで講演を行ったNEC 第一システムソフトウェア事業部 マネージャーの三浦一樹氏は、最初に事前アンケートの結果を紹介した。先の花岡氏の講演にあったとおり、セミナー参加者の多くは社内の脅威に注目している。さらに、ほとんどの参加者の企業ではすでにいくつかのセキュリティ対策が導入されており、今後に向けてよりセキュリティレベルを強化していくための具体策を求めていることがわかった。

　一方、企業の競争力を高めるためにはITシステムの強化と運用コストの削減の双方が必要だと説明。コストを抑えながら効率的にセキュリティ投資を行っていくためには、現状を把握して既存資産を活かすこと、管理の階層化や自動化により運用コストを抑えること、セキュリティと利便性のバランスを保ち業務効率を向上させることが重要だ。

　ITシステムだけの取り組みではなく、業務プロセスや人の振る舞いにまで視野を広げ、総合的にマネジメントしなければならない。そうした思想を背景に、NECでは協調型セキュリティという考えを取り入れ、セキュリティソリューションを展開していると三浦氏は述べた。協調型セキュリティとは、個別のテクノロジを連携させることでリスクを組織的にマネジメントする手法のこと。NEC製品だけではなく、各分野のトップベンダをビジネスパートナーとし、それぞれの機器とも連携を図っていく。トップベンダの製品であれば企業への導入例も多く、既存資産を有効活用してもらいやすいという。最新の例では、InfoCage NetworkシリーズとF5ネットワークスのSSL VPN装置FirePassとの連携を実現している。

　三浦氏はさらに個別のソリューション例としてPC検疫によるセキュリティポリシー未適用PCの排除や、認証印刷による紙文書とデジタル情報の統合管理についても紹介した。そして最後に、協調型セキュリティで静的なマネジメントから動的なマネジメントへと段階的に強化していくことで、リスクを見える化し、効率的なセキュリティ投資を実現できると語って講演を終えた。

F5ネットワークスジャパン プロダクトマーケティングマネージャ 帆士敏博氏

　休憩をはさんで壇上に立ったのは、F5ネットワークスジャパンでプロダクトマーケティングマネージャを務める帆士敏博氏だ。同社のSSL VPN装置FirePassを活用したセキュリティ強化の具体策を、「リモートアクセスにおけるセキュリティ指南」と題して講演を行った。帆士氏はまず、先の講演でInfoCageとの連携が可能だと紹介されたFirePassについて、簡単に紹介した。

　FirePassはSSL暗号を利用したリモートアクセス装置で、国内のSSL VPNマーケットでは2005年度から3年連続でトップシェアを誇る。携帯電話でも利用可能な点や設定画面からオンラインマニュアルまで徹底して日本語化されている点などが受け入れられているのではないかと、帆士氏は言う。そのFirePassがInfoCageと連携するのは、リモートアクセス時のPC検疫機能だ。

　帆士氏は実際にFirePassへログインする操作デモを行いながら、セキュリティ強化のポイントを説明した。FirePassにはログイン前にPCのセキュリティ状態をチェックするエンドポイントセキュリティ機能が備わっている。この機能とInfoCageを連携させ、セキュリティポリシーが適用されたPCのみを社内ネットワークに接続するよう設定できるのだ。ポリシーに沿わない場合はログイン画面が表示されず、検疫ネットワークへと誘導される。こうした説明ののち、いくつかの導入事例が紹介され、帆士氏の講演は終了した。

NEC 市場開発推進本部マネージャー 伊藤篤史氏

　帆士氏に続いて登壇したのは、NEC市場開発推進本部マネージャーである伊藤篤史氏だ。「電子・紙の情報を統合的に管理して京子なセキュリティを維持！」と題した講演では、紙文書と電子データが混在する現在のオフィスにおける情報管理の具体策が示された。さまざまな情報がPCで作られるが、それらの多くは紙に出力して使用される。実際のオフィスでは非常に多くの紙文書が利用されており、それらは電子データとは違って効率的に管理するのが難しい。しかし、PL法への対処や先使用権の証拠確保などの法的要件もあり、管理された状態で文書を保管しなければならない状況が多くなっている。

　それを解決するソリューションとして伊藤氏が紹介したのが、NECが提供する長期保管システムだ。紙文書を電子化し、文書管理システムに取り込むことで電子データとの統合管理を実現する。紙文書の入力時には署名を付与することで原本性を確保し、紙に出力する際は認証印刷を利用する仕組みで、紙と電子データの出入り口を制御する。いつ、誰が、どの情報にアクセスしたのかを記録することで、情報の持ち出しをトレースできるようにしておくことも重要だと、伊藤氏は説明した。

NEC UNIVERGEソリューション推進本部 マネージャー 宮永直樹氏

　最後のセッションで「ID管理の適応領域とネットワーク構築手法」と題する講演を行ったのは、NEC UNIVERGEソリューション推進本部マネージャー、宮永直樹氏。日本版SOX法が施行されたことで内部統制への関心が高まっていることをアンケート結果などで示したのち、その中でもID統合管理への要求が高まっていると指摘した。さまざまなITシステムが利用されているが、多くの企業ではそれぞれのシステムで個別にIDやパスワードを管理しているのが実態だと、宮永氏は言う。

　これを統合管理するソリューションは現在広まりつつある段階だが、NECではさらに一歩先を見据えたソリューションを展開している。IDを統合管理するだけではなくNACと連携させることで、ネットワーク上でも認証、アクセス制御を行う仕組みだ。企業のLANでは個人PCの持ち込みや不正なユーザーのネットワーク利用など、アプリケーションだけでは解決できない問題が起こっている。ネットワークに認証を用いることで、これらの問題に対処するのが目的だ。宮永氏はいくつかの構築例を挙げてメリットを紹介したのち、認証、アクセス制御、ログ管理までをひとつのシステムとして捉えることが、これからのネットワークには必要だと説いた。

　こうして、セキュリティ市場の動向から具体的な最新ソリューションまでを網羅するセミナーは幕を閉じた。会場には多くの参加者が集まり、セキュリティ市場の動向や最新ソリューションに関する講演に耳を傾けており、企業が取るべきセキュリティ対策の変化とその対応への注目度の高さがうかがわれた。