より広い観点に立ち、企業価値を高めるセキュリティ投資を

情報保護と企業の成長を両立させる新しいセキュリティリスクマネジメントが求められている

NEC マーケティング本部 上席アドバンストテクノロジスト，CISSP 則房雅也氏

　「ネットワークの急速な発展は、誰もが簡単に情報にアクセスできる環境を実現しました。しかしその一方で、あまりにたやすく情報を入手できるため、企業にとってはますますシビアなセキュリティ対策が要求されるという負の側面も生まれています。とくに2000年を越えたあたりからは、ブロードバンドなどメガバイト級の通信インフラが普及した結果、情報量が人手で管理できるレベルを超えてしまいました。ここに情報漏えいやコンプライアンスといった問題が加わって、企業のネットワークセキュリティ環境はますます厳しくなってきています」と語るのは、NEC マーケティング本部 上席アドバンストテクノロジストの則房雅也氏だ。同氏は、こうした複雑なセキュリティマネジメントが情報活用をがんじがらめに縛り、ややもすれば今後の日本企業の活力を削ぐことになるのではないかと懸念する。

　「企業ネットワークの世界では、今後さらに新しい動きが出てくるのが確実です。SaaSやWeb2.0といった潮流に対応する上で、厳しいだけのセキュリティリスクマネジメントでは対応できません。しかし多くの企業経営者はそのことに気づかず、目前のセキュリティ対策に追われているのが実状です。もちろんセキュリティは非常に大事ですが、グローバルなビジネスの成長に追いついていくために、情報保護と企業の成長をバランスよく実現する、新しい視点からのセキュリティリスクマネジメントが今求められているのです」。

「個別のツールをバラバラ導入」ではなく、企業価値向上の視点に立ったセキュリティ投資を

　こうした課題を踏まえて則房氏は、セキュリティ投資の判断にも「企業価値向上」という視点を導入すべきだと指摘する。たしかに現在の企業経営者は、いかに情報を守るかという１点に集中して対応を迫られている。セキュリティ脅威の増大に加え、ステークホルダーや取引先からのセキュリティ強化の要請、そして日本版SOX法などの法制度の強化などが、さらに厳格なセキュリティ構築の要求を突きつけてくるのだ。

　「IT市場の成長率データを見ても、セキュリティに関する投資は全体の15％近くにのぼり、依然企業の関心が高いことを裏付けています。しかしその投資が適切かどうかというと、これははなはだ疑問です。というのも、現在のセキュリティ脅威は日々刻々と変化し続けており、従来のような個別のツールだけでは防ぎきれなくなっているからです。その上、個々に導入したツールやシステムが互いに不整合を引き起こし、運用負荷の増大や混乱を招いている事実があります」。

　セキュリティを確保しようと導入し続けてきたシステムが、部分最適の積み重ねの果てに組織全体の機能不全を招いているとは何とも皮肉な話だが、ではこうした事態に対して、今後の企業のネットワークセキュリティ管理はどのような方向を目指し、どういった対策を講じていくべきなのだろうか。則房氏はまず、単機能のツールを個別に導入する従来の方法ではもはや済まないことを認識し、組織全体にわたる広い視点からのマネジメントというレベルで考えること、そのために、多数導入されたセキュリティツールを、どうまとめて管理していくかを考えることが必要だと語る。

　「具体的には、『何をどこまで管理するのか』、『きちんと管理できているか』といった、“一定レベルのセキュリティ確保”、一方で、脆弱性や脅威がつねに変化している事実を踏まえた上で、“動的に必要なレベルを維持”を両輪とした管理体制です。『このツールさえ入れておけば』といった硬直的な管理ではダメで、セグメントごとのセキュリティを組み合わせ、階層構造により効果的にリスクを封じ込めるセキュリティリスクマネジメントが必須です」。

NECの提唱する「協調型セキュリティ」が、堅牢かつフレキシブルな情報保護を実現

　ここでぜひ注目したいのが、NECがこれまでも提唱してきた「協調型セキュリティ」というコンセプトだ。これは今まで個別のセグメントや階層ごとに適用されてきたセキュリティ対策を連携させ、個々の対応ポイントに生じた脆弱性を互いにカバーし合うことで、強固でしかも柔軟なセキュリティを全体で実現するという考え方である。すでにNECでは、このコンセプトのもとで開発されたセキュリティ対策ソフトウェア「InfoCage」をリリースして、各企業におけるセキュリティ環境の確立に大きな実績を挙げているという。

　「業務アプリケーションやシステムそのもののセキュリティレベルを確保する『システムセキュリティ』、サーバやネットワーク、周辺機器などを管理する『プラットフォームセキュリティ』、そしてセキュリティレベルを見える化して診断・管理する『セキュリティマネジメント』。これらが三位一体となって互いに協調・連携することで、情報資産やビジネス、企業価値といった、本来セキュリティリスクマネジメントが守るべきものを確実に守るという考え方ですね」。

　「協調型セキュリティ」は、企業のセキュリティリスクマネジメントに柔軟さをもたらし、おのおのの対象に最適化された管理を可能にしてくれる。その好例が「セキュリティリスクマネジメントのサイクル」だ。これは1日24時間のうち、業務の動きや時間帯に応じてマネジメントの内容を変化させ、もっとも効率の良いセキュリティリスクマネジメントを行うモデルである。

　「たとえば業務開始前の1時間を『静的マネジメント』、残りの23時間を業務時間中とした『動的マネジメント』に分けます。仕事が動いていない時間帯は管理者がシステムの脆弱性を診断・把握したり、その対策を講じたりする作業にあて、残りのビジネスが動いている間は、そこで決められた対応ルールにもとづいて、リアルタイムでのシステム監視を行います。ビジネスが動いている間は目を離さず、何か起きたら即対応できるようにするのです」。

　静的マネジメントの場面ではシステムセキュリティやセキュリティリスクマネジメントのツール群が活躍し、動的マネジメントの時間帯はプラットフォームセキュリティの監視ツールなどが目を光らせることで、堅牢でフレキシブルなセキュリティリスクマネジメントが実現するというわけだ。「協調型セキュリティ」がもたらすマネジメントのメリットが一目で把握できる好例といえよう。

「見える化」と「自動化」をキーワードに、セキュアで自由な情報活用の可能性を今後も追求

　上で紹介した「セキュリティリスクマネジメントのサイクル」には、「協調型セキュリティ」の重要なポイントとなる2つのキーワードが含まれている。「見える化」と「自動化」だ。

図：セキュリティリスクマネジメント：「見える化」と「自動化」

　前者は、ネットワーク機器がどこにどういう形で配置されているのかを数値で把握する、セキュリティ対策状況を閲覧する、ログの取得による稼働状況を把握するといった一連の機能を指す。客観的なデータによって、システムのセキュリティ状況を明確に把握するのだ。

　もう一方の「自動化」は、システムの情報収集から分析、インシデントの発見、遮断、アラートといった一連の対応を、システムが自律的に行うことを指している。これによって、問題発生時の対応を正確かつ迅速に行い、管理者の日常的な作業負荷を軽減するというメリットがもたらされる。

　「この2つのキーワードをシステム的に実践することができれば、セキュリティリスクマネジメントのレベル統一と均質化、さらに管理者間での情報共有が可能になります。この結果、セキュリティリスクマネジメントへの投資を必用最低限に抑えながら、より自由度の高い情報活用によってビジネスを活性化し、企業価値の向上に貢献できるのです。今まではセキュリティ強化というと、『使わせない』、『見せない』といった、企業活動にとっては妨げになる方向に向かいがちでした。しかし『協調型セキュリティ』は、セキュリティレベルを高く維持しながら、情報を大いに活用していくことを目指しています。セキュアな環境下でITを有効活用することによって、ユーザー企業がより価値の高いビジネスを展開できるよう、これからもNECは『協調型セキュリティ』にもとづいた多彩なソリューションをご提供していきたいと考えています」。

　企業の競争力を強化するには、これまでの「ひたすら守る、隠す」といったネガティブなスタンスから、情報をより安全に活用できる体制づくりへと、セキュリティ投資の視点を変えなくていかなくてはならないと語る則房氏。この主張に、企業の経営者やセキュリティ管理者は大いに注目すべきだろう。