IT界の埋蔵金? 手付かずのセキュリティコストと戦う:セキュリティ、そろそろ本音で語らないか(1)(1/3 ページ)
あなたの会社は、従業員に負担を強いるセキュリティ対策を行っていませんか? 本連載ではコンサルタントの視点から「やったつもりの対策」や「やる気をそぐ対策」、「守れもしない対策」を本音で語り、これらも含めた「情報セキュリティコスト」を考えます(編集部)
筆者は日本における情報セキュリティビジネスの黎明(れいめい)期からこの世界にかかわってきており、1995年よりセキュリティビジネスの立ち上げ、セキュリティコミュニティ主催者、脆弱(ぜいじゃく)性発見者、緊急対応案件対応、上場企業トップを経て、物理セキュリティとの融合の模索、情報セキュリティアドバイザーなどさまざまな経験をしてきました。そのような経験から、これまで積み重ねられてきた情報セキュリティ対策の棚卸しと再構築、そしてシステム化の追求による情報セキュリティにかかわるコストの削減こそが、いま求められているソリューションであると確信しています。
そこで、本稿から数回にわたって、これまで行われてきた情報セキュリティ対策にあえて問題提起することによって、これまで当たり前と思われてきた対策の見直しを提案したいと思います。内容には一部偏った見方のような表現があるかもしれませんが、理解をしやすくするための表現方法とご容赦いただければ幸いです。また、いままでいえなかったけどここで書かれていてホッとした場合には、心の中で拍手を送ってもらえればうれしく思います。
第1回では、これまでの日本における情報セキュリティ対策の歴史や経緯について、ユーザー目線や業界目線を織り交ぜながら展開していきたいと思います。
「対症療法の繰り返し」の歴史
筆者は1995年から情報セキュリティビジネスに携わってきました。いま振り返ると、それは対症療法の歴史でもありました。
1995年当初はウイルスくらいしか脅威はなく、いまでいう不正アクセスはホームページのイタズラによる書き換えくらいしかありませんでした。このころの情報セキュリティ対策といえば、フリーのファイアウォールとワクチンくらいでした。
その後、ホームページの改ざんが社会問題となり新聞に掲載されることもありました。また、大規模メール添付ファイル型ウイルス、大規模ワームなど起こり始めて、そのたびに「そんなことがあるのでコレ買いましょう」という、いまの情報セキュリティビジネスの流れができあがりました。イソップ物語にもあるように、オオカミの話をして怖がらせるという定番セミナーの始まりです。よく私にも「観客に必要性をアピールできるような内容で話してくれ」と依頼が来たものでした。必要性をアピール=怖がらせる、ということです。
個人情報漏えい、内部統制と時代は変わり、一方でSQLインジェクションに代表されるWebアプリケーションのセキュリティ対策もブームとなりました。現在もそのブームは続きつつありますが、そろそろ次の脅威が現れないと業界が持たないぞ、とささやかれている今日このごろです。
さて、ユーザー側に立って見てみると、対症療法的に導入されたシステムが動き続けており、筆者もコンサルタントの立場で見せていただくと、ムラが多い状態になっていることがよく見受けられます。
情報セキュリティの歴史が新たな脅威への対応の歴史であることから、整合性や統合性が取れていないのはむしろ当然の結果でしょう。しかも、インターネットそのものが急速に進化を遂げていたときでしたから、基本的なテクノロジーそのものも進化していったのです。
インターネットとイントラネットの対策の混在
セキュリティというとインターネットから始まったように思われる方も多いと思いますが、実は企業がインターネットに接続される以前には、フロッピーディスクからのウイルス感染が主な関心事だったのです。インターネットではなく、イントラネットからセキュリティ対策の歴史は始まっているのです。
その後インターネットにおけるWebサーバの改ざんが主なセキュリティ対策の関心事になってきました。余談ですが、筆者も1998年当時には、ホームページの改ざんが大変な脅威である、というようなセミナーを開催していたものでした。しかし、そのころの私のセミナーの資料を見てみると、「イントラネットのセキュリティ対策が始まったときがセキュリティビジネスの本当のチャンスが来る」と書いていました。
インターネット側の対策は主にハッカー(もちろん悪い意味での)やワームなどの外部からの、見えない「なにかとんでもなく悪いヤツら」からの攻撃を防ぐ、ことがメインテーマでありました。従って、ファイアウォールというのはごく自然なソリューションでした。
当時のファイアウォールはソフトウェアタイプで、OSをインストールし、自分で要さい化してからファイアウォールソフトウェアをおもむろにインストールする、といういまでは考えられないような作業が行われていて、私が立ち上げたばかりのセキュリティ事業部はこれで忙しい日々を送っていました。
しかしながら、これも急速にアプライアンス化が進みました。同時に台頭してきたのが、これまたソフトウェアタイプのIDSでした。サーバインストールタイプのIDSもありましたが、それらもアプライアンス化の道を進みました。ところが、このIDSの検知性能が高度なチューニングなしでは期待どおりでないことが多く、このIDSチューニングをなりわいとする監視ビジネスなるものが登場しました。
このようにインターネットからインターネットのサーバへの攻撃に関心が集まっていたころに、イントラネットで増殖するタイプのワームが登場し、一気に社内ネットワーク防御のための対策が進み始めました。検疫なる考えが始まったのはこのころです。社内に無防備なPCが多いので、外から感染したPCが持ち込まれると感染が爆発的に広がってしまう、という前提から考えられたシステムです。
その後、資産管理や情報漏えい対策も付加されるようになり、PCには複数の常駐系の監視・管理のソフトウェアが起動されるようになりました。社内サーバでのファイルアクセスログの収集、データベースセキュリティの導入など、社内は単機能の多くの製品が重なるように導入されていきました。
そもそもの脅威の元がインターネットとイントラネットで違うことから、それぞれが統合されることはありませんでした。1つ1つの対策そのものが高度な技術を要していたために、最初から統合製品が出ることがなかったということも原因の1つでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.