「改正個人情報保護法」の施行が迫る! 機密データを効果的に守るためのポイントは?──「オラクル・セキュリティ・フォーラム 2017」レポート:情報セキュリティは企業の“イノベーションを守る楯”(1/4 ページ)
「改正個人情報保護法」の施行が迫る中、企業が自社の情報セキュリティ対策を見直す動きが活発化している。日本オラクルと富士通が2017年2月に開催した「オラクル・セキュリティ・フォーラム 2017」では、両社のエキスパートが参集し、個人情報を効果的に守るためのポイントを解説した。[セキュリティ対策][Database Security]
サイバー攻撃の脅威の本質は“イノベーションの弊害”
「改正個人情報保護法(*1)」が全面施行される2017年は、企業の情報セキュリティ対策の在り方が大きく変わる年となりそうだ。
日本オラクルは2017年2月、同法への対応を進める企業を対象としたセミナー「オラクル・セキュリティ・フォーラム 2017」を富士通の協賛を得て開催。情報セキュリティに関する両社のエキスパートが講師として参集した同セミナーでは、情報セキュリティの最新動向や企業情報セキュリティの観点から見た改正個人情報保護法のポイント、それらに対応した効果的なセキュリティ対策の在り方が示された。
*1:現行の「個人情報の保護に関する法律」(2005年4月施行)に対して、2015年9月に大幅な改正が行われた。個人情報保護委員会の設置など一部は2016年1月に施行済みであり、その全面施行が2017年5月に予定されている
セミナーで初めに登壇したのは、富士通 サイバーディフェンスセンターでマネージャーを務める傍ら、独立行政法人情報処理推進機構(IPA) セキュリティセンター研究員や東京電機大学 サイバーセキュリティ研究所 研究員などとしても活躍するセキュリティマイスターの佳山こうせつ氏だ。
今日、多くの企業が機密情報の漏えいやWebサイトの改ざんなどの被害を受けている。これらを防ぐには「巧妙化した攻撃をいかに検知するかがポイント」といった指摘が聞かれるが、佳山氏は「問題の本質はそこではない」と断言する。
「確かに、ウイルスに感染すれば大変なことになりますが、本当に攻撃が巧妙化しているかどうかについては疑問が残ります。また、攻撃を検知するためだけのIT投資とは、いわば“守りの投資”であり、企業に利益を生み出すものではありません。そのため、経営者に投資の目的を納得させるのが難しい場合もあるでしょう。しかし、事実としてサイバー攻撃への対処は経営課題であり、そのための投資は企業にとって不可欠です。なぜなら、それによって企業のイノベーションに弊害が及ぶからです。実際、サイバー攻撃は新しいイノベーションが起きた分野に甚大な被害をもたらしています。皆さんは、このことを経営者にきちんと説明し、必要な経営判断を引き出さなければなりません」(佳山氏)
サイバー攻撃がイノベーションに弊害を及ぼした一例として佳山氏が挙げるのが、海外のマンション管理会社のシステムが攻撃を受け、管理していたマンション2棟の暖房が停止したというインシデントだ。
「この企業はセンシング技術などのイノベーションを巧みに利用してオンラインでマンション管理が行える仕組みを構築しました。本来なら、この仕組みを作った企業は『素晴らしいイノベーションを起こした』と称賛されるべきです。ところが、サイバー攻撃を受けたことで逆に非難されてしまう。せっかく価値のあるイノベーションを起こしたのに、サイバー攻撃によってそれがマイナスになってしまうというわけです」(佳山氏)
「全体最適」の視点でバランスの取れたセキュリティ対策を
こうしてイノベーションが阻害されれば、その後の企業活動に大きな支障が生じる可能性がある。佳山氏は、「サイバー攻撃の脅威を無視することは、新しい事業を生み出す先進的なアイデアとエネルギーを奪ってしまうことを意味し、そこにセキュリティ対策の必要性が生まれます。安心してイノベーションに投資していけるようにするために、今こそ土台となる強固なセキュリティが必要なのです」と力説する。
それでは、具体的にどのような対策を講じるべきなのか。ここで佳山氏がキーワードとして挙げるのが「全体最適」だ。「サイバー攻撃には、いくつかのステップがあります。例えば、攻撃対象者がよくアクセスするWebサイトを調べ、そこを改ざんしてマルウェアを仕掛け、感染したら外部からの命令を受けられる状態にして、さらに攻撃のためのツールを次から次へと送り込むといった流れになります。こうした攻撃のステップを踏まえて、どこかで攻撃者を捕捉するための対策を全体最適の視点で組み込んでいくべきなのです」と佳山氏は説明する。
「例えば、マルウェアの侵入には入口対策とエンドポイント対策で対処し、外部との通信路の確立やサーバとの不正通信は出口対策や内部対策で防ぐといった具合です。さらに、もしこれらが突破されてしまった場合にはログを取得/保全して説明責任を果たせるようにするなど、システム全体でバランスの取れた設計を考えることが何よりも重要です」(佳山氏)
統合的にデザインすることがセキュリティの強化につながる
佳山氏がもう1つのポイントとして挙げるのが「攻撃者が歩く経路を狭める」ことである。
「攻撃者がどこにでも行けるようなフラットなネットワークにするのではなく、メンテナンスなど業務上の通信経路も踏まえた設計とし、不必要な経路は遮断します。例えば、入口が2つであれば監視カメラは2つで済みますが、たくさんの入口がある場合、その分だけ監視カメラが必要になります。こういった観点で攻撃者が歩ける経路を狭めれば、それが監視の強化につながるのです」(佳山氏)
ただし、セキュリティの強化を意識しすぎるあまり、業務運用にまで悪影響を及ぼしては本末転倒だ。業務上、必要な経路は開きつつ、適切に監視を行うことが肝要というわけである。佳山氏は最後に、次のように全体最適の重要性を強調してセッションを終えた。
「システムを設計する際やイノベーションを起こすためのプラットフォームを構築する際、セキュリティは全体最適の視点で設計してください。さらに言えば、IoTのためのセキュリティ対策、あるいはウイルス対策といった個々の対策を考える前に、業務全体のデザインとセキュリティのデザインを合わせて統合的にデザインします。こうすることで皆さんが取り組むセキュリティ施策の価値が一層高まり、セキュリティのための投資ではなくイノベーションのための投資として説明し、経営者から必要な投資を得やすくなるのです」(佳山氏)
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年5月23日
Copyright © ITmedia, Inc. All Rights Reserved.