セキュリティ製品導入の「二極分化」〜セキュリティ対策の企業責任〜Security&Trust ウォッチ(5)

» 2002年09月21日 10時00分 公開
[須藤陸@IT]

セキュリティ製品の浸透程度は?

 一口に「セキュリティ製品」というが、その内訳は多種多様だ。このSecurity&Trustフォーラムに関心を持っている人ならば、ファイアウォールプロキシサーバ不正侵入検知システム(IDS)VPNなどの暗号化認証システム、ウイルス対策ソフトウェアあたりはぱっと思い浮かぶだろう。

 では、いまあなたが勤めている会社では、このうちどれを導入しているだろうか? 答えは業種や職種、企業の規模によって異なってくるはずだ。場合によっては同一の企業であっても、部署によって違うこともあるだろう。

 それでも、大まかな傾向ならばある。セキュリティ製品の中にも、かなりの程度浸透している製品群と、まだ先進的な企業での導入にとどまっており、これから普及するかどうかが問われるものとがあり、いわば二極に分かれている状態だ。

痛い目を見ないと分からない?

 このうち「普及」側の代表例が、ウイルス対策ソフトウェアだろう。シマンテック、トレンドマイクロ、ネットワークアソシエイツといった各ベンダに尋ねてみても、昨年から今年にかけて、いっそう導入が進んだという手ごたえを感じているという。中でも著しいのは、電子メール経由で感染を広めるウイルスをブロックする、ゲートウェイ/サーバ向けの製品だ。

 こうしたベンダ側の声を裏付ける数字もある。総務省が先日発表した「情報セキュリティ対策の状況調査」(http://www.soumu.go.jp/s-news/2002/020913_5.html)の結果によると、回答した企業のうち中小企業では約77%が、大企業では約95%がクライアント用のウイルス対策ソフトウェアを導入しているという。同様に、サーバ用ウイルス対策ソフトウエアの導入比率も向上しており、大企業だけで見れば81.5%にも達している。

※この調査結果は、総務省が、2002年の2〜3月にかけて上場企業2061社を対象に、また5〜6月にかけて非上場の中小企業3000社を対象にそれぞれ行いまとめたものだ。有効回答数はそれぞれ541社、951社である。


 ではなぜ、ウイルス対策製品がこれほど普及したのか。最大の理由の1つは、ウイルスによる被害とリスクが顕在化したことにあるだろう。

 記憶はやや薄れかかっているかもしれないが、ちょうど昨年のいまごろは、CodeRed、Nimdaといった感染力の強いウイルスが相次いで登場し、その対策に追われていたものだ。電子メールがビジネスツールとしての地位を確立しつつあったこともあり、その影響は甚大だった。ベンダだけでなくセキュリティ関連機関やコミュニティから、早急に対策を取るよう、たびたび警告が発せられたものだ。

 これを受けて、ウイルス対策ソフトウェアの導入がいっそう進展するとともに、「OSやアプリケーションには常に最新のパッチを適用する」「ウイルス対策ソフトウェアはインストールしたら終わりではなく、常に最新のパターンファイルをダウンロードし、適用する」「添付ファイルやHTMLメールは不用意に開かない」といった、セキュリティに関心のある層にとってはごく基本的な原則が、一般のユーザーにも徐々に浸透してきたようだ。

 上記で紹介した総務省の調査でも、例えば「添付ファイルやHTMLメールを不用意に開かない」対策については、大企業では53%が、中小企業でも44.3%が、ここ1年以内で実施するようになっている。

 ここで注目したいのが、同じ調査における「セキュリティ侵害の内容」である。回答した企業のほぼ半数が何らかの「セキュリティ侵害」を受けており、そのうち中小企業では94.4%が、大企業では96%が「ウイルス・ワーム感染」があったとしているのだ。この数字は、ウイルス対策ソフトウェアの導入率の高さと決して無関係ではあるまい。残念ながら、直接もしくは間接的に目に見える被害がない限り、対策は急には進まないというのが実情だ。

見えない脅威こそ脅威

 これに関連して、もう1つ気になることがある。大企業では39%が、中小企業では50.1%が「侵害は発生していない」と回答しているのだが、その一方でファイアウォールや各種サーバ、IDSのログを取得し、監視している企業の比率は決して多くないのだ。中小企業に限っていえば、「アクセスログの監視や取得は行っていない」とする企業が44.4%に上っている。

 しかしながら、「侵害などない」と答えている企業であっても、きちんとログを監視し、不審な動きがないかどうかの監査を行えば、ウイルスやワーム以外のセキュリティ侵害が見つかる可能性は高いと考えられる。そして本当に深刻なのは、ウイルスのように分かりやすい被害を与えるものよりも、把握しにくいところでひそかに情報を盗み取ったり、ほかのシステムに対する攻撃の踏み台として悪用されることの方なのだ。

 やや乱暴な例えかもしれないが、これでは「品質検査(ログ管理やセキュリティ監査)は行っていませんが、目に見える苦情(Web書き換えやひぼう中傷、SPAM中継などの分かりやすい被害)もないため、不良品(セキュリティ侵害)はありません」と公言しているようなものではないだろうか。だが、この論法が破たんしていることは、いうまでもないだろう。

 多くの企業にとって、セキュリティ対策は決して本業ではない。セキュリティに関してそこまで神経質になる必要が分からないという声も依然としてあるだろうし、理解はあってもその予算が確保できないといった事情があるかもしれない。

 だがここはあえて断言したい。インターネット、ネットワークを利用するということは、それだけの責任と手間を負うことでもあるのだ。利便性、コスト節減といったインターネットの明るい面だけを享受し、セキュリティなどの責任は「よく分からない」で済ませられる時代は、もう終わりつつある。

もう1つの二極分化

 ウイルス対策ソフトウェアやファイアウォールの導入率が8〜9割に上る一方で、IDSやVPN、脆弱性検査といった対策については2割以下と、製品分野によって大きく導入率は異なっている。だがそれ以上に深刻なのが、企業規模による導入比率の違いだ。

 ログの監視については先に紹介したとおりだが、不必要なポートの閉鎖をはじめとする不正アクセス対策を「実施していない」と回答した企業の割合は、大企業が28.3%であるのに対し、中小企業では57.1%と半数を超える。中小企業の場合、外部からのアクセス時の認証についても、「特に何も行っていない」のは、大企業が2.8%にとどまっているのに対し、中小企業では24%と極めて多い。こうして見ると、セキュリティ対策は、企業規模によっても二極に分かれているといえそうだ。これに「都市部と地方」という要素を加味すれば、さらに興味深い結果が出たかもしれない。

 理由はいくつか挙げられるだろう。「予算不足」「上層部の理解がない」「人材不足」「ノウハウ不足」……いずれも一朝一夕に解決できる問題ではないが、セキュリティ対策も待ったなしであることも事実だ。

 ここで、有力なサポートとして考えられるのが、ISPやシステムインテグレータが提供している、セキュリティサービスの活用である。現時点で、手軽な価格で提供されているのはウイルス対策やファイアウォールの運用・監視程度にとどまっており、ログの監査や分析、IDSの運用・監視や脆弱性検査といったサービスになると、見積もりベースで高額なものが中心となってしまう(サービスには相応の対価を、と考えると仕方ないかもしれないが)。

 この部分をうまくクリアし、値ごろ感のあるサービスが提供されるようになれば、企業の規模にかかわらず、セキュリティレベル全体の底上げにつながるだろうと期待できるのだが……。そんな理想的なビジネスモデルを思い付くならば、まず自分で始めたいところだ。


Profile

須藤 陸(すどう りく)フリーライター

1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。