 |
セキュアコンテンツマネジメント
企業に求められるセキュリティ対策「SCM」とは何か
楠木秀明コンピュータ・アソシエイツ株式会社
2004/8/12
SCMという略称を、お聞きになったことがあるでしょうか?「SCM」と聞けばほとんどの方が「Supply Chain Management:サプライチェーンマネジメント」を連想するでしょう。しかし欧米では、同じ略称で「Secure Content Management:セキュアコンテンツマネジメント」という概念が登場してきています。
このSCMという言葉は、まだ日本ではあまりなじみがない言葉だと思います。SCMを簡単に説明しますと、ネットワーク上を流れる情報(コンテンツ)の安全を確保するためのいくつかの対策を総称したものです。
調査会社の米IDCの昨年の調査報告(出典:IDC
2003年8月6日付プレスリリース)によると、SCM製品の市場規模が年間平均成長率19%で増加し、2007年には64億ドルに達すると発表されています。その報告を裏付けるように、日本においてもWebやメールの利用に何らかの制限を設ける傾向が見受けられます。
 |
インターネットと切り離せない日々の業務 |
なぜSCM対策が必要とされるのでしょうか。現在、企業における多くの業務がコンピュータ化され、インターネットと接続しています。警察庁生活安全局生活安全企画課が2003年12月にまとめた「 不正アクセス行為対策の実態調査」によると、インターネットの接続の主な目的は、「各種情報収集(96.4%)」と「電子メール(96.1%)」の2つであるという報告があります。
| 【不正アクセス行為対策の実態調査】 http://www.npa.go.jp/cyber/chousa/H16countermeasures.pdf |
まだコンピュータ化されていない手作業の業務もあるものの、それらはe-Japan計画に代表されるようなインターネット上でのサービスを目的として、さらにシステム化されていくと予想されます。その結果、必然的に安全の確保、つまり情報セキュリティ対策が求められるのです。
|
安全確保のための情報セキュリティ対策 |
では現在、安全の確保のためにどのような対策を実施しているでしょうか。財団法人日本ネットワークセキュリティ協会(JNSA)の「2003年度情報セキュリティインシデントに関する調査報告書」第一部 情報セキュリティのインシデントに関する調査および被害算出モデルによると、ファイアウォールとクライアントPCのウイルス対策が情報セキュリティ対策の大多数を占めており、インターネットに接続する際の基本対策になっているといえます。さまざまな対策が存在する中、この2つの基本対策以外は、企業によって対策状況が異なっているという事実が浮かび上がってきます。
| 【2003年度情報セキュリティインシデントに関する調査報告書】 http://www.jnsa.org/active2003_1a.html |
しかし、インターネットに接続するという行為はすべての企業で同様であり、背負うリスクも等しいといえるのです。しかしリスクへの対策には、ばらつきが生じています。では、この2つの基本対策が、どのような安全を確保しているのか、そしてどのようなリスクに対応できないかを考えていきます。
●ファイアウォール
ファイアウォールの機能とは、ネットワークの内部と外部とのやりとりにおける不要なサービスやパケットをチェックし、トラフィックを通過させるか拒否するかを選択することです。
現在ほとんどの企業がインターネット経由で、Webとメールを使用しています。つまりこの2つのポートは必ず開いています。ウイルスメールやスパムメール、もしくは悪意のあるユーザーが攻撃を仕掛けてきた場合、さまざまな脅威がファイアウォールのこの2つのポートを通過して企業に入り込んできているのです。
●クライアントPCのウイルス対策
ウイルス対策ソフトは、既知のウイルス情報(ウイルス定義ファイル)を基に被害を食い止めます。ウイルス対策の最大の鍵は、このウイルス情報を常に最新のものにアップデートすることといえます。
しかし近年では、ウイルスは増加する一方で、その感染経路も複雑化してきており、たった1台のPCが何らかの理由で最新のウイルス情報を持っていなかったためにウイルスに感染し、企業全体に被害を及ぼすことも珍しくはありません。
クライアントPCでのウイルス対策は、企業全体から見ると末端(エンドポイント)といえます。末端である個々のマシンに導入するウイルス対策だけでは企業全体のリスクを解消するには至らないといえます。
例えば、クライアントPCだけでなく、サーバマシンにも当然、対策が必要です。また、責任の所在が明確になっていないようなテストマシンなどが感染原因になっていることも少なくはありません。
|
求められる対策 |
上述の2つの基本対策を第1段階とするならば、さらなる安全を確保するために第2段階の対策が不可欠となってきます。例えば、URLフィルタリングや迷惑メール対策、個人情報などの機密性の高いコンテンツ監視などが挙げられます。
この第2段階の対策は、なにも最新の技術を使用しているものではありません。むしろ技術的には確立された技術といえるでしょう。SCMとは、こういった第2段階の対策としてネットワーク上を流れる電子データのコンテンツを一元的に監視するトータルでの対策なのです。
|
SCMの機能 |
SCMは、安全対策の第1段階といえるファイアウォールとクライアントPCのウイルス対策では補えないリスクを解決します。ただし、その対象はインターネットの接続目的の主たる要因であるWebとメールに、ほぼ限定されています。
なぜこの2つのサービスが中心になるのか反論もあるでしょう。この理由として、ファイアウォールで可能な限り不要なサービスは制御しておくことが望ましいこと、ウイルスの感染はWebとメール経由が圧倒的に多いことが挙げられます。また、安全を確保するための第2段階としての対策を促進するために対象範囲を限定しているともいえます。
では具体的なSCMの機能を紹介してきます。SCMは大きく4つの対策で構成されていますが、どれも目新しい技術ではないことがお分かりいただけると思います。
●ウイルス対策
クライアントPC以外のサーバやテストマシンなど企業に存在するコンピュータに包括的なウイルス対策を実施します。また、個別のマシンごとではなく、ネットワーク上を流れるWebやメールというサービス単位で一元的なウイルス対策を実施します。ウイルス定義ファイルの配布や更新も管理サーバから集中的に管理します。
●Webフィルタリング
企業の業務に必要のないURLの閲覧を禁止します。また、企業の業務に必要のない電子データのダウンロードを監視し、違法ファイルや安全でないファイルのダウンロードによって引き起こされるリスクを低減します。この結果、セキュリティが向上されるだけでなく、企業の生産性の低下を防ぐことができます。
●メールフィルタリング
迷惑メールをユーザーに受信させない仕組みを構築し、ネットワークトラフィックの低減と生産性の低下を防ぎます。また、セキュリティポリシーやルールで定義したキーワードやメールアドレスをチェックし、顧客情報や取引情報といった重要機密が社外へ流出することを防ぎます。さらに、添付ファイルのサイズが企業の方針よりも大きい場合にはメールの送受信を禁止することもできます。
●悪意あるプログラムへの対策
Webの閲覧時やHTMLメールに記述された、Java、ActiveX、VBScriptなどをベースにした悪意あるプログラムからユーザーを保護します。
以上のようなさまざまな脅威に対する防御をトータルで実施していくことがSCMの大きな特徴となります。
|
企業の資源を有効活用 |
SCMにおける対策とは、安全の確保のためだけではありません。企業の資源といえる「人・物・金・情報」を効率よく使用することも目的となります。これはインターネットの出現とともに入手できる情報量が大幅に増加し、本来なら企業には必要のない情報が企業内に散乱している現状を打破することを意味します。
具体的には、業務には関係のないWeb閲覧、マルチメディア系データのダウンロード、迷惑メールの受信などです。こういった業務には不要な情報が、企業の資源である人の貴重な時間と、企業のネットワークやコンピュータ資産というものを無駄に消費しています。そして結果的に、それに伴う無駄な経費を捻出(ねんしゅつ)します。
本来、「人・物・金」という資源に、新しく「情報」という資源がプラスされたとき、企業のメリットとなるはずですが、いまのところは「情報」がプラスされた代わりに「人・物・金」という資源がマイナスになっているというのが現状です。この「人・物・金」という資源をマイナスにせずに維持し、必要な情報を安全に取得することが、SCMの目的でもあります。
|
SCMの将来性 |
このようにSCMとは、安全の確保と企業の資源の有効活用に最適といえるでしょう。
繰り返しになりますが、SCMの個々の技術は決して新しいものではなく、いくつかの確立された技術を統合的に実施することになります。ファイアウォールやクライアントPCのウイルス対策だけは守れない、インターネットを使用する場合に考えられるリスクを軽減することが目的です。
例えば、会社の正門と裏口だけをしっかり警備しても、途中の窓が開いていれば意味がないということと同じなのです。ファイアウォールとクライアントPCのウイルス対策の次なるステップとして、SCMを検討してみてはいかがでしょうか。
| 関連リンク | |
| 5分で絶対に分かるファイアウォール | |
| ファイアウォール運用の基礎 | |
| 管理者のためのウイルス対策の基礎 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
