Security&Trust
第9回 読者調査結果
〜2004年のセキュリティ重点課題&対策とは?〜
小柴 豊
アットマーク・アイティ
マーケティングサービス
2004/6/12
大規模ウイルス感染、顧客リストの漏えいなど、ネット社会のダーク・サイドを反映した事件が年々増加している。企業ネットワークのセキュリティ管理者は、いまどのような課題に心を砕き、今年度どういう対策を取ろうとしているのだろうか? @IT Security&Trustフォーラムが実施した第9回読者調査の結果から、その状況をレポートしよう。
■喫緊のセキュリティ課題とは?
はじめに、読者がかかわるネットワークで、現在対策が求められているセキュリティ課題を尋ねた結果が、図1だ。課題として「ネットワーク外部からのウイルス感染」がトップに挙げられた。また、「脆弱なPCを起点とした内部からのウイルス感染」が僅差で続いており、感染経路の多様化に手を焼くウイルス対策現場の状況がうかがえる。
さらに、ウイルス関連に次いで、「ネットワーク外部からの不正アクセス」および「内部関係者による不正アクセス/情報漏えい」を挙げる読者も、それぞれ全体の5割前後に上っている。ウイルスと不正アクセスは、セキュリティ・インシデントの2大要素として以前から知られているが、その発生源がネットワーク外部のみならず、社内関係者となってきた点が、今日的な特徴といえるだろう。
 |
| 図1 対策が求められるセキュリティ課題(複数回答 N=626) |
■セキュリティ対策の“三本柱”とは?
次に上記セキュリティ課題に向けて、読者のかかわるネットワークで今後実施を予定している対策を尋ねたところ、「セキュリティ・ポリシーの策定/運用」「セキュリティ対策ツールの導入」「従業員のセキュリティ教育/リテラシー向上」の3点が、ほぼ同率で上位に挙げられた(図2)。
 |
| 図2 予定しているセキュリティ対策(複数回答 N=626) |
セキュリティ対策というと、ともすればファイアウォールなどのツールの導入を想定しがちだが、読者からは、
- システム面をいくら強化しても、使う側のリテラシーが低い状態ではセキュリティが強化できない。構成員のリテラシー向上が急務
- メーカーは新しい技術で製品をどんどん出してきますが、製品と合わせた教育(トレーニング)は行われません。いかにして時代に合った教育を行い、意識を向上させていくかが課題
といった、“ツール先行型セキュリティ対策”の限界を指摘するコメントが、多数寄せられた。特に上述した「内部からのウイルス感染/情報漏えい」問題に対しては、自社に最適化されたポリシーの策定とそれに基づく教育の徹底が、ツールの導入に先立って必要/有効な対策となるだろう。
■セキュリティツール導入状況:アタック対策ツール
続いて、読者のかかわるネットワークにおける、セキュリティ対策ツールの導入状況を見ていこう。しかしながら、この分野にはさまざまな種類のツールが存在する。そこでまず、不正アクセス/ウイルスなどの“アタック対策ツール”について尋ねたところ、現在は「クライアントPC用ウイルス対策」「ゲートウェイ(以下GW)用ファイアウォール」「GW/サーバ用ウイルス対策」の順で、導入が進んでいることが分かった(図3 緑棒)。
一方、読者のネットワークで“2004年度に導入が見込まれるツール”としては、「セキュリティ・パッチ配布/更新管理」のポイントが、比較的高くなった(図3 黄棒)。NimdaやBlasterなど、OS/アプリケーションのセキュリティホールを悪用するウイルスの増加が、パッチ管理ツールの需要拡大につながっているようだ。
 |
| 図3 アタック対策ツール導入状況・導入見込み(複数回答 N=626) |
■セキュリティツール導入状況:認証/暗号/アクセス管理ツール
次に、認証/暗号/アクセス管理ツールの導入状況を見てみよう。こちらではファイアウォールやアンチウイルスのレベルまで普及したツールは見当たらないが、「ファイル操作の権限管理」の導入率が、ほかを一歩リードしている(図4 茶棒)。ファイルの基本的なパーミッション設定(読み込み/書き込み/実行)は古くからあるが、最近ではこれらに加えて印刷/転送/有効期限など、より細かな権限管理を可能にする“ライツ・マネジメント”技術が発展している。情報漏えい対策をファイル自体に埋め込む方法として、今後も注目される分野といえそうだ。
 |
| 図4 認証/暗号/アクセス管理ツール導入状況・導入見込み(複数回答 N=626) |
■学びたいセキュリティ知識・スキル分野は?
ところで頻発するセキュリティ課題に立ち向かうエンジニアは、いまどのような知識やスキルを身に付けたいと思っているのだろうか? 最後に読者のセキュリティ分野の学習意向を尋ねた結果、個別の要素技術を抑えて「現在のセキュリティ技術に関する体系的な知識」がトップに挙げられた(図5)。
 |
| 図5 セキュリティ知識・スキルの習得意向分野(複数回答 N=626) |
読者からは、
- 社内にセキュリティの専門家がおらず、対策の重要性を認識しながら先に進めていない
- (課題や対策が)ありすぎてどこから手を付けてよいか分からない/どういう順序で対応してよいか分からない
といった声も多く聞かれた。細分化/専門化が進むセキュリティ対策に取り組む前に、まずは総合的な知識習得の必要性が高まっているようだ。こうしたニーズにおこたえすべく、本フォーラムではコンテンツをテーマ別に分類したインデックスを作成している。現在のセキュリティ技術の全体像の把握や、今後学ぶべき分野の確認などにご活用いただければ幸いだ。
■調査概要
- 調査方法:Security&TrustフォーラムからリンクしたWebアンケート
- 調査期間:2004年3月15日〜4月9日
- 回答件数:626件
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
