コーディネーションが不可欠な企業のセキュリティ

2001/4/14
(04/09/01, 8:02 p.m. ET) By Mary Mosquera, InternetWeek

 企業ネットワークのセキュリティ不備の原因の一部は、企業の経営陣,顧問弁護士,そしてITマネジャーが相互に連絡を取り合わないことにあるというのが専門家の意見のようだ。

 米司法省の元コンピュータ犯罪局長で,PricewaterhouseCoopersのパートナーであるScott Charney氏によると,企業が長期的な視野を持たずその場その場で計画を立てるので,ハッカーがインターネットサイトを攻撃したり企業ネットワークに侵入したときに素早く完全な対応をとれない場合があるという。

 同氏によると,インターネット上を流れる個人の医療情報や財務情報の増加や,ネットワーク上で保管される企業および個人の集約データ,そして社内システムへのアクセスを許される第三者の増加により、そのリスクはさらに悪化しているという。

 「セキュリティに充てられる資金やスタッフが不十分だ」とCharney氏。Bureau of National Affairsが主催するサイバーセキュリティとプライバシーに関するカンファレンスで同氏は,「企業関係者はITを利益部門ではなく損失部門だと考えている」と語った。

 多くの経営陣はセキュリティが進化を続けるプロセスであることを理解していないという。防火規制対策のためにスプリンクラーシステムに投資しているのとは訳が違うのだ。弱点を明らかにする綿密なネットワークの評価と,拡大しているセキュリティホールをふさぐために必要なパッチにはかなりの費用がかかるが,「それがリスク管理には必要なことなのだ」と同氏はいう。

 費用がかかれば,実行する気力も弱くなる。Charney氏は,経営陣が考えているのは投資利益率(ROI)であり,リスク回避は頭にないという。その代わり,経営陣はこれを「費用を出し続けているが何か自分には理解できないもので,終わりが見えない」と考えているのだ。

 業務,法務,そしてITの各部門は,コンピュータ関連事件が起こる前に相互に話し合い,予防策を盛り込み,だれが、いつ、どのように対応するのかを知っておく必要があるというのが同氏の意見だ。

 J.P Morgan Chaseの北米担当リスク管理者,Jacinthia Lawson氏は,「企業のセキュリティでリスクが考えられるポイントとしては,コンサルタントの増加や派遣社員や社員の入れ替わりが激しくなったこと,ソフトウェアの絶え間のないアップデートなどがある」という。

 AOL Time Warnerの法律顧問補佐であるChris Bubb氏によると,同氏の会社は昨年発生したMelissaウイルスに対し,3つの事業部が密接な連携を取り,セキュリティ侵害が全員に関係するものだとの認識があったため,問題を特定し対策を立て,迅速な対応をとることができたと語る。前もって人員と計画が整備されていたのだ。

 米マイクロソフトのCSO(最高セキュリティ責任者),Howard Schmidt氏は企業のIT部門でスタッフ不足について触れ、「多くの企業のIT部門のスタッフには,セキュリティに関する経験がほとんど、もしくは全くなく,社内のコンピュータを動作させ続けることを主な職務とする人間ばかりだ」という。

 Schmidt氏によると,企業は本来,他ベンダー製品との関係といったセキュリティ面での関連性を調べずに製品を市場に投入する傾向があるという。同氏は,「導入に先駆けてその製品のセキュリティを確保せよ」とアドバイスする。

 司法省の現コンピュータ犯罪副局長,Christopher Painter氏によると,セキュリティのリスク回避は重視されつつあるものの,企業の意識は依然として低いと指摘する。最近は小規模の企業でもサイバー事件が増加しつつあるという

[英文記事]
Coordination A Must For Corporate Security

[関連記事]
Linux-Winウイルスの誕生は悪い兆候 (TechWeb/@ITNews)
意識の格差が指摘されるセキュリティ対策 (@ITNews)
過去最多を更新中、ウイルスが猛威をふるう (@ITNews)
セキュリティ専任者がいる企業は約半数 (@ITNews)

Copyright(c) 2001 CMP Media LLC. All rights reserved

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)