eビジネス、Webサービス時代のセキュリティの課題は?

2001/7/26

 企業のビジネス活動のベースがインターネットに移行しつつある。Webサイトを持ち情報を公開するだけではなく、今後は顧客やサプライヤとの取り引きもインターネットベースで行われるようになる。Webベースのエクストラネットは2003年には全エクストラネットの85%を占めるともいわれている。

 このように、企業システムではeビジネスやBtoBに対応するようになるだろうが、セキュリティ対策となるとどうだろうか。

 ガートナー ジャパンが7月24、25日に都内で開催したセキュリティに関するカンファレンス「Information Security Conference 2001」で、米ガートナー バイスプレジデント兼リサーチ・ディレクター ジョン・ペスカトーレ(John Pescatore)氏は、今日の企業システムの脅威とセキュリティ対策についての分析を披露した。

 企業しすてむの脅威には、ウィルスやポートスキャンなどさまざまなものがある。最近の傾向として、クラッカーがターゲットを絞ってアタックするDDos攻撃(分散型サービス拒否攻撃)によるサービス停止や、顧客の財務情報など企業情報の窃盗などが多い。今後は、Webサービスの本格的利用とともに、HTTPトンネリングによるバッファ・オーバーフローが増加するという予測もあるという。

 では、こうした脅威に対して、どこから、どのように対策を講じたらよいのだろうか。ペスカトーレ氏は、「まず自社のポジションを分析することがセキュリティ対策の第1歩」と語る。外部への露出の高い企業なのか、どのくらい外部と接点を持っているのかなどは企業により異なる。それにより対策も変わってくるからだ。

 それを助けるのがセキュリティポリシーの策定だ。セキュリティポリシー導入の必要性は以前から叫ばれているが、日本で実際に導入している企業は1割程度といわれている。ポリシーと同様に重要なのが情報セキュリティ・リスク評価。自社の情報資産にリスクをもたらす危険を想定し、個々の危険の影響を予測しておく。これらの対策は遠回りなようでも、自社のシステムを知るうえで重要な対策だ。

 それを踏まえて、現在とられているセキュリティ対策についてペスカトーレ氏は、以下のように語った。

 まず、外部からの侵入への一般的な対策であるファイアウォールやIDS(侵入検知システム)の導入に関しては、導入後の管理が重要という。また「自社のWebサーバやOSなどがどのくらい安全なのかを把握しておくことも必要」とペスカトーレ氏。ちなみに、現在最も安全性が高いOSは、ディストリビュータから提供されているLinuxという。

 また同氏は、社内のセキュリティ対策についても触れた。だれがどのアプリケーションを使う権限があるのか、どの情報を見る権限があるのかを明確にし、認証システムを構築する必要があるという。

 現在、ユーザー認証手段として最も多く用いられているのはパスワード。「この手段はいずれなくなるといわれつつ、それに変わる方法を見出せずにいる」とペスカトーレ氏。今後は、パスワードと複数の認証法を組み合わせた手法が主流になると同氏は見ている。有力な認証技術がバイオメトリックスとスマートカードだ。今後、両技術のハードウェアへの組み込みが進むこと、クレジットカード会社のスマートカード化への取り組みが進めば、一気に普及が加速するとガートナーでは予想している。また、認証システムに不可欠なLDAPなどディレクトリの整備も、急がれる対策の1つだろう。

 ではそれらのセキュリティの管理をだれがするのか。選択肢としては、社内のセキュリティ専門家、外部コンサルタント、アウトソーシングの3つが考えられるが、このところ注目が集まっているのがMSP(Managed Service Provider)と呼ばれる業者が提供するアウトソーシング・サービスの利用という。

 「人員を確保することはコスト的にも時間的にも難しい。MSPでは毎日セキュリティのチェックをするサービスを提供するところが多く、コンサルタントよりも確実で低コストになる」。脅威も、そして企業のシステムも日々変化する環境では、アウトソーシングが有効な手段となりつつあるようだ。米国のMSPは現在、セキュリティの検証(侵入テスト)、ファイアウォールやIDSの管理、ログ分析とさまざまなサービスを提供している。実際、セキュリティのアウトソーシング市場はセキュリティ対策関連製品よりも高い成長が期待されている市場で、「今後4年間の年成長率は30%」。企業の機密情報の漏えいなどを恐れ、ためらう企業も多いが、ペスカトーレ氏によれば「MSPのセキュリティ専門家の技術は極めて高度」という。だが、MSPに丸投げするだけでは効果は半減する。対コスト評価、サービス・業者の選定のためにも、セキュリティポリシーに合わせてアウトソーシングサービスを利用することが必要となるからだ。

 同氏の話から、セキュリティ対策は情報システム部門だけの責任で行うべきではないという結論が改めて浮かんでくる。シスコ・システムズでは取引総額の75%がインターネット経由で行われているという。このようにビジネスの比重がeビジネスやECにシフトしてくれば、セキュリティ対策は、情報システム部の予算・業務に収まりきらないものとなる。前向きで継続的なセキュリティ対策のためには、企業全体で構造化した方法論を用い、技術論に終始しない業務としてのセキュリティ管理が必要だ。それを実現するためには、経営陣や業務プロセスに携わる人の理解と協力は不可欠といえる。

(編集局 末岡洋子)

[関連リンク]
ガートナー ジャパン

[関連記事]
社会インフラとしてのインターネット、セキュリティ確保のために (@ITNews)
勤務中のネットの個人利用、日本でも規制へ? (@ITNews)
セキュリティ専任者がいる企業は約半数 (@ITNews)
意識の格差が指摘されるセキュリティ対策 (@ITNews)
コーディネーションが不可欠な企業のセキュリティ (@ITNews)  
企業IT管理者を対象としたセキュリティ研究会が発足(@ITNews)
ファイヤウォールの外へ飛躍できないVPN (@ITNews)
Microsoft社内システムハッキング事件からの教訓 (@ITNews)
ハッカーがWin 2Kのセキュリティ欠陥を悪用するコードを公開 (@ITNews)

 

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)