[Interview]
「優秀なセキュリティエンジニアを育てるには……」

2002/12/20

 日本ベリサインは企業のセキュリティ担当者向けに実践的な不正アクセスの手法を解説し、防御策を教えるトレーニングセミナーを開催した。講師はハッキングに詳しく、米空軍での暗号研究やセキュリティコンサルティングの経験を持つ米ベリサインの上級セキュリティコンサルタント マックス・レッドワイン(Maxx RedWine)氏。不正アクセスの手法から企業の情報セキュリティまで幅広い知識を持つレッドワイン氏に、米国での企業の情報セキュリティへの取り組みや、課題、求められているセキュリティエンジニアの資質などを聞いた。


米ベリサインの上級セキュリティコンサルタント マックス・レッドワイン氏。米ベリサインで長くセキュリティトレーニングの講師を務めている

――電子認証で知られるベリサインが不正アクセスに関するセミナーを開催することには意外な感じもするが。

レッドワイン氏 情報セキュリティはベリサインにとって新しい取り組みではない。不正アクセスの研究は創業時からのテーマだ。電子認証を担当するエンジニアでも、実装するためにはセキュリティ全般についての知識が必要になる。ベリサインではセキュリティに関するエンジニアリングサービスは、大きく打ち出してこなかった。

――2001年9月の米同時多発テロ以後、サイバーテロの脅威が高まっているといわれている。

レッドワイン氏 サイバーテロの対処には3つの柱がある。1つ目はどのような攻撃の可能性があるかをきちんと評価すること。2つ目はサイバーテロを予防し、防御すること。3つ目はサイバーテロ後の影響を最小限にすることだ。企業が同時多発テロなどで注意することは、企業のネットワークリソースをテロ活動の一部に使われないようにすることだ。企業は国のために防御を固めながら、自社の情報資産を守ることができる。ハッカーに対抗することはテロリストに対抗することにもなる。

――企業にとって最低限の情報セキュリティ対策は何か。

レッドワイン氏 ウイルス対策やファイアウォール、IDS(侵入検知システム)などを構築するのは当然だ。企業が最優先してやるべきことは、社内外での啓蒙、教育活動だ。人為的なリスクも含めて情報セキュリティを教育する必要がある。

 エンジニアは米国でのSANS(SysAdmin, Audit, Network, Security)などセキュリティに関する教育プログラムを使って理解を深める必要がある。自分で学習することも重要だし、実際に不正アクセスの手法を試してみて、深い理解を得ることも大事だろう。いずれにしても1つの環境や分野を学ぶことで、すべてのセキュリティをまかなうことはできない。ネットワークやウイルス、不正アクセス、OSに加えて、人間の心理まで包括的に学ぶ必要がある。学習する内容は多岐に渡り、理解するには時間が必要。優秀なセキュリティエンジニアを育てるには時間がかかる。

――日本のセキュリティエンジニアにとって必要なことは?

レッドワイン氏 必要なのは時間だ。日本だけではないが、セキュリティエンジニアはあまりにも多くの役割を担いすぎている。多くの企業ではセキュリティエンジニアはシステム管理者やネットワーク管理者を兼ねている。セキュリティは専任のエンジニアが必要だ。ほかの業務を兼ねているエンジニアが多すぎる。そのためにセキュリティを担当する時間が足りなくなっている。

 この状況を変えるには、経営陣がセキュリティへの理解を深めることが重要だ。多くの経営陣はセキュリティに関して、財務的な損失の切り口しか見ていない。セキュリティ対策を行うことの見返りだけに注目している。個人的な意見だが、経営陣はセキュリティを保険と同じように考えてほしい。将来、投資額の10倍にもなる損失を防いだり、苦境になった会社を救うかもしれないという認識が必要だ。

 古い考えにとらわれた経営陣が多いようにも思う。オフィスビルの警備員など物理的に見えることへの防御はコストや時間をかけるのに、IDSやファイアウォールを考慮しないのは驚きだ。ビルに入るには鍵や警備員のチェックが必要なのに、ネットワークには鍵がない。日本企業の75%はIDSを導入していないと聞いた。IDSはオフィスビルの警報と同じような機能なのに、導入していないのは奇妙だ。

――日本では電子政府のシステム構築に関連して、Windowsはセキュリティが危険でLinuxが安全と考えられ、導入が検討されている。

レッドワイン氏 このような話は通説と信じられているが、セキュリティはOSでは決まらない。管理者の方策で決まる。安全でないようなLinuxも多く見たし、安全性の高いWindowsも見たことがある。システムのセキュリティはOSで決まるのではなく、エンジニアの管理が決めるのだ。こういう通説をなくすためにも、セキュリティに関する正しい教育や啓蒙が課題となっている。

(垣内郁栄)

[関連リンク]
日本ベリサイン
日本ベリサインのトレーニングサイト

[関連記事]
「大和魂を注入する」セキュリティ教育プログラム (@ITNews)
セキュリティ製品のバリアフリーを推進するシマンテック (@ITNews)
ベリサインの新事業は、拡大する個人市場がターゲット (@ITNews)
"信頼"を軸に第2の波に照準を当てるベリサイン (@ITNews)
Webサービスのセキュリティにインパクトを与える提携 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)