サーバ集約化で野良サーバ追放も
「日本社会の無謬性神話を否定する」、NISCの基本計画
2009/06/29
政府の情報セキュリティ政策会議は6月22日に、2009年度の情報セキュリティ計画となる「セキュア・ジャパン2009」を決定した。政府が2月にまとめた3カ年計画「第2次情報セキュリティ基本計画」に基づいて、2009年度に取り組むべき具体的な施策をまとめたもの。これまでの取り組みを踏まえ「事故前提型」の対策構築に力点を置いた内容となっている。
第2次情報セキュリティ基本計画は、「事故前提型社会への対応力強化のための基盤作り」「合理性に裏付けられたアプローチの実現」、それに「現下の経済情勢への対応を支える取り組みの推進」という3つの柱を掲げている。3カ年計画の1年目に当たるセキュア・ジャパン2009では、従来から取り組んできた事前の防御に加え、「情報セキュリティ事故は起こりうるものだ」という前提に立った、合理的な対策を行うよう改善に取り組むという。
「(今回の計画は)日本社会にありがちな無謬性の神話を否定するもの。絶対に間違いはないという前提で対策を進めると、いざセキュリティ事故が発生したときに思考停止に陥ってしまう可能性がある。事前の対策を進めつつ、いざというときには、あわてふためくことなく合理的な対策を取れるよう見直しを進める」(内閣官房情報セキュリティセンター 関啓一郎参事官)。
情報セキュリティ政策会議は同時に、政府機関が保有している公開Webサーバや電子メールサーバを集約し、2013年度末までに半減させる目標を掲げた。
情報セキュリティセンター(NISC)が政府機関の保有するIT資産を調査したところ、政府機関全体で公開Webサーバが約1000台、電子メールサーバは約1900台運用されていることが明らかになった。しかし、統制がないままに多数のサーバを設置・運用すると、コストが増大するだけでなく、セキュリティ事故などの緊急時に迅速・的確な対応が困難になる恐れがある。事実、2009年4月には、官公庁のサーバが改ざんされたにもかかわらず、週末だったため担当者への連絡が遅れ、適切な対応が取れなかったというケースが生じた。
「知識を十分に持たない部門が勝手にサーバを立て、運用してしまうことの危険性を認識していなかった」(NISCの伊藤毅志参事官)。そこでNISCでは、重点検査の中で、サーバの設置・運用状況について詳細に把握するとともに、緊急連絡体制の点検を実施。さらに、責任を持ってきちんと管理できるところにサーバの管理主体を集約していく方針だ。
どのサーバを集約対象とするのか、また仮想化技術をどのように活用するのかなど、具体的な集約プロセスについてはこれから検討する。ただ、サーバの集約化と合わせて最適化・標準化を推進し、ポリシーに沿って適切にサーバを運用管理できる体制作りを進める方針という。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
