[Analysis]
セキュリティ対策は納得のいく説明ができること
2006/04/25
セキュリティ対策とは、事故を前提とし、利害関係者に納得のいく説明ができるようにするにはどうしたらよいかを考えて実行することだと、大木栄二郎工学院大学情報学部教授は当サイトに掲載中の連載で述べている。
「事故が起きることを前提として、被害を最小化、局限化するという方針を立てることになる。するとそれらの結果が顧客や取引先にどの程度の影響を与えることになるのか、対策のレベルが妥当であるのかなどを、顧客や取引先などの利害関係者に納得が得られる形で説明できなければならなくなる」(「情報セキュリティガバナンスを確立せよ(1) 情報セキュリティはCSRである」より)
これは重要な指摘だと思う。完璧なセキュリティを追求しても切りがない。それよりも、社内の経営陣を含めてあらゆる利害関係者に対し、妥当な説明ができることをセキュリティ対策の目的にするのが、現実的なセキュリティ対策への近道だと思う。
納得のいく説明ができるようにするための材料としては、アイデンティティ管理と広義でのログ管理が、今後重要性を増してくるだろうと私は考えている。
ITが社内の日常業務を支える存在になっているなら、ITリソースが正しく利用されていることを、いつでも確認したり、証明したりできるようにしておかなければならない。 このためにはまず、アイデンティティ情報をベースとしたITリソースの利用管理やアクセス権限管理を確実に実施することが望ましい。しかし、それだけでは十分ではない。ITリソースの利用ログを取得・管理し、万が一事故が発生したとしても、妥当な対策が取られていたことを確認し、証明できるようにしておきたい。
すでにITベンダの中には、この2つの要素が必要であることに気がついてビジネスにつなげようとする動きが見られる。例えば、ディレクトリサービスやアイデンティティ管理製品で知られる米ノベルは、内部統制関連情報の可視化やレポート化にノウハウを持つe-セキュリティという企業を買収したと、4月中旬に発表した。
アイデンティティ管理は導入作業の複雑さから、なかなか普及が進まない製品ジャンルの1つだが、先週日本進出を発表した米A10ネットワークスは、これをアプライアンス1つで簡単に実現できるようにし、さらにITリソースアクセスログのレポートを即座につくることのできる機能を搭載しているという。
アイデンティティ管理とは直接関係ないものの、東京エレクトロンは、同社が2006年1月から日本で販売している米センセージ・ネットワークスの統合ログ管理製品が、金融系を中心に3カ月で3件の納入を終えたという。
これら3社は、SOX法をはじめとした各種法令の順守ニーズをビジネス機会ととらえて製品を提供しており、セキュリティについてはあまり強調していない。しかし私は、アイデンティティ管理とログ管理を、セキュリティ対策の一環として組み込んでいくことが、理にかなっていると考える。
つまり、日本版SOX法は、これらのソリューションを考えるきっかけになったり、ソリューションの導入内容に影響を与えたりはするだろう。しかし、、こうした製品は、会計監査のためのレポートを出すためだけではなく、継続的なセキュリティ対策向上のための材料として使っていくのが有益だと思うのだ。
情報をお寄せください:
最新記事
 |
|
|
|
|
