2003年07月30日(水) 20時58分

10の視点で考える企業セキュリティ対策（1）（Scan）

経営トップと現場のITエンジニアの「距離感」をなくす共通語の重要性

>> 技術とビジネスの側面から見た
　企業が直面するセキュリティ対策の課題とは

　リアルタイムでネットワークの脆弱性を診断できるVA機能（Vulnerability Assessment）とIDS（侵入検知システム）の機能を併せ持つ、新しいタイプのセキュリティソリューション「nCircle IP360」を販売する京セラコミュニケーションシステムは7月4日、開発元である米nCircle社のCTOであるティモシー D.キアニーニ氏を招き「今、そこにある危機 10の視点で考える企業セキュリティと対策 〜ビジネスと技術を結ぶ共通語とは〜」と題するセミナーを開催した。

　今回のセミナーは「NETWORLD＋INTEROP 2003 TOKYO」（6月30日〜7月4日：幕張メッセ）の会場内で開催され、企業がセキュリティ対策を講じる場合、費用対効果、つまり、「セキュリティ投資がもたらす利益」を重視し、ビジネスの視点でセキュリティを考える経営陣と、コストよりも技術的な視点でより強固なセキュリティを考える現場のITエンジニアとの間に存在する「距離感」をいかにして縮めるかに焦点を当てたもの。「nCircle IP360」の詳細やセキュリティに関するテクニカルな情報を紹介するセミナーではなく、実際に企業がセキュリティシステムを導入しようとする際に、経営陣、現場のITエンジニアの双方が悩む身近な問題に触れたユニークな内容であった。

　キアニーニ氏は、経営陣とITエンジニアが、ビジネスとセキュリティを「共通語」で理解しあう必要性を力説。長年にわたって米国で企業トップを相手にセキュリティの重要性を訴え続けてきたという経験、あわせてセキュリティに対する深い技術面での知識を持つキアニーニ氏だけに、セミナーは示唆に富んだ内容となり、約100名以上の受講者から多くの賛同を得たようだ。


　キアニーニ氏は、まず、IT環境を導入している多くの企業が直面している、セキュリティ上の現在の課題について、技術とビジネスの両面から言及した。技術面では、TCP/IPネットワークで多くのコンピュータが相互に接続され、ひとつの大きなコンピュータ環境となっていることを指摘。その上で、「TCP/IP環境ではネットワークは情報の伝送路に過ぎず、セキュリティ上で重要なのはエンドポイントである」とした。

　現在の多くの企業では、ネットワークに接続されているコンピュータは、WindowsやLinux、UNIXなど基本ソフト（OS）が様々であるほか、ネットワークそのものもファイアウォールの導入で区切られていたり、負荷分散されていたりなど高度に構造化されている。「どのようなOSが、構造化されたネットワークにどのように接続されているか」を明確に把握しにくいことが大きな課題というのである。

　あわせて、TCP/IPネットワークでは、コンピュータを物理的に接続するだけで、ログインなどを必要とせずにネットワーク化されてしまう場合がある。「エンドポイントの細かな動きを把握しにくいことも問題となっている」。

　一方、ビジネス面では、「セキュリティとはビジネス側の課題である」という意識が薄いことが問題とされた。キアニーニ氏は、「ビジネスをスムーズに展開するためにセキュリティ対策が存在する」とし、ビジネスを遂行するための「セキュリティ・コントロール」の重要性を説いた。

　セキュリティ・コントロールとは、セキュリティ対策を怠ったがために引き起こされる「ビジネスにおける損失を明確にする」ことである。ビジネスを「機密性」、「完全性」、「可用性」、「占有性」、「確実性」、「実用性」の視点で捉え、例えばセキュリティ対策の不備によりビジネスの機密性が失われるといった「損失」を防ぐことが、セキュリティ・コントロールの目的であるとした。


nCircle IP360
http://www.kccs.co.jp/security/ncircle/index.html

【取材・執筆：下玉利　尚明】





最新のセキュリティ情報メールマガジンの申込みはこちらから
http://vagabond.co.jp/c2/scan/（Scan）

http://headlines.yahoo.co.jp/hl?a=20030730-00000006-vgb-sci