このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

システムトラブルのため、2015年以降のブログ画像と2018年5月以降の記事が消失しました。画像は鋭意、新しい物から順次復旧中ですが記事については残念ながら戻せません。残念ですが、あきらめます。

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

セキュリティ運用の現状と課題

風見鶏 (2008年9月23日 09:18) | コメント(0) | トラックバック(0)

この数年で多くの企業が情報セキュリティに対して多くの投資を行っている。この経費削減の嵐が吹き荒れる中である種の「聖域」を確保してきたのだが、その投資の多くが、その時々のクリティカルな問題に対してとりあえず対処する形で行われているため、結果的に一貫性を失ってしまっていることが少なくない。セキュリティ対策導入のトレンドを年代順に見てみると・・・

 

・90年代後半: インターネットの普及と電子メールウイルスの増加

   ファイアウォール、PCウイルス対策

・00年代初頭: ネットワークワームの蔓延、ウイルス・ワーム被害の拡大、Web改ざん(第一次)

   不正侵入検知、防御対策、メールやサーバレベルのウイルス・ワーム対策

・00年代中盤: 個人情報保護法、Webアプリ攻撃(SQLインジェクションやXSSなど)の顕在、Winny(Antinny)騒ぎ

   データ暗号化、PCやネット監視、利用規制(Policy Enforcementやモニタリング)、WAF( Web Application Firewall)

・00年代終盤: JSOX,

   ログ取得、管理、レポーティングツール、リスク可視化ツール、ID管理ツール

 

このすべてを導入した企業も少なくないだろうし、その累積投資額は億単位となっているはずだ。このすべてが現在もなお企業の中で動いているわけだが、はたしてその運用はどうなっているのだろうか。

現在、次にくる脅威として叫ばれ始めているのが、マルウエア(ウイルスなど)を悪用して特定の組織を狙う「標的型攻撃」(Targeted Attack)である。いわばオーダーメイドのウイルスを使って狭い範囲で実行されるこうした攻撃に対しては、既存のどの対策も十分ではない。まさに、Silver Bullet(つまり、狼男を一撃で倒せる聖銀の弾丸)のない脅威である。当然こうした脅威に対抗できる新しいテクノロジーの開発は急務なのだが、おそらく100%のものはできないだろう。つまり、なんとか既存の対策の網を狭めて、どこかでひっかけるしかないのである。そう考えたときに、おそらく問題になるのが、既存のセキュリティシステムの運用である。

おそらく、どこの会社でも、IT部門が主体となっているのだろうが、近年のシステムの運用にはかなりのセキュリティ知識が必要になることもあって、専門のチームやアウトソースによって運用されてることも多いだろう。たとえば、ファイアウォールのログとIDSのログと、ウイルス対策システムのログとを全部チェックしなければいけない状況が生じたとき、どれくらい迅速に対応が可能だろうか。ログだけならばいいが、これらの設定を全部変更しなければいけなくなったときにはどうだろう。もし、これらの運用を担当する人たちの間の連絡が十分でなければ・・・、さらには、全体をきちんと統括できる人がいなかったら・・・、それは困難を極めるはずだ。そんな状況が、あちこちで起きてはいないだろうか、というのが最も気になる点である。そんな状態でさらに屋上屋を重ねるように新しいシステムを導入していけば、問題はどんどん複雑化していくだろう。このあたりで、一度見直しが必要だ。

 

システム運用や技術対応のみならず、セキュリティマネジメントの面からみても現場の混乱が見られる。たとえば、セキュリティに関連する規格やそれらが唱えるベストプラクティスの氾濫だ。ISMS(ISO27000シリーズ)、プライバシーマーク(JISQ15001)、COBITなど、目的が異なる規格が「セキュリティ」に関する要求事項を似て非なる形で定義している。さらに、昨今のBCP・BCM重視の流れの中には、さまざまなビジネスリスクを管理しようという流れがある。これらは往々にして企業内で異なる部署によって所管されている。ちょっと考えればわかることだが、微妙に異なる要求をそれに忠実に別々の部署が実施しようとすれば、間違いなく混乱が発生するだろう。ひどい場合は、「お役所」間の紛争に発展する可能性もある。これらの似て非なる規格の共通点はかなり多い。たとえば、最も幅広いCOBITに各規格の要求をマッピングしてみて、そこからはずれているもののみを個別に対応するようにできればいいのだが、これをやるには、できればこうした規格をまとめてひとつの部署が所管するような形が必要だ。さらに、話をビジネスリスク全般に拡大するならば、この組織は企業のリスクマネジメント全体を所管する組織の一部である必要がある。ある意味で、そろそろこうしたリスクマネジメントにかかわる組織の抜本的な再編が必要な時期に来ているのかもしれない。

 

脅威が複合化、複雑化、高度化し、その対応も同様になっていくことを考えれば、これらをいかに統一的に管理できるかが今後のセキュリティの課題であることは間違いないだろう。こうしたことはトップ主導でなければできない。形ばかりのCSO/CISOではなく、専門的な知識と経営センスをあわせもち、CEOと本気で渡り合えるレベルのCSOまたはCROやCIOが必要なのだろうと思う。言うは易しではあるが、そんな形が一般化していくことを祈りたい。

カテゴリ:

トラックバック(0)

トラックバックURL: https://www.kazamidori.jp/MT/mt-tb.cgi/12

コメントする

カテゴリ

月別 アーカイブ

この記事について

このページは、風見鶏が2008年9月23日 09:18に書いた記事です。

ひとつ前の記事は「地盤沈下、いや日本埋没・・・!?」です。

次の記事は「そうだ、京都へいこう・・・」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。