特集:ユニアデックスのITビジネスに対する考え方や取り組み状況、そして各ソリューション概要などを各スペシャリストがご紹介します

メールマガジン購読お申込み

2011年04月18日号

セキュリティーは“ナカ→ソト”を守るべし!
企業を悩ます、クラウドやソーシャルメディアの進化に伴う新たなリスク
次世代ファイアウォールで情報セキュリティー対策も「見える」化を

企業のクラウド導入が少しずつ進む中、常に懸念されているのがセキュリティーの問題です。
クラウド技術でマルチデバイス環境が整った今日、これまでのセキュリティー意識では多様化するリスクから情報を守ることは困難です。

そんな中、注目されているのが「次世代ファイアウォール」です。従来のファイアウォールが外部からのアタックを「ブロックする」ソリューションであったのに対し、次世代ファイアウォールはアプリケーションを「コントロールする」という発想です。

今回は、情報セキュリティーの専門家である三輪信雄さんにインタビュー。なかなか理解が難しい内部から外部への情報漏洩対策(ナカソト・セキュリティー)の重要性についてわかりやすく解説していただきます。

S&Jコンサルティング株式会社 代表取締役 三輪信雄氏

プロフィール:

1995年より日本で情報セキュリティービジネスの先駆けとして事業を開始し、技術者コミュニティーとしてFireWall Defenders(FWD)を組織し業界をリードした。
また、日本のWindows製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

Netscape,PGP,Trendmicroその他多くの製品の脆弱性を発見してきた。
また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開してNHKで報道された。

Webアプリケーションの脆弱性について日本で初めて問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本での先駆けとなり、業界リーダーとしてJASDAQ店頭公開まで導いた。

政府系委員の経験もあり今後の政策展開についても最新の情報を持ち、さらに、政策そのものに有識者としての提言を積極的に行っている。

これまで情報セキュリティ業界をリードし続けてきたが、中堅以上の企業においては情報セキュリティの成熟化が求められ、コスト削減や効率化に取り組まなければならないとの思いからS&J社を起業した。

教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。 また、警備保障会社で情報セキュリティ事業の立ち上げ支援を行った経験から、物理セキュリティとITセキュリティの融合を論じることができる数少ないコンサルタント。

■見て見ぬふり?企業が抱えるナカソトの課題

企業の情報セキュリティー意識や、リテラシーは向上してきており、ある程度対策は一巡したとも言われています。その一方で、クラウドの普及、ソーシャルメディアの進化等に伴い、新たなリスクが生まれているのも確かです。そこで本日は、まず、企業が現在進行形で抱えている情報セキュリティー上の課題を整理できればと思います。

- 三輪 -
外部からの脅威より、内部からの漏えいの方が深刻なリスクであるという認識はだいぶ広まってきたと思います。これまで、インターネット経由の通信はファイアウォールで制御し、アンチウイルスを入れ、クライアントでのセキュリティー対策もおこなっている、というのがセオリーでした。しかし、業務でWebサイトを閲覧することが当たり前となった現在、ウェブ周りのセキュリティーが大きな問題となってきていると考えています。


具体的にはどのような問題があるのでしょうか?

- 三輪 -
現在、社内ネットワークを流れるWebアクセスの半分以上、多いところでは8割近くが業務に関係ないアクセスとも言われています。業務外のWebサイト閲覧には、ウイルスの感染だけでなく、業務効率の低下やネットワーク資源の無駄といった問題もあります。また、社内から掲示板などへの書き込みを行うことで企業イメージの低下を招くリスクもあるでしょう。そして何より問題なのが、企業間取引をはじめとするアウトバウンド通信の状況が把握できていない、適切な制御ができていないということです。


アウトバウンド、つまりナカソトの通信の状況が把握できていないという問題の根底には、Twitter、Facebookなどのソーシャルメディアの利用とポリシーについて、企業側が対応を決めかねているといった事情もありそうです。

- 三輪 -
そうですね。企業もソーシャルメディアを宣伝やプロモーションに活用する時代となった今日、簡単にアクセス禁止にするわけにもいかなくなりました。その結果、フィルタリングを行わずに利用実態も把握できないままアクセスを許可している、という企業も多いのではないでしょうか。ただ、どのようなポリシーにするにせよ、最低限、インターネットの利用状況を把握しておくことが求められてくるようになると思います。クライアントがアクセスするURLフィルタ以外でも、企業間通信については、ポリシーをしっかり定めきれていない企業も少なくありません。従来の「ブロックする」という概念だけでは通じない時代になってきているといえるでしょう。


■次世代ファイアウォールができること

こうした「見えない」課題に対応すべく、最近注目を浴びているのが「次世代ファイアウォール」です。ただ、これまでのファイアウォールとの違いが分かりづらいのも事実です。具体的にはどのような違いがあるのでしょうか。

- 三輪 -
一番大きいのは、アプリケーションの識別です。たとえば、GoogleAppsの利用状況も個別に確認することができますし、それをIPアドレスではなくユーザー単位で管理することができるようになります。これらはエージェントレスで実装できているところに特徴があります。

また、業務に関係のないWebサイトの閲覧からウイルスに感染してしまう、というありがちな脅威に対してもコンテンツ管理とウイルスの高速スキャンで同時にこなすことができます。


なるほど。「誰が何をしているのか」を把握することができるというのがこれまでのファイアウォールと大きく異なるところでしょうか。

- 三輪 -
把握するだけでなく、ビジュアルによる可視化できることも大きな特徴といえるでしょう。グラフィカルな表示ができるので、これまでシステム管理者だけの道具であったのが、経営層やコンプライアンス室への報告にもそのまま利用できるようになったのです。グラフィカルな報告書があれば経営層も自社の経営資源がどのように使われているのかを把握し、具体的な指示を出すことができるようになるのではないでしょうか。


セキュリティー管理の可視化によってセキュリティーに対する投資に関してもイメージだけでなく、的確な判断をくだすことができるというわけですね。

■それでもチューニングが必要

期待が高まる次世代ファイアウォールですが、導入の際に気をつけたいことなどはありますか?

- 三輪 -
従来のファイアウォールにはない優れた点がある次世代ファイアウォールですが、これまでの多くのセキュリティー製品同様に運用管理が重要です。非常に高性能であるがゆえにチューニングするにも高度な知識は欠かせません。これまでのファイアウォールのようにポート単位で通す通さない、というような単純(それでも大変でしたが)な作業ではなく、アプリケーション単位、ユーザー単位の登録や管理、違反に対するアクション、独自のアプリケーション利用のためのカスタマイズといった細やかなチューニングが必要になってきます。


こうしたチューニングはユーザー自身が行うべきでしょうか。それともアウトソースすべきなのでしょうか?

- 三輪 -
セキュリティー機器のチューニングには、技術と経験が必要です。こうしたノウハウを自社でため込みたい場合、自前で行うのもありです。ただし、時間もコストもかかるのが問題です。仮にスペシャリストが育ったとして、その人がやめてしまった場合はどうなるのかという問題もあります。どうしても属人的になりがちなんですね。ですので、基本的にアウトソースで任せられるべき部分は任せるのがいいでしょう。自社の情報をどうしても外部の人間に触れさせたくない場合は別です。自社でやるか、サポートに任せるか、それはその企業の持つ情報の質、考え方によって決めればいいと思います。いずれにせよ、こうした高機能製品を十分に使いこなすには、これまで以上に運用管理の専門的な知識が求められてくるようになりますので、教育プログラムや支援サービス等の充実に期待したいところですね。


今日はどうもありがとうございました。

本記事に関連するオンラインセミナー「はじくだけでは、モノは売れない!」を開催【参加無料】。
>> 詳細/参加申し込みこちら

特集トップページに戻る

ページトップへCopyright(C) UNIADEX,Ltd. All Rights Reserved.