 |
|---|
インターネットを業務に導入している限り、必ずつきまとうのがセキュリティの問題だ。しかし、具体的になにをどのように守ればよいかわかりにくいのが、現状と言えるだろう。本企画では「テクノロジー解説+製品紹介」という切り口によって、さまざまなセキュリティ関連製品とそのアプローチを解説。読者の環境で最適なセキュリティ対策を提案する。
セキュリティってなに?
あなたが会社のネットワークやシステムの管理にたずさわる立場の人間であったとする。そして、あなたは「セキュリティ」というものに対して、漠然と不安を抱えているとする。会社から予算を引き出して、なんらかの「セキュリティ対策を施したい」と考えている。いったいどこから手をつけたらよいのだろうか?
雑誌やWebなどでは、日々セキュリティの重要性が訴えられている。しかし、「セキュリティ」という非常に曖昧模糊としたものに対して、どのように対処すべきか? 具体的な情報に乏しいのが現状である。いまさら「セキュリティ」とはなに? という問題を振り返る機会は少なく、なんとなく「コンピュータウィルスの駆除」とか、「内部侵入の防御」といった即物的なアプローチでセキュリティを理解している人がほとんどであろう。
しかし、実際のセキュリティの要件はわれわれが通常思っている以上に広範囲に及ぶ。一般にセキュリティというと、悪意のある第三者によるなりすまし、改竄、盗聴といったセキュリティ侵害を阻止することに注力されている。だが、データの改竄といっても、部署内のデータなのか、顧客のデータなのか、あるいはどのように改竄されたかなどで、具体的にいくらの不利益を被るかは異なる。また、正当なユーザーになりすますことによって社内ネットワークを利用されるだけで済むのか、踏み台として他のサイトの攻撃に悪用されるのか、データを破壊されるのか、もわからない。現在では、慣習的にファイアウォールやアンチウィルスソフトを入れているところも多いが、本来具体的な侵害のリスクを考えなければ、きちんとしたセキュリティ対策はできないはずなのである。ましてやセキュリティ侵害で多いのは、外部からよりむしろ内部の不正アクセスという実態もある。こうした侵害には社内でセキュリティに関する取り決め(セキュリティポリシー)を作り、明確な線を引かなければなければ対策できない。セキュリティ対策はお金をかけて設備を豪華にすることが目的ではなく、あくまで予想される被害に対して、製品やサービスなどをどのように保護するかを明確に決めることが基本である。
統合的なセキュリティの重要性
実際、セキュリティの脅威に対処するためには、商用ソフトや各種サービスに頼らざるを得ないのが現状だ。確かにツールキットが公開されている初期のファイアウォールやフリーUNIX系のソフトを使ってスクラッチ&ビルドするというのも、安価な方法として挙げられるだろう。しかし、こうした作業はやはり手間がかかるし、技術と時間がなければとりずらい手段である。また、保守・管理の問題や実際に不正侵入やデータの改竄・漏洩などが起こった場合の対処などを考えれば、企業ではやはり商用製品を用いるのが妥当と考えられる。
たとえばCheck Point Technologies、Axent Technologies、Network Associatesといった大手セキュリティベンダーは、ファイアウォール、VPN、アンチウィルス、侵入検知、監査ツールなど、各種製品を組み合わせた統合型セキュリティというコンセプトを提唱している。詳細は各社で異なっているが、大きく、
- 具体的なセキュリティ上の脅威と侵害による被害の算出を行なう「分析」
- 個々のセキュリティ上の脅威に対して製品の導入や適切な設定を行なう「対策」
- セキュリティ対策の不備を洗い出し、システムの更新を行なうための「監査」
などに分けられる。これらを一連のサイクルとしてセキュリティを随時更新していく必要があるというわけだ。
こうしたコンセプトを単にメーカーがモノを買わせるための「マーケティング用語」と捉えるのもよいだろう。しかし、地震や火災のように実際に被害が起こってからではすでに遅い。ユーザーが任意に開かなくても、社内LANで自動展開してしまう悪質なウィルスや、日々ポートスキャンを繰り返し、SMTPの踏み台を探すクラッカーなど、セキュリティの脆弱なインターネットにはさまざまな悪意が潜んでいると考えるべきであろう。
アウトソーシングを活用できる賢いエンドユーザへ
製品の導入やシステム構築、保守・運用は外部業者に委託する場合が多い。製品によっては、エンドユーザー自体が取り扱えず、インテグレーターによる構築サービスが必須となる場合もある。
特に統合型のファイアウォールは、サーバの要件がシビアだったり、設定や管理作業が難しかったりすることが多いので、単体製品としての性格はきわめて薄い。また、通常の業務システムなどと異なり、セキュリティの脅威は日々変化していくため、システムもそれにあわせてアップグレードしなければならない。サービスと込みでシステムインテグレータに発注するほうがむしろ普通である。実際、システム規模の大きな大企業や官公庁などはほとんど外注していると考えても良いだろう。
かといって、「外部業者に委託するのであれば、エンドユーザーは何も知らなくて良いのか?」というと、それは大きな間違いである。これはセキュリティに限らないが、外部の業者に委託する際でもユーザー側はきちんとした知識を持っている必要がある。たとえば社内ユーザーが利用するアプリケーションサーバの構築などであれば、エンドユーザーに意見を求めれば機能や動作、パフォーマンスなどシステムの運用状況や動作の不備などは比較的に容易に収集できる。しかし、セキュリティ対策では「なにも起こらないこと」がもっとも重要だ。Webサイトの書き換え、ウィルスの侵入、データの破壊など具体的な被害が起これば、セキュリティホールを検出するきっかけになるかもしれないが、実際起こってからでは遅いというわけである。
一連の官公庁サイトのWebページ書き換え事件でも、外部業者にシステム構築と運用を委託していたのにも関わらず、事件は起こった。ファイアウォールさえ構築されていなかった例は論外としても、実際ファイアウォールのバージョンが古かったために不正侵入を許した例は多く見受けられる。管理者は実際のファイアウォールの操作を知る必要はないが、セキュリティ製品の最低限の知識、会社のセキュリティシステムの現状、最新のアタックなどの情報はやはりきちんとおさえておくべきであろう。
こうした背景から、今回の企画はエンドユーザーに各種製品に対する知識を得てもらおうという意図がある。誌面の都合上、市場に出ている製品を網羅することはできないが、セキュリティ脅威に対してどのような製品がどのような機能を果たすのか、ある程度でも理解していただければ幸いである。
