モダンマルウェア対策の基本方針とは?

2012年06月27日 09時00分更新

文● アスキードットPC編集部

組織全体のセキュリティ戦略との関係を考慮しないまま、技術的ソリューションを実装してしまうという過ちが、あまりにも頻繁に起こっている。本章では、組織のセキュリティポリシーで考慮すべきさまざまな種類の制御について解説する。

スマートポリシーによる安全な権利付与

　企業のセキュリティポリシーの第1の目的は、マルウェアに感染するリスクを減らすことである。しかし、第1章で述べたように、もっともセキュアなネットワークで最高のセキュリティポリシーを採用していても、マルウェアの感染や攻撃から逃れることはできないうえ、最終的にネットワークが突破される可能性を想定しなければならない。第3章と第4章では、ネットワーク突破を検出するテクニックについて解説した。

　セキュリティポリシーは、組織がマルウェアをコントロールし、リスクを減らせるように構築しなければならず、同時に、事業で必要となる機能を提供しなければならない。効率的なセキュリティポリシーを作成するには、さまざまなアプリケーションや機能がもたらすリスクや、組織のビジネスの要求、ユーザーの作業に必要な機能などについて、充分な理解が必要となる。

　IT部門はスマートなポリシーを定義する役割を負っているが、ポリシーの唯一の所有者ではない。ポリシーを実際の現場に適用していくためには、目に見える管理職のサポートが重要である。組織に新しいアプリケーションが導入されるのは、会社のポリシーからではなく、ユーザー自身から始められる傾向がある。しかし、いったんこれらのアプリケーションがビジネスプロセスとワークフローに組み込まれると、管理職のサポートがあっても、それを排除するのは不可能ではないにしてもたいへん難しい。

　たとえば、証券会社のような厳重に規制された環境では、インスタントメッセージングの使用は秘密保持と監査のルールの対象となるだろう。IT部門の役割は、トレーダーに、インスタントメッセージングツールのセキュリティリスクを教育し、利用規程（AUP）の開発に参加し、引き続き監視を行いAUPの徹底を期す。この例では、ポリシーによってトレーダーのFacebookやMSNチャットの使用を防止し、その代わり内部のチャットサーバを使えるようにすることができるだろう。

　ガバナンスとマネージメントは、企業ネットワークにおける主要な利害関係者であるIT部門、人事、役員、ユーザーによって作成されたスマートコーポレートポリシーをベースにしている場合にうまく働く。IT部門には重要な役割がある。それはいつものように厳密に定義されてはいないが、アプリケーションやテクノロジの有効化と管理を司る者として、けっして気を緩めてはならない。

前へ 1 2 3 4 5 次へ

ツイートする

カテゴリートップへ