日本版SOX法・徹底解析

大規模な金融恐慌以降、新たな投資を控える動きが広がっている。もちろん、ITへの投資も例外ではない。財政状況が厳しさを増す中、ITやセキュリティに投資し続けることに意味はあるのか、少ない投資で最大の効果を得るためのセキュリティ投資とはどのようなものなのか。不況下の今、情報システム部門と経営者を悩ませるこの命題にヒントを与えたのが、2月6日に開催されたセミナー「コンプライアンス強化、効果的な投資につなげるための情報セキュリティ再点検」だ。今まさに必要な情報が多く語られ、多数集まった参加者は真剣な目で講師の話に聞き入っていた。その模様をお届けする。（09/02/19）

http://www.sbbit.jp/article/10996/

IT市場全体が縮小される2009年

効果的なセキュリティ投資とは

IDC Japan

セキュリティリサーチ マネージャー

花岡 秀樹氏　CISSP、CISA

　セミナーの冒頭、「企業評価基準としての情報セキュリティ」と題して基調講演を行ったのは、IDC Japanのセキュリティリサーチマネージャーである花岡秀樹氏だ。

　昨年のリーマンショックを受け、IDC Japanで行った緊急アンケートの結果が、まず発表された。それによれば、景気の後退を受けてIT市場全体も縮小傾向に転じている。しかしIT市場を細かく分類して見ると、セキュリティ関連の予算を削減対象として挙げる企業は多くない。このことからセキュリティが企業の取組みとして必須のものとなっていることがうかがえると、花岡氏は指摘した。続いて最新の情報を受けて掲げた2009年のセキュリティ市場予測を示した後、いくつかの提言を行った。提言のひとつに企業外部からのセキュリティ強化要求という項目が挙げられており、セキュリティリスクやITによる事業継続性の高さが企業価値を左右する項目になりつつあると指摘した。

　市場動向の紹介に続き、個別の課題について話題は移った。最初に取り上げられたのはコンプライアンスだ。個人情報保護法や日本版SOX法など国内規制の増加は、今ではどの企業にも身近な課題だ。世界を見渡してみても、こうした規制の増加が大きな潮流となってビジネス界を覆っている。そうした中で企業の意識を調査したところ、面白い傾向が見られた。コンプライアンス投資に関しては、情報システム部門もそれ以外の部門も増加するとの見方が大勢を占めていたた。しかしIT投資全体の見込みとなると、情報システム部門では2009年は減少するとの意見が強く、それ以外の部門では2009年も増加すると考えている。つまり現場が主導するような中小規模のプロジェクトは、2009年にも投資が進められる可能性が高いのではないかと、花岡氏は考えている。

　情報漏えいについては、まず懸念される脅威や実際の漏えい原因を示すグラフが提示された。それによれば、紛失や管理ミス、誤操作といった内部の問題に起因する情報漏えいが半数以上を占めている。正しい権限を持つ内部の人間による情報漏えいは、ID管理やログ管理では止められないため、対策が難しい。しかも扱えるデータ数が多いため、漏えいした場合の被害数字も格段に大きい。花岡氏は、内部の人間による情報漏えいを防ぐための対策を真剣に考えていくべきだと、企業の責任を強調した。

　市場動向や個別の課題を受け、最後に多くの参加者が注目する話題が取り上げられた。効果的な投資をするために考えるべきことを、花岡氏の視点からまとめたものだ。ユーザーの意識は利便性重視へとシフトしており、利便性とトレードオフになるようなセキュリティ対策では正しく使ってもらえない。以前からセキュリティと利便性はトレードオフだと言われてきたが、今では利便性を維持したままでリスクを低減できる方法がいくつも開発されている。それを実現するのは、自動化やバックエンドでのチェックなど、テクノロジーだ。それらを装備する最新のソリューションを手に入れることは高い投資に見えるかもしれないが、従業員満足度や業務有効性、効率性の低下が大きなリスクとなる現代において、利便性を保ったままでセキュリティを向上させることは企業全体のリスク軽減につながると語り、講演を締めくくった。

UTM選定のポイントは

必要な機能とパフォーマンスの見極め

チェック・ポイント・ソフトウエア・テクノロジーズ

セキュリティ営業本部

メジャー・チャネル・マネージャー

北村正義氏

　基調講演に続いて登壇したのは、チェック・ポイント・ソフトウェア・テクノロジーズ セキュリティ営業本部 メジャー・チャネル・マネージャー、北村正義氏だ。「UTMの市場動向と必要とされる機能とは」と題して講演を行った。

　UTMとはUnified Threat Managementの略称で、一般には統合脅威管理製品などとも呼ばれるセキュリティ製品のいちジャンルだ。多くの機能を統合した製品が多いため、UTMを1台導入すればすべての脅威に対応できるというイメージを抱いているユーザもいるようだが、実際には2つ以上のセキュリティ機能が統合されていればUTMと呼ぶことができ、搭載されている機能も製品により様々だと、北村氏は説明する。

　UTMのメリットはもちろん、オールインワンであり、対策分野ごとにセキュリティ製品を導入する必要がないという点だ。しかし、そのメリットを活かせていない例が、実はとても多いのだと北村氏は言う。複数の機能を有効にするとスループットが極端に遅くなり、結局少ない機能しか利用できないというのが、その代表例だ。また、複数ベンダのソフトウェアをひとつの筐体に統合しただけのUTMでは、それぞれの管理機能が複雑で機能を使いきれないこともあるという。こうしたことを避けるために、必要な機能を先に考え、操作性やパフォーマンスに関して入念に検討した上で、導入製品を選択しなければならない。

　UTM製品選択のポイントを個別に紹介した上で、北村氏はチェック・ポイント・ソフトウェア・テクノロジーズのUTMソフトウェアUTM-1のメリットを紹介した。特にパフォーマンス面では、オープンアーキテクチャを採用することで汎用チップの高速化の恩恵を得られるうえ、細部にいたるソフトウェア処理の最適化により、バージョンが進むにつれ高速化が進んでいるという。

　チェック・ポイント・ソフトウェア・テクノロジーズの先進のソフトウェア技術とNECのハードウェア技術のコラボレーションにより誕生したのが、最後に北村氏が紹介したUNIVERGE UnifiedWallだ。NECが新規開発したアプライアンス専用プラットフォームにUTM-1のソフトウェアが搭載されている。ソフトウェアの強さに加え、NECのプラットフォームによりパフォーマンス、運用性ともに高いアプライアンス製品を実現している。特筆すべきポイントは、ユーザ数などのライセンス制限がないこと。機種選定の基準はネットワークのスループットだけだ。ハードウェア、ソフトウェアともにNECが窓口となりサポートされるので、ユーザはコラボレーション製品であることを意識する必要はなく、サポート面でも安心して利用してもらえるはずだと北村氏は強調した。

制限を感じさせない対策の数々で

コミュニケーションセキュリティを向上

セミナーに特別参加した

「せきや さおり」の

セミナーレポートはこちら

　休憩時間をはさんだ後半は、素敵な女性の登場で始まった。会場に現われたのは、NECのセキュリティサイトでイメージキャラクターせきやさおりを演じる、モデルの西舘さをりさん。インターネットや紙媒体を通じてセキュリティの大切さを訴えながら、ご自身もセキュリティを学んでいる最中だと、制作現場の様子を語り、会場の雰囲気をなごませていた。

　西舘さんに続き、NECソフト ITシステム事業部 エキスパートの関徳男氏。「メールに例外のない安全を ～誤送信対策、コンプライアンス対応のために～」と題して、メールセキュリティソリューションの紹介を行った。

　関氏がまず示したのは、情報漏えい関連事件の件数や、その要因を示すグラフ。その中で関氏が注目しているのは、情報漏えい事件自体は減少しているのに漏えいした個人情報の量は増えているということ。さらに内部犯罪が増加の一途をたどっているということ。メールの誤送信など、よく言われる誤操作による漏えいは実際には少なく、内部での犯罪や不正行為が引き金となっていることが非常に多いのだ。

ＮＥＣソフト

ITシステム事業部

エキスパート

関 徳男氏

　関氏は傾向をわかりやすくするために要因をデータ紛失・盗難、不正アクセス、メール不正利用、そして原因不明の4つに分類した。そのうえで、データ紛失・盗難に対してはファイルの暗号化を、不正アクセスに対してはアクセスコントロールを施すことが重要であり、これらの対策はすでに広まっていると述べた。それに対してメール不正利用を防ぐメールセキュリティや、原因不明の情報漏えいを防ぎ、追跡するためのログ管理は、いまだに対策が遅れている企業が多いという。

　メールの不正利用や誤送信による情報漏えいを防ぐソリューションとして関氏が紹介したのが、コンテンツフィルタリングを行うGUARDIANWALLや、メールの暗号化を行うPGP Universalなど一連のメールセキュリティソリューションだ。GUARDIANWALLはメールを送信前にチェックし、個人情報や機密情報が含まれているメールを送信前にストップする。危険と判断されたメールは上司や監査部門のチェックを経るまで実際には送信されないという仕組みだ。独自の（個人情報検索）判定エンジンで高い判定制度を誇っている。PGP Universalはメールを暗号化する製品で、最大の特徴はゲートウェイ上で暗号化するため、社内のユーザに特別な操作を求めないことだ。自動的な暗号化は負担の軽減だけではなく、間違いなく全メールを暗号化できるためセキュリティポリシーを確実に適用できるというメリットも持っている。

　メールクライアント側での暗号化の場合とくらべ、平文でのGUARDIANWALLでのコンテンツチェックや査閲送信が有効となり、アーカイブデータも監査可能なデータとして保存される。また、ゲートウェイ中で送信先のPGP暗号・Webメッセンジャー・PDFメッセンジャーなど受信者のコンディションに応じて自動的にメールデータを制御されるので、送信者は意識することなく送信経路中で送信ポリシーに沿ったチェックと暗号化を実現できることになる。

　また、本人に再確認するだけでも誤操作防止や不正抑止に大きな効果があると関氏は語り、Webメール製品WitchyMailを紹介した。大手ISPであるBIGLOBEでも使われている高機能なWebメールだ。ポリシーをあらかじめ設定しておくことで、送信時にユーザに確認をうながすポップアップを表示する。関氏はセキュリティ確保のための制限を感じさせることなく、コミュニケーションの自由度を最大化することで、コミュニケーションセキュリティが実現できると語り、講演を終えた。

見える化と自動化がもたらす

効率的で効果的なセキュリティ対策

ＮＥＣ

第一システムソフトウェア事業部

統括マネージャ

田中伸佳氏

　最後のセッションでは、「セキュリティのリスクを効果的に押さえるために ～『見える化』と『自動化』によるセキュリティリスクマネジメント～」と題してNEC 第一システムソフトウェア事業部 統括マネージャ 田中伸佳氏が講演を行った。

　田中氏は、企業が置かれている状況が厳しさを増していると語り始めた。脅威は拡大、多様化し、法的な側面からもステークホルダーからも要求は増えるばかり。それらに対応するためにセキュリティ製品の導入は進み、運用管理やコストが悩みの種になっている。2009年度もセキュリティ投資は減少しないとの調査結果を引き合いに出しながら、やりたくなくてもやらざるを得ない状況にあるとも指摘した。

　こうした厳しい状況の中、効率的にセキュリティを強化していかなければならないのだが、そのために必要なことがふたつあると田中氏は言う。その第一歩が、現在の状況の見える化だ。残存リスクを明確化し、適切に既存資産を活かすことで必要なところに必要な投資だけを実施する。次のステップが、セキュリティ管理の自動化だ。セキュリティが強化されれば管理者にもエンドユーザにも大きな負担が寄せられるため、運用を自動化していかなければならない。自動化により運用管理者の負担が軽減するのはもちろんだが、人手での対応では実現できない対策漏れのない管理も可能になる。これにより運用コストを削減しつつ効果的なリスク軽減を実現すべきだというのが、田中氏の考えだ。

セミナー当日の会場の様子。セキュリティの

最新動向からソリューション紹介まで、

多数集まった参加者は真剣な目で

講師の話に聞き入っていた

　見える化と自動化の具体的なポイントについて説明したのち、田中氏はそのためのソリューションの紹介へと移った。NECが提供するセキュリティソフトウェアInfoCageだ。InfoCage Networkシリーズを使うことでネットワークに接続されたPCを自動的に検知し、不正なPCが接続された場合には管理者に通知、ネットワークからも遮断できる。またどう製品によりポリシーに違反したPCを行ったん検疫ネットワークに接続させることでポリシーに適合した状態にしてからネットワークに接続させるPC検疫も実現できる。また、InfoCage Managementシリーズを使えば社内のセキュリティ情報を自動的に収集し、セキュリティリスクの存在を見える化できる。また、同製品により各PCにポリシーを配布、適用することもできるため、運用が自動化され、対策漏れPCもなくすことができるという。いずれもNEC社内で実際に使用されており、高い効果を示しているという。田中氏はその実例を具体的に紹介し、セキュリティ一色に染まった本日のセッションはすべて終了した。