PR

 今や,企業や組織においてセキュリティ対策は不可欠である。しかし,対策の必要性を感じながらも実践に至っていない企業/組織は少なくない。実際に対策を実施しようとした際の壁となるのは,部署間および従業員間,さらには経営陣と従業員間のセキュリティに対する意識の差である。

 「別に対策を施さなくても大丈夫なのでは…」と考える経営陣や従業員が多いようでは,いつまで経っても実施できない。たとえ無理やり実施したとしても効果はないだろう。そのような企業/組織では,定量的でなくてもよいので,まずはリスクが存在することを示すことが重要だ。現状では危険であることを示せば,対策の必要性を共有できる。それが出発点である。

意識の違いが大きな壁

 通常,セキュリティ対策の実施のためには,「体制作り」「情報資産の洗い出しとリスク分析」「セキュリティ・ポリシーの作成」「ポリシーに基づいた対策の実施」「実施状況の確認」「ポリシーの見直し」――といったステップを踏むことになる。しかし,こういった手順を踏むことができて,なおかつ効果を上げられるのは,組織全体にセキュリティ対策の必要性が浸透している場合に限られる。

 「問題が起きていないのに,コストをかけて対策を施す必要があるのか」といった具合に,「そもそも対策が必要なのか」と考える部署や従業員が多いようでは,セキュリティ対策のスタート・ラインにもつけない。

 そのような組織では,まずはリスクが存在することを明らかにすることから始めるべきだ。「リスクによって被る損失額はいくらぐらいなのか」「リスクを回避するにはどのぐらいのコストが必要なのか」――といった定量的な評価はまずは置いておく。とりあえず,「現状では,情報資産が適切に守られていないこと」「現状では,何らかのセキュリティ・インシデントが発生したら,業務に多大な影響が及ぶこと」――を定性的に示すのである。

 定性的に示すだけなので,重要なポイントだけに注目すれば十分だ。そうすれば,少ないコストで短時間に実施できる。まずはリスクが存在することを確認することが重要だ。そして,リスクの概要から,現状に対する認識を組織として共有する。このことは,セキュリティ対策を進める上で不可欠である。

情報資産は守られているか

 現状のリスクを把握するにはどうすればよいか。注目すべきは「情報資産の安全性」と「事業の継続性」である。

 「情報資産の安全性」とは,文字通り,情報がきちんと守られているかどうかということである。ここでは,リスクの概要を明らかにするだけなので,重要でかつ“活動範囲”が大きい(あるいは大きくなる可能性がある)情報だけを調べる。ここでの活動範囲とは,その情報が流通する範囲のことである。重要な情報について,本来の活動範囲と,実際の活動範囲に差がある場合には,それがリスクとなる。

 具体的にいうと次のようになる。重要な情報として,例えば,部署Aで収集して利用している顧客情報を考える。この情報の本来あるべき活動範囲は,“部署A内”である。しかし実際には,この情報が外部からアクセス可能なWebサーバーに置かれていたとする。すると,実際の活動範囲は“企業外”となりうる。これは,許容できないリスクである。このような情報の存在を示せば,誰の目にも対策の必要性は認識できるだろう。

 顧客情報などの重要な情報に着目して,「本来の活動範囲」と「実際に起こり得る最大の活動範囲」を対比させたリストを作れば,重要な情報が守られていないことやアクセス・コントロールが不十分であることが一目瞭然となる。

速やかに復旧できるか

 「事業の継続性」とは,ネットワークを利用した業務フローをきちんと実施できるかどうかということである。システムを停止していても問題がない時間――これを,許容停止時間と呼ぶ――と,実際に停止する可能性がある時間との差が,事業の継続性に関するリスクとなる。

 許容停止時間は,通信機器,サーバー機器,クライアント機器のそれぞれで算出する。厳密である必要はなく,概算でよい。

 次に,セキュリティ・インシデントが発生した場合,その障害回復にかかる時間を予測する。具体的には,「例えば,このサーバーにウイルスが感染した場合,機能を回復させるには,どの程度時間が必要か」といったことを予測する。これも,厳密である必要はない。過去の経験や書籍等に記されたデータを基にした概算で構わない。

 なお,セキュリティ・インシデントに限らず,機器や電源の故障,自然災害などによって発生しうる障害についても,同じように予測する。

 復旧時間を予測する際に注意したいのは,現状でできる限りの対策が施されているものについては,対象から外すことである。例えば,上記でウイルスの例を取り上げたが,ウイルス対策がきちんと施されている機器については,ウイルス感染による障害を考慮する必要はない。

 また,対応要員(例えば,運用管理者)の業務時間なども考慮する必要がある。例えば,インシデントが昼間発生した場合には,管理者がそばにいるのですぐに対応可能であるが,深夜に発生した場合には,対応は大幅に遅れる――といった組織では,それぞれのケースでリスクを予想すべきだろう。

 許容停止時間と復旧に要する時間に大きな開きがあれば,それは許容できないリスクとなる。例えば,「数分しか停止することを許されないあるサーバーが,あるインシデントが発生すると,数時間停止する」といわれれば,対策の必要性は誰の目にも明らかだ。「まだ起きていないから大丈夫」といえる経営陣や従業員はそれほど多くはないだろう。

 以上のように,厳密ではなくても,リスクを具体的に示すことで,経営陣に対策の必要性を示すことができる。そして,この情報を組織内に公開すれば,日々の業務に潜在しているリスクを顕在化でき,セキュリティ対策についての組織全体の意識を高めることができる。「なかなか対策を施せない」という組織でも,このようにすれば,「体制作り」「情報資産の洗い出しとリスク分析」…といった本来の手順に着手できるだろう。

 ただし,リスクを概算する段階で,看過できない重要な脆弱点が見つかった場合には,「体制作り」…といった本来の手順を踏んでいる時間はない。経営トップ主導で,リスクに見合った対策を速やかに実行すべきだ。


東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 ITソリューション事業部
セキュリティソリューション部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。