PR

三輪 信雄 ラック 不正アクセス対策事業本部長

セキュリティ対策で必要なのは,まずはセキュリティ・ポリシーを確立すること。しかし現実には,ポリシーを導入せずに場当たり的な対策だけを施す企業から,業務に悪影響を与えるほど厳しいポリシーを導入する企業まで様々である。今回は,筆者が実際に体験した事例を基にポリシーの作成・運用ノウハウにスポットを当てる。

 セキュリティ対策の適用手順や運用方法などを記載した「セキュリティ・ポリシー」は,セキュリティ対策を実践するための要となる文書である。

セキュリティ製品導入は第一歩 重要なのはそれを生かす運用支援

セキュリティ対策は,ファイアウォールなどセキュリティ製品を導入するだけでは不十分。導入後の運用手順を明確にするため,まずセキュリティ・ポリシーを確立することが重要になる。

 一部上場企業であるA社は,他企業に比べて早くからインターネット接続環境を整備するなど,積極的に情報化を推進してきた企業である。セキュリティ対策にも気を使い,早い段階からファイアウォールを導入していた。ファイアウォールには,メールのウイルス・チェック機能を持たせるなど,A社のセキュリティ対策は万全かに見えた。

図1 セキュリティ・ポリシーを作成・運用しないことの問題点
A社では,システム・インテグレータに言われるまま部分的にセキュリティ対策を施してきた。しかし,セキュリティ・ポリシーという概念そのものを持たないため,セキュリティに対する危機感や技術的な知識が不足している。せっかく構築したネットワークも,セキュリティ・ポリシーに基づいた運用・管理が行われなければ,気付かないうちに外部から攻撃を受けたり,あるいは社内の機密情報が社外に漏えいする可能性が高くなる。

製品の導入だけでは効果がない

 そのA社は1999年,システム・インテグレータが提案してきた侵入検査サービスを利用してみた。結果は,とても万全とは言い難いものだった。(1)ファイアウォールやサーバーのバージョンが古くセキュリティ・ホールが存在する,(2)ファイアウォールで守られているはずの社外公開用のサーバーを踏み台にして,社内にアクセスできてしまう――など,多くのセキュリティ・ホールが見つかったのだ。

 特に,DMZ(非武装セグメント)上に設置したWebサーバーは,デフォルトの設定のままで何のセキュリティ対策もしていなかった。ヒアリングしたところ,ファイアウォールを導入すれば事足りると考えており,ファイアウォールがすべての攻撃を防いでくれると信じていたことが分かった。

 しかもA社の場合,対策に必要な予算が確保できなかった。対策は来期の予算に計上することにして,せっかく発見したセキュリティ・ホールは放置されることになった(図1[拡大表示])。