| セキュリティ事故は業務被害だけでなく、いまやビジネスの存立さえ脅かす。 |
ビジネスのあらゆる分野でネットワーク化が進み、大量の個人情報や企業の機密データが、ネットワークを通じて広範に流通している。それらの情報の盗聴や抜き取りはもちろん、本来なら社外へ流出してはいけない機密データさえ、漏えい事故を起こすことも少なくない。
また、年間に7割を超える企業が社外からの攻撃、つまり電子メールまたはファイルを介したウィルス/ワームの感染やスパム、Webサイトのコンテンツ改ざん、サービス妨害(DoS攻撃)などの被害を受けている。個人情報や機密情報の漏えいはもちろん、社外からの攻撃により業務がストップしたら、数年前と比べものにならないほど深刻な結果をもたらす。
たまたま被害を受けていない企業でも、明日はどうなるかまったく予測がつかない。万が一、事故や被害が起きた場合、その影響は想像以上に大きく、最悪のケースでは、企業の存立までも脅かしかねない危険性をはらんでいる。 |
 |
|
| 図1 セキュリティ事故・事件による企業の損害 |
|
情報セキュリティの課題は、企業システムへセキュリティ対策用の優秀なツールを、単に当てはめればよいというわけでなく、社内の組織や管理体制づくりなど、人的な面でのマネジメントも欠かすことのできないテーマだ。つまり、企業にとってセキュリティ対策とは、システムの運用管理における一部の課題ではなく、まさに経営部門をも巻き込んだ大きな課題と言えよう。
|
| これからは社外からの対策だけでなく、社内のセキュリティ対策にも不可欠に |
現在、ほとんどの企業がなんらかのセキュリティ対策をとっているといわれるが、被害や事故の件数はいっこうに減らない。社外からのサイバーアタックは、ますますエスカレートしてきつつある。社内ネットワークにつながった、たった1台のパソコンにウィルス/ワームが感染しただけで、短時間のうちに会社全体へ被害がおよぶことも珍しくない。一部の感染ならまだしも、全社的な感染となると、業務やプロジェクトの中断により膨大な利益損失をこうむることになる。ウィルスの亜種(バリエーション)も、ほんの数十分の時間さえあれば作れてしまうと言われており、OSやワクチンソフトのパッチが間に合わなくなる可能性さえ出てきた。
また最近、特に問題となっているのが、社内から持ち出される個人情報や企業の機密データの漏えいだ。サイバーアタックに対する備えに比べ、社内からの情報漏えい対策を徹底している企業は、残念ながらまだそれほど多くない。「個人情報保護法」が完全施行された今でも、多くの企業で対策の遅れや不備が目立っている。しかも、情報漏えいの事故・事件の約85%が、社内から外部へと漏れる事例だ。意識的な悪質犯ばかりでなく、ノートパソコンの紛失や廃棄したパソコンのデータ消し忘れ、メールの送信先違いといったうっかりミスも、まだまだ多く見られる。
ユビキタスコンピューティングがあたりまえになるにつれ、社員が顧客情報や社内データを、PDAやノートパソコンなどモバイル端末に入れて持ち歩く機会が増えてきた。つまり、情報やデータを守る“セキュリティの力”を、社員個々人のレベルで向上させない限り、社外への情報漏えいはいつまでたってもなくならないだろう。それには、経営者が率先してセキュリティポリシーを定め、社員全員でそれを共有していく土壌づくりが欠かせない。
単に強固なセキュリティシステムを構築しただけでは、社外への情報漏えいを防ぐことはできない。企業システムにおけるセキュリティ機能の向上はもちろん、組織や業務現場をも巻きこんだトータルなセキュリティマネジメント体制を確立することで、初めて社外への情報漏えいを防ぐことができる。情報セキュリティは、すでに大きな経営課題のひとつといえるだろう。 |
 |
|
| 図2 経営課題としての情報セキュリティ |
|
|
| セキュリティマネジメントの大事なポイントは、守るべきものの可視化と選定・分類から |
トータルなセキュリティマネジメントの確立といっても、では、どこから手をつけていいのか戸惑う経営者もおられるだろう。でも、冷静に考えてみれば、「なにをなすべきか?」のテーマが見えてくる。テーマの本質は、(1)守るべきものはなにか? (2)どこに存在しているか? (3)どのように運用されているか? ―この3点を把握して対策を練ればいい。
しかし、(1)の守るべきものの選定はともかく、(2)のどこに存在しているか、あるいは(3)どのように運用されているかを把握するのは、意外に手間のかかる仕事かもしれない。目に見えないデータや、ネットワーク上でやり取りされている状態を知り、「見える」化=可視化するのはセキュリティマネジメントにおける第一歩だ。この可視化さえうまくいけば、手を打つべき方法や優先順位がおのずと見えてくる。 |
 |
|
| 図3 守るべき対象の可視化とセキュリティマネジメント |
|
例えば、社内にはパソコンが何台存在し、OSやインストールされているソフトはそれぞれどのような種類があるのか? ある部門のパソコンではどのような情報が扱われ、ネットワークをどのように流通しているのか? どのパソコンが、企業のシステムポリシーに違反しているのか?・・・。社内における情報の存在位置、またネットワークにおける流通の状況が可視化されていれば、異常なデータの発生や、普通ではありえない情報の使われ方をすぐに検知することができる。つまり、おかしな“ふるまい”をしたパソコンやシステムを即座に把握し、瞬時に切り離したり、処理をストップさせたりすることが可能になる。
さらに、システムの安全性向上の課題は、セキュリティ管理者だけの問題ではない。社員一人ひとりに対しても、セキュリティの現状を「見える」化することは、社員の自覚を高めるうえでも大きな意味を持つ。たとえば、自部門に置かれたパソコンのセキュリティレベルを一目で確認できるなど、業務現場でユーザが簡単にチェックできるような仕組みづくりも大切なのだ。被害が社内へ拡がる前に、“火元”の特定や“初期消火”の対策もたいへん重要なテーマといえる。
セキュリティ被害は、自社だけのトラブルにとどまらず、ネットワークで結ばれたグループ会社や取引先にまで大きな影響を与えかねない。ましてや個人情報の漏えいは、顧客に対して直接の被害を与えることになる。強固なセキュリティの確保は、ネットワークを基盤としたビジネス社会へ参加するための、いまや必要不可欠なパスポートとさえ言える。 |
|
| 自社の業務現場を“実験場”として、さまざまなセキュリティ対策を追求。 |
NECが本格的なセキュリティマネジメントの確立、さらに強力なセキュリティの仕組みづくりをめざしたのは2001年のことだった。この年、世界中の企業でウィルスが蔓延し、大きな被害をもたらした。NECのセキュリティ対策は万全のはずだったが、それでも被害を受けてしまった。複雑なネットワークや、膨大な数におよぶパソコンのすべてを把握することができず、被害を拡大させてしまった苦い経験をもつ。この実体験が、すぐさま情報やシステムの可視化という、セキュリティ対策の原点へと同社を向かわせた。
以来、NECでは自らの社内システムを“実験場”とすることで、業務現場における実践と、ユーザにとってより使いやすいセキュリティの仕組みづくりを追求しつづけた。クライアントパソコンが数万台規模の全社システムから、パソコンが数十台規模のグループにいたるまで、あらゆるシステム環境のセキュリティ対策を実現しえたのも、自ら社内システムを“実験場”とした成果にほかならない。
ソフトやシステムを実際に利用した、業務現場からの具体的な要望や、仕組みの検証を通じて発掘された課題は、すぐさまセキュリティ製品開発の部門へとフィードバックされ、より強固なソフトやシステムの開発へと活かされてきた。また、日々蓄積されたノウハウや手法なども、より安全な仕組みづくりへと吸収された。この有機的なサイクルの繰り返しが、NECのセキュリティ製品やセキュリティソリューションの進化・成長を、今でもダイナミックに加速させている。
|
 |
|
| 図4 システムにおけるセキュリティマネジメントサイクルの確立 |
|
|
| さまざまな経験やノウハウを活かした、セキュリティコンサルテーションサービス。 |
NECでは、自らの実体験やセキュリティマネジメントの確立を通じて培った、さまざまな経験やノウハウを活用して、早くからコンサルテーション事業を立ち上げている。企業システムへ、単に製品やシステムソリューションを当てはめるだけでなく、それ以前のテーマとして、どのようにすれば高度な情報セキュリティを確立できるのかを、身をもって知りつくしているからこそ、キメ細かなコンサルテーションが可能になったのだという。
先にご紹介した、社内情報の可視化や、セキュリティマネジメント確立へ向けての方法などを、具体的にわかりやすく相談に応じている。極端な言い方をすれば、このコンサルテーションこそがセキュリティ対策のメインテーマであり、そのあとへ導入する製品類はそれに付随する必要な道具にすぎない…と言えるかもしれない。
NECでは、まず製品ありきではなく、その前に必要なセキュリティマネジメントの確立過程に、もっとも大きな力を注いでいる。それは、実体験を通じて学んだ、企業システム全体や個々の業務現場における真の安全性の確立を、熟知しているからにほかならない。
|
| ウィルスやワームの被害やPCの不正接続から、情報インフラを強力に防護する「CapsSuite」。 |
サイバーアタック対策システム「CapsSuite」は、NECの社内システムを“実験場”として機能が磨かれ、ユーザ本位の開発思想による使いやすさが大きな魅力となっている。年々凶悪化する社外からのサイバーアタックや、感染スピードが速くなっているウィルス/ワーム対策には最適なツールと言えよう。 |
 |
|
| 図5 「CapsSuite」機能の全体像 |
|
「CapsSuite」の開発コンセプトは、次の3つのポイントにしぼられる。
●OSやアプリケーションなどセキュリティパッチの簡単適用
●ネットワーク上に存在するパソコンの徹底管理
●社外から持ち込まれネットワークに接続される外部パソコンからの防御
|
業務現場の社員は、システム管理者から「パッチを適用してくれ」と言われても、なにをどう適用すればいいのか、とまどうケースが多い。ソフトウェア製品ごと、アップデート専用の特定サイトへアクセスし、そこからパッチをダウンロードするわけだが、OSだけならともかく、各種アプリケーションやツールのパッチ適用となると、ユーザにとってはかなり煩雑で負担の多い作業となる。
だが、「CapsSuite」を導入すれば、これらの面倒な作業が一気に軽減される。
ユーザのパソコン画面に、パッチ適用の指示がポップアップ画面で表示される。そのガイダンスにしたがってパッチをダウンロードすれば、セキュリティホールは確実に埋まる。どのようなソフトのパッチ適用も、同じ指示画面・同じ操作手順なのでユーザがとまどうこともない。 |
 |
|
| 図6 「CapsSuite」パッチ適用のポップアップ画面 |
|
|
|
また、「CapsSuite」のエージェントが適用指示を出すので、管理者からユーザへの個別指示の作業はいらない。もちろん、管理者はどうしてもパッチを適用しないユーザのパソコンへ、強制的にパッチを適用することもできる。 |
|
| 社内のネットワークやパソコンを一括して見張り、脆弱な箇所や不正アクセスの発見に威力を発揮 |
「CapsSuite」の本領は、単にパッチ適用を支援するだけでなく、実は社内のネットワークやパソコンなどの管理にある。セキュリティの弱い箇所をいち早く発見できると同時に、社内のIT資産情報を一括して管理できる機能を備えている。 |
 |
|
| 図7 「CapsSuite」LAN接続のパソコンをすべて把握・表示 |
|
|
|
「パソコン見張り隊」と名づけられたこの機能を活用すれば、社内に存在するパソコンのソフトインストール情報やセキュリティ対策情報、メモリやハードディスクの消費情報など、パソコンインベントリ情報を自動収集して、「CapsSuite」統合管理サーバのデータベースへと蓄積。個々のパソコンの詳細な情報までが管理可能となる。収集した情報を参照することで、社内のセキュリティレベルを具体的な数値として把握でき、すばやく対策を施すことでセキュリティリスクを大きく減らすことができるのだ。 |
 |
|
| 図8 「CapsSuite」セキュリティレベルを数値で可視化 |
|
|
|
また、外部から持ち込まれたパソコンや、社内ネットワークへの接続を許されていない社員個人のパソコンなどが不正接続されると、瞬時に検知して管理者へと通報する。パケットを監視してネットワークに接続されたすべてのパソコン情報を集めるので、漏れのないセキュリティ管理体制を築くことができる。 |
 |
|
| 図9 「CapsSuite」不正接続の検知・通報機能 |
|
|
|
管理者へは不正接続情報が、画面へのポップアップやメールでリアルタイムに通報される。
不正接続のパソコンは、管理者側から強制的に接続を妨害することができる。このすばやい対応により、社内システムへのウィルス/ワーム感染の危険を防ぎ、同時に社内データの不正持ち出しなどを未然に防止することができる。さらに万が一、社内パソコンへウィルス/ワームが感染した場合でも、自動的にネットワークから感染パソコンを遮断する機能もサポートしている。
このように、「CapsSuite」は管理者とユーザの双方から、パソコンに対する管理負荷を大きく軽減するとともに、社内のセキュリティレベルを一気に向上させることが可能だ。特に、日々の業務に追われがちなユーザは、ソフト製品ごとに特定サイトへアクセスしてはパッチ適用を繰り返す煩わしい作業から解放され、本来の仕事に集中して生産効率を高めることができる。システム管理者にとっても、社内システムの一括した可視化は、管理効率を飛躍的にアップさせるにちがいない。
|
|
| 内部からの情報漏えいを防止する、「InfoCage」に徹底したセキュリティ機能。 |
「個人情報保護法」の完全施行以来、もっとも注目を集めているのが、内部からの情報漏えいを強力に防止する「InfoCage」だ。「InfoCage」が提供するセキュリティ対策には、次の3つのコンセプトがある。
●機密データを持ち出させない(拡散させない)
●重要データの共有とパソコンの盗難/紛失対策(強力な暗号化)
●データ操作の常時監視(故意の持ち出し抑制・防止)
「InfoCage」は「InfoCage/持ち出し制御」、「InfoCage/ファイル暗号」、「InfoCage/ モバイル防御」、「InfoCage/ファイル操作監視」の4つの製品から構成される。先の情報可視化のテーマとともに、守るべき情報のレベルへ当てはめてみると、以下のようになる。
|
 |
|
| 図10 「InfoCage」の情報漏えい防止対策 |
|
まず、「InfoCage/持ち出し制御」は、他社製品には見られないユニークな特長を持っている。
同様の他社製品では、機密データをサーバからダウンロードしてパソコン上で作業するため、パソコンから外部へデータが流出しないように持ち出しを制限している。
すると顧客情報などの機密データだけでなく、一般文書をもパソコンから外部へ持ち出すことができず、効率的に仕事が行えないことになる。ところが、「InfoCage/持ち出し制御」では、パソコン(ローカル環境)へ機密データをダウンロードすることがない。閲覧や編集は行えるが、画面に表示されるのは論理的なテンポラリファイルで、実際にファイルが移動しているわけではない。つまり、機密データは持ち出し禁止の状態を保ちつつ、一般文書やパソコン内のデータは持ち出し制御の対象にならないので、ユーザの仕事を妨げないのだ。
|
 |
|
| 図11 「InfoCage/持ち出し制御」の作業フレキシビリティ |
|
もちろん機密データに関しては、徹底した記憶・出力制御を行い、データが拡散することを強力に防止している。 |
 |
|
| 図12「InfoCage/持ち出し制御」の禁止機能 |
|
同製品がWebアプリケーションに対応しているのも、大きなポイントの一つ。イントラ環境などで画面表示された人事情報や顧客情報などを、ブラウザでコピー・保存・印刷できないように制御できる。また、持ち出し権限はユーザ単位にも、グループ単位にも自在に設定することが可能だ。グループ単位に設定すれば、人事異動などでも所属するグループの変更だけで異動先のセキュリティポリシーがそのまま適用され、煩雑な変更設定は必要ない。システム管理業務を効率化し、管理負荷を軽減できるのも大きな特長の一つだ。
「InfoCage/ファイル操作監視」は、機密データや重要文書の操作ログを逐一記録するツールだ。サーバから持ち出された、機密ファイルの操作や移動などを徹底監視し、情報漏えいの抑止に効果がある。 |
|
| 機密データや重要文書の強力な暗号化は、目的に応じて2つの製品を併用 |
機密データや重要文書の暗号化は、二つの製品で対応している。一つは、文書を交換する際の漏えいを防止する「InfoCage/ファイル暗号」であり、もう一つがノートパソコンなどの紛失・盗難による情報漏えいを防ぐ「InfoCage/モバイル防御」だ。
「InfoCage/ファイル暗号」は、機密データや重要文書を取り扱う、次のようなシーンで活躍する。
●部門を超えた協働事業データなどを、プロジェクト関係者が持つ共通鍵で暗号化して共有
●部門限定データを、部門ごとの共通鍵で暗号化して部門内で共有
●鍵を共有しない第三者への情報漏えいを防止
「InfoCage/ファイル暗号」の操作は、至って簡単だ。暗号化したいファイルを、暗号化フォルダへ移動・コピーするだけで、自動的に暗号化が完了する。暗号化フォルダ内のファイルはダブルクリックするだけで復号化し、当該アプリケーションを自動起動してくれる。また、フォルダ内のファイルを定期的に巡回して、暗号化されていないファイルを見つけると自動で再暗号化してくれる便利な機能も備えている。
また、複数のグループ鍵を権限(たとえば管理職/部門全員)にしたがって配布し、暗号化されたファイルに対する閲覧制限機能を実現している。 |
 |
|
| 図13 「InfoCage/ファイル暗号」の閲覧権限例 |
|
取引先/プロジェクトごとに暗号化フォルダを用意し、異なる鍵を使うことで添付ファイルのメール誤送信による情報漏えいを防止できるなど、ビジネスの利用シーンに合わせたフレキシブルな運用が可能だ。これらの暗号化ソリューションは、特別なハードウェアを必要とせず、手軽に導入できるのも大きなメリットだろう。
さらに、「InfoCage/モバイル防御」は、ファイルの暗号化とパソコンのロック、データの抜き取り防止と三つの機能を組み合わせた情報漏えい防止対策を提供。これにより、万が一のパソコンや外部メディア(USBメモリなど)が紛失・盗難にあっても、内部の重要情報は強固にガードされ第三者に盗み見られることはない。 |
 |
|
| 図14 「InfoCage/モバイル防御」の物理的な鍵による強固な安全確保 |
|
これから、ますますユビキタス環境が浸透するにつれ、社外へ重要データを持ち出す機会も増えてくる。「InfoCage/モバイル防御」は、これからのビジネスには欠かせないモバイルセキュリティの基本ツールである。
このように、「InfoCage」は社外への情報漏えいを、総合的に防止する機能を提供している。しかも、社内システムの大きな改変は必要なく、最小限のシステムコストとシステム設定で、最大限の安全性を確保できるのが大きな魅力だ。また、「InfoCage」による情報漏えい防止策は、短期導入・早期稼動もその大きな魅力の一つとなっている。 |
|
| セキュリティ対策をリードする企業が、ビジネス競争で勝ち残る時代へ。 |
いまや、企業の規模や分野を問わず、ITネットワークシステムを常に安全で最適な環境に保っておかなければ、きびしい企業間競争には勝ち残れない時代となった。中でも、4月の「個人情報保護法」完全施行にともない、情報漏えいやサイバーアタックなどのセキュリティ対策は、企業の存亡さえ左右しかねない大きな課題となっている。
企業システムのセキュリティ強化は、そのまま経営基盤の増強へと直結するばかりでなく、ひいては企業の信頼性やブランドイメージを大きく高めることにもつながる。社員へのセキュリティ教育や組織の最適化など、人にかかわる領域はもちろん、常に最新のセキュリティマネジメントの確立をめざし、繰り返し安全性の確立を追求する姿勢こそ、情報インフラを駆使する企業に、いま一番求められているテーマと言えるだろう。 |
