セキュリティツールの導入効果をアップさせる

呉井嬢次(Johji Kurei) 2005-09-28 07:32:00

 不正アクセス、個人情報漏えいの事件が相次ぐと、情報システム部門からセキュリティ製品の導入が相次いでくる。事故は避けたいので、費用を捻出して導入することになることが多い。会社全体で、つまり経営レベルでは、どう評価されているか、これは重要だ。

導入しても、セキュリティ効果があったとは限らない

 インシデント(情報システムに関するトラブル)が発生すれば、セキュリティ対策が求められる。しかし、セキュリティ対策が行われていれば、インシデントが発生する、とは必ずしも言えない。一つ例を挙げよう。2つの企業が、ホームページへの改ざん防止を行う対策を検討していた。既に両社は、ファイアウォールを導入済みだった。そこで、次に何をやるべきか、という話になった。IDS(不正検知システム)、IPS(侵入防止システム)、整合性検知対応ツール、追跡性侵入防止システム、ネットワークの分離、改ざん不能コンテンツの変更、侵入テストなど、色々な製品、手法、裏技がある。

 ある企業(A社)は海外のセキュリティ製品を導入し、別の企業(B社)はオープンソースのセキュリティーツールをカスタマイズすることにした。幸いなことに、これまで両社ではインシデントは発生していない。A社は製品の導入コストの他に、毎年サポート料金を支払っている。B社はオープンソースということもあり、費用はかからないが、適宜アップデートに追われている。新規に人を採用していないので、追加的な人件費はかかっていない。A社の経営者は、インシデントが起きていないので、導入効果がわからない。B社の経営者も、導入効果がわからない。しかし、対外的には、B社は「オープンソースを活用して情報システムのセキュリティ対策をやってます」とアピールしている。営業担当者も自社の宣伝トークにつかっている。経営者はセキュリティ効果がみえない限り、お金のかかった導入したセキュリティ製品の宣伝は、なかなか自主的にはしないということ。セキュリティ効果をどうやって伝えるか、技術的な問題ではないが、これも実は重要なのだ。

セキュリティ効果は、まず視覚に訴える

 セキュリティ製品の多くは、想定したユーザーが情報システム担当者、管理者に限定されている。悪用を防ぐ意味から利用者を限定して設計されている。これは良いのだが、アウトプットが弱い特徴がある。つまり、ツールから出力される情報がすべてログとして出力され、加工するにもPerlやシェルなどスクリプトで一旦処理してから、グラフ化する必要があった。最近は、改善された製品も出てきているが、まだセンスがよろしくない。その結果、システム管理者は、セキュリティ製品の本来の機能は十分に発揮しているので、出力よりも、無事に稼動していればよいと思うようになる。その結果、セキュリティ効果は経営レベルまで上がっていかなくなるのである。つまりポイントは、こうなる。
「経営者は、同じ機能を持つなら、報告機能が高いセキュリティ製品を選ぶべし」

セキュリティ効果は、操作性の向上から

 セキュリティ製品に限らず、情報システムの多くは操作性がよろしくない。ウインドウズになって操作性は向上したが、未だ抵抗を持つ人が多い。セキュリティ製品に至っては、メニューが英語だったり、GUIが独自で、操作性を故意に妨げていると思いたくなる。操作性が良いセキュリティ製品といえば、パソコン向けウイルス対策ソフトくらいだろう。セキュリティ効果をアップしていくには、操作性を向上させるしかない。実際に、セキュリティ製品に対して、メニューは日本語化、操作はGUIをカスタマイズしていけばよい。具体的なやり方は、セキュリティ製品に精通した者に任せればよい。セキュリティ製品の操作性が向上すれば、セキュリティ製品の基本操作を周りに伝えやすくなる。利用者が増えれば、その効果を体験するユーザーも増えていく。GUIには、出力機能も追加していけば、最終的にセキュリティ効果も目に見える形でアピールできる。つまり、ポイントは、こうなる。
「操作性が優れたセキュリティ製品を選ぶべし」

 A社、B社でセキュリティ対策する選択するケースを紹介したが、私はオープンソースを推薦しているわけではないし、セキュリティ製品を推奨しているわけでもない。セキュリティを専門に行っている企業は、独自の情報網をもって独自の対策を組み込んでいる。その機能は、オープンソースのセキュリティツールには搭載されていないことも知っている。導入する企業が導入・維持コストに見合うだけの投資効果があるのか、これを考えずに導入すると結果的に損をする。既に導入してしまったら、セキュリティ効果を満足に引き出す方法を検討すればよい。そうすれば、今からでも、セキュリティ効果を引き出すことはできる。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR