もはやITは社会を支える大きなインフラであり、時にはライフラインともなりうる。2005年は、そのライフラインに大規模なトラブルが続発している。その多くは内部要因によるものである。このことはリスクを管理すべき範囲の広さを改めて教えてくれたと共に、内部で発生するインシデントに対して、いかに無防備であったか、という問題点を突きつけることになった。そこで今回、リスク管理のあるべき姿を求めて、リスク管理ベンダー3社のトップに話を聞いた(前編・後編に分けて掲載)。
出席者
木村裕之氏 シマンテック 代表取締役社長
大三川彰彦氏 トレンドマイクロ 日本代表
加藤孝博氏 マカフィー 代表取締役社長
(司会)石橋正彦氏 ガートナー ジャパン
ガートナー リサーチ ソフトウェアグループ リサーチ ディレクター
マスから個へ犯罪性を強めたネット攻撃
石橋正彦氏 2005年はスパイウェアによる不正な現金引き出しやワーム被害が続出しました。まずはその原因などについて振り返っていただきたいのですが。
大三川彰彦氏 ウイルスやスパイウェアなどの不正行為は、これまでは「マス」である不特定多数のユーザーを対象に行うものが多かった。しかし最近では「個」、つまり企業や政府機関など、ある特定の組織などを対象にして意図を持って攻撃を行うようなものに変わってきました。対象を絞った攻撃になると、一般的なセキュリティ製品の導入だけでは完全に防げない状況になりつつあります。
このような状況になってきた背景としては、企業におけるネットワーク利用の増加はもちろんのこと、セキュリティシステムの対策の遅れ、そして社員の方々におけるセキュリティ対策の必要性に対する認識のズレなど、さまざまな要因が絡んで、現状のネット犯罪を生み出す要因を生み出していると思います。
加藤孝博氏 それと、今までは特殊な技術をもった、いわばオタク的な人々による愉快犯的な行為が多かったんですが、より犯罪化、組織化されてきていると思います。裏社会の組織がコマースサイトなどに金銭目的で仕掛けてきている。金銭的な損失が伴っているというのが最近の特徴で、今後は企業もしっかりリスク管理ができないと損失が発生しかねないと言えるでしょう。
木村裕之氏 私も基本的にお二方と一緒なんですが、やはりITの役割が変わってきていると考えています。ITが経営の中核に入り込んできている、あるいは社会インフラになっていることで、今までのような興味本位でなく、企業の中核への攻撃や金銭的トラブルを惹起しているんですね。ですから我々ベンダーも製品だけでなく、さらなるマネジメントを求められていると感じますね。
石橋 ガートナーもウイルス対策だけでなく、ほかのアプリケーションまで管理していく必要性を考慮しています。たとえばスパイウェアによる被害、これは米国の調査なんですが、1人あたり900ドルに上るという結果が出ているんです。
結局はコンプライアンス
石橋 また2005年は、東証のシステムダウンなど内部的インシデントによるトラブルが続発しました。こうしたことが起こらないような情報リスク管理についてのお考えをお聞かせください。
大三川 情報リスク管理というと、一言で語るには広すぎるのですが、インシデントの要因を外部と内部で分けたとき、内部に対するリスク管理では、企業全体でコンプライアンスを確保すること、たとえばISMS(Information Security Management System)やプライバシーマーク(Pマーク)などに基づいて対策を講じ、徹底する必要があります。それにあわせて社員のオペレーション、つまり業務プロセスにおいて、どのような情報が必要なのかを具体的に落とし込んで意識させるということです。
外部に対するリスク管理は、やはり基準を明確化することでしょうね。外部との取引にやり取りできる情報を明確化するということ。技術的には解決策はあるのですから、情報を漏洩させない基準というものが必要でしょう。もちろん社員に対する教育も行い、意識を高める必要があります。
加藤 インシデントというと「人」の側面と「システム」の側面がありますよね。システムの側面には大きく分けてふたつある。ひとつは脅威に対する防衛です。これはファイアウォールやアンチウイルスなども含まれます。もうひとつはコンプライアンス(法令遵守)管理です。どうポリシーを確立し、脆弱性に対してどのように管理していくかとか、脅威に対する低減効果をどう生み出していくかなどをシステム化していくということです。
マカフィーでも、この両者をどう両立するかに腐心しているところで、前者には各種のツールを揃え、後者に対しては上流のコンサルテーションから脆弱性評価、それに対する防御対策などを提供できるようにしています。こういった一貫したものがないと、会社の資産や脅威に対する防御を担保できない。
「セキュリティ」 の新着情報
-
日本IBM、ICカードや生体認証デバイスに対応したアクセス管理製品の新バージョン
日本IBMは、アクセス管理ソフトウェアの最新版である「IBM Tivoli Access Manager for Enterprise Single Sign-On V8.1」を発... - IE 7のゼロデイ脆弱性に攻撃コードが公開される
- Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
- 「iPhone」と「iPod touch」を狙う危険なワームが出現
- マイクロソフト、「IE」のCSS処理に関する脆弱性を調査中と発表
- セキュリティ 一覧へ »
「2006年IT業界展望」 のバックナンバー
-
新春トップ座談会(前編)--「日本版SOX法はセキュリティ意識変化のトリガーに」
もはやITは社会を支えるインフラである。2005年、そのインフラに大規模なトラブルが続発した。そこで、リスク管理のあるべき姿をベンダー3社のトップに聞いた。 -
2006年はプラットフォーム元年--インテル
-
2006年の目標は二桁成長を継続すること--シトリックス
-
オープンコンピューティングとSOAを加速する--日本IBM
-
64ビット デュアルコアの浸透でシェア拡大を目指す--日本AMD
- 2006年IT業界展望 一覧へ »
-
CRMの限界を超える!「顧客経験価値マネジメント」実現の5段階
- 【導入事例集】多業種から評価されているWeb会議システム、24社の導入事例をご紹介
- 【日産自動車:BI導入事例】連結対象の36社からの情報を元に車種別損益管理を実現
- ストレージ問題の課題に対する解決方法
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- 最上級のブレードがこれだ!導入実績豊富な製品で構成され、仮想化環境に最適化し...
- 【顧客事例】日本製紙グループ様〜グループの「データ分析力」を向上、現場の「見...
- 業界トップシェアを誇るWeb会議システムが選ばれている理由
- 日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- データベースにおけるデータ管理の最新手法
企画特集
-
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場 -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
Intel Video Series
-
15. プラグマフリー構文
この4分間のビデオは、プラグマ構文を知らなくてもOpenMPディレクティブ... -
16. 並列性の用語定義
この6分間のビデオでは、このシリーズのビデオを通じて使用される用語を...
