「脆弱性は優先順位を決めて対応すべき」--米企業幹部がセキュリティ対策の問題点を指摘

田中好伸(編集部)

2005-09-15 21:11

 セキュリティ対策ソフトを開発する米Skybox Securityの最高戦略責任者(Chief Strategy Officer)で共同設立者のギディ・コーエン(Gidi Cohen)氏は9月15日、来日して欧米企業でのセキュリティ対策の現状などを説明した。

「SRMでセキュリティ対策は可視化できる」米Skybox Securityのギディ・コーエン(Gidi Cohen)氏

 コーエン氏は、情報システムのセキュリティ対策で、セキュリティに関する情報が未解析なままで対応されており、システムの継続性が欠如していると指摘した。そのため、ソフトウェアやネットワークの脆弱性が発表される度に、公表された脆弱性が業務にどれだけ影響を及ぼすのか判断されずに、情報システムの変更管理が繰り返されていると説明した。これにより結果的に企業の情報システムは高コストになってしまっているという。

 このような企業の情報システムの現状を踏まえ、コーエン氏は「セキュリティ・リスク・マネジメント(SRM)が必要とされている」と語った。SRMとは、脅威や脆弱性に対して処理する優先順位をはっきりさせて、潜在的な攻撃からの被害を最小化できるようにプロセスを構築、システムへの変更やパッチの影響範囲を把握するというもの。SRMを情報システムに導入すれば「セキュリティ対策の投資利益率(ROI)やリスク低減を定量的に効果測定できるようになる」(コーエン氏)という。

 Skybox SecurityではSRMを実現するソフトウェア・ツールとして「Skybox View」を提供している。Skybox Viewはネットワークの構成情報や脆弱性データなどのIT環境を仮想的に構築して、業務アプリケーションが持つ対応の優先順位の高い脆弱性を検出する。

 その次にSkybox Viewは、システムに対する攻撃をシミュレーションして、攻撃された場合に業務や全社的にどのような影響を与えるのか、金額などを計算する。シミュレーションから得られた結果をもとに、システム全体をどのように改善すべきか計画を立案できる。コーエン氏はSkybox Viewが他社製品より優れている点について「ネットワークを仮想化して攻撃シミュレーションができる」と説明している。

 Skybox Viewは大企業向けのEnterprise Edition、中堅企業や事業部向けのStandard Edition、監査役やコンサルタント向けのProject Editionなどに分かれ、日本市場ではトランスデジタル(旧ファイ)が販売している。日本語版のSkybox Viewは、シミュレーション結果などを報告するレポートやマニュアルは日本語で提供され、個人情報保護法などの法令順守(コンプライアンス)面での機能も含まれている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]