新春トップ座談会(前編)--「日本版SOX法はセキュリティ意識変化のトリガーに」

構成:萩原弘明
撮影:津島隆雄

2006-01-02 08:00

 もはやITは社会を支える大きなインフラであり、時にはライフラインともなりうる。2005年は、そのライフラインに大規模なトラブルが続発している。その多くは内部要因によるものである。このことはリスクを管理すべき範囲の広さを改めて教えてくれたと共に、内部で発生するインシデントに対して、いかに無防備であったか、という問題点を突きつけることになった。そこで今回、リスク管理のあるべき姿を求めて、リスク管理ベンダー3社のトップに話を聞いた(前編・後編に分けて掲載)。

出席者
木村裕之氏 シマンテック 代表取締役社長
大三川彰彦氏 トレンドマイクロ 日本代表
加藤孝博氏 マカフィー 代表取締役社長
(司会)石橋正彦氏 ガートナー ジャパン
ガートナー リサーチ ソフトウェアグループ リサーチ ディレクター

マスから個へ犯罪性を強めたネット攻撃

石橋正彦氏 2005年はスパイウェアによる不正な現金引き出しやワーム被害が続出しました。まずはその原因などについて振り返っていただきたいのですが。

大三川彰彦氏 ウイルスやスパイウェアなどの不正行為は、これまでは「マス」である不特定多数のユーザーを対象に行うものが多かった。しかし最近では「個」、つまり企業や政府機関など、ある特定の組織などを対象にして意図を持って攻撃を行うようなものに変わってきました。対象を絞った攻撃になると、一般的なセキュリティ製品の導入だけでは完全に防げない状況になりつつあります。

「対象が不特定多数から特定の組織に変わってきている」大三川彰彦氏

 このような状況になってきた背景としては、企業におけるネットワーク利用の増加はもちろんのこと、セキュリティシステムの対策の遅れ、そして社員の方々におけるセキュリティ対策の必要性に対する認識のズレなど、さまざまな要因が絡んで、現状のネット犯罪を生み出す要因を生み出していると思います。

加藤孝博氏 それと、今までは特殊な技術をもった、いわばオタク的な人々による愉快犯的な行為が多かったんですが、より犯罪化、組織化されてきていると思います。裏社会の組織がコマースサイトなどに金銭目的で仕掛けてきている。金銭的な損失が伴っているというのが最近の特徴で、今後は企業もしっかりリスク管理ができないと損失が発生しかねないと言えるでしょう。

木村裕之氏 私も基本的にお二方と一緒なんですが、やはりITの役割が変わってきていると考えています。ITが経営の中核に入り込んできている、あるいは社会インフラになっていることで、今までのような興味本位でなく、企業の中核への攻撃や金銭的トラブルを惹起しているんですね。ですから我々ベンダーも製品だけでなく、さらなるマネジメントを求められていると感じますね。

「金銭目的で仕掛けてきている」加藤孝博氏

石橋 ガートナーもウイルス対策だけでなく、ほかのアプリケーションまで管理していく必要性を考慮しています。たとえばスパイウェアによる被害、これは米国の調査なんですが、1人あたり900ドルに上るという結果が出ているんです。

結局はコンプライアンス

石橋 また2005年は、東証のシステムダウンなど内部的インシデントによるトラブルが続発しました。こうしたことが起こらないような情報リスク管理についてのお考えをお聞かせください。

大三川 情報リスク管理というと、一言で語るには広すぎるのですが、インシデントの要因を外部と内部で分けたとき、内部に対するリスク管理では、企業全体でコンプライアンスを確保すること、たとえばISMS(Information Security Management System)やプライバシーマーク(Pマーク)などに基づいて対策を講じ、徹底する必要があります。それにあわせて社員のオペレーション、つまり業務プロセスにおいて、どのような情報が必要なのかを具体的に落とし込んで意識させるということです。

「ITが経営の中核に入り込んできている」木村宏之氏

 外部に対するリスク管理は、やはり基準を明確化することでしょうね。外部との取引にやり取りできる情報を明確化するということ。技術的には解決策はあるのですから、情報を漏洩させない基準というものが必要でしょう。もちろん社員に対する教育も行い、意識を高める必要があります。

加藤 インシデントというと「人」の側面と「システム」の側面がありますよね。システムの側面には大きく分けてふたつある。ひとつは脅威に対する防衛です。これはファイアウォールやアンチウイルスなども含まれます。もうひとつはコンプライアンス(法令遵守)管理です。どうポリシーを確立し、脆弱性に対してどのように管理していくかとか、脅威に対する低減効果をどう生み出していくかなどをシステム化していくということです。

 マカフィーでも、この両者をどう両立するかに腐心しているところで、前者には各種のツールを揃え、後者に対しては上流のコンサルテーションから脆弱性評価、それに対する防御対策などを提供できるようにしています。こういった一貫したものがないと、会社の資産や脅威に対する防御を担保できない。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]