新春トップ座談会(前編)--「日本版SOX法はセキュリティ意識変化のトリガーに」

構成:萩原弘明
撮影:津島隆雄 2006年01月02日 08時00分

  • このエントリーをはてなブックマークに追加

 もはやITは社会を支える大きなインフラであり、時にはライフラインともなりうる。2005年は、そのライフラインに大規模なトラブルが続発している。その多くは内部要因によるものである。このことはリスクを管理すべき範囲の広さを改めて教えてくれたと共に、内部で発生するインシデントに対して、いかに無防備であったか、という問題点を突きつけることになった。そこで今回、リスク管理のあるべき姿を求めて、リスク管理ベンダー3社のトップに話を聞いた(前編・後編に分けて掲載)。

出席者
木村裕之氏 シマンテック 代表取締役社長
大三川彰彦氏 トレンドマイクロ 日本代表
加藤孝博氏 マカフィー 代表取締役社長
(司会)石橋正彦氏 ガートナー ジャパン
ガートナー リサーチ ソフトウェアグループ リサーチ ディレクター

マスから個へ犯罪性を強めたネット攻撃

石橋正彦氏 2005年はスパイウェアによる不正な現金引き出しやワーム被害が続出しました。まずはその原因などについて振り返っていただきたいのですが。

大三川彰彦氏 ウイルスやスパイウェアなどの不正行為は、これまでは「マス」である不特定多数のユーザーを対象に行うものが多かった。しかし最近では「個」、つまり企業や政府機関など、ある特定の組織などを対象にして意図を持って攻撃を行うようなものに変わってきました。対象を絞った攻撃になると、一般的なセキュリティ製品の導入だけでは完全に防げない状況になりつつあります。

「対象が不特定多数から特定の組織に変わってきている」大三川彰彦氏

 このような状況になってきた背景としては、企業におけるネットワーク利用の増加はもちろんのこと、セキュリティシステムの対策の遅れ、そして社員の方々におけるセキュリティ対策の必要性に対する認識のズレなど、さまざまな要因が絡んで、現状のネット犯罪を生み出す要因を生み出していると思います。

加藤孝博氏 それと、今までは特殊な技術をもった、いわばオタク的な人々による愉快犯的な行為が多かったんですが、より犯罪化、組織化されてきていると思います。裏社会の組織がコマースサイトなどに金銭目的で仕掛けてきている。金銭的な損失が伴っているというのが最近の特徴で、今後は企業もしっかりリスク管理ができないと損失が発生しかねないと言えるでしょう。

木村裕之氏 私も基本的にお二方と一緒なんですが、やはりITの役割が変わってきていると考えています。ITが経営の中核に入り込んできている、あるいは社会インフラになっていることで、今までのような興味本位でなく、企業の中核への攻撃や金銭的トラブルを惹起しているんですね。ですから我々ベンダーも製品だけでなく、さらなるマネジメントを求められていると感じますね。

「金銭目的で仕掛けてきている」加藤孝博氏

石橋 ガートナーもウイルス対策だけでなく、ほかのアプリケーションまで管理していく必要性を考慮しています。たとえばスパイウェアによる被害、これは米国の調査なんですが、1人あたり900ドルに上るという結果が出ているんです。

結局はコンプライアンス

石橋 また2005年は、東証のシステムダウンなど内部的インシデントによるトラブルが続発しました。こうしたことが起こらないような情報リスク管理についてのお考えをお聞かせください。

大三川 情報リスク管理というと、一言で語るには広すぎるのですが、インシデントの要因を外部と内部で分けたとき、内部に対するリスク管理では、企業全体でコンプライアンスを確保すること、たとえばISMS(Information Security Management System)やプライバシーマーク(Pマーク)などに基づいて対策を講じ、徹底する必要があります。それにあわせて社員のオペレーション、つまり業務プロセスにおいて、どのような情報が必要なのかを具体的に落とし込んで意識させるということです。

「ITが経営の中核に入り込んできている」木村宏之氏

 外部に対するリスク管理は、やはり基準を明確化することでしょうね。外部との取引にやり取りできる情報を明確化するということ。技術的には解決策はあるのですから、情報を漏洩させない基準というものが必要でしょう。もちろん社員に対する教育も行い、意識を高める必要があります。

加藤 インシデントというと「人」の側面と「システム」の側面がありますよね。システムの側面には大きく分けてふたつある。ひとつは脅威に対する防衛です。これはファイアウォールやアンチウイルスなども含まれます。もうひとつはコンプライアンス(法令遵守)管理です。どうポリシーを確立し、脆弱性に対してどのように管理していくかとか、脅威に対する低減効果をどう生み出していくかなどをシステム化していくということです。

 マカフィーでも、この両者をどう両立するかに腐心しているところで、前者には各種のツールを揃え、後者に対しては上流のコンサルテーションから脆弱性評価、それに対する防御対策などを提供できるようにしています。こういった一貫したものがないと、会社の資産や脅威に対する防御を担保できない。

  • このエントリーをはてなブックマークに追加
関連キーワード
経営

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化