もはやITは社会を支える大きなインフラであり、時にはライフラインともなりうる。2005年は、そのライフラインに大規模なトラブルが続発している。その多くは内部要因によるものである。このことはリスクを管理すべき範囲の広さを改めて教えてくれたと共に、内部で発生するインシデントに対して、いかに無防備であったか、という問題点を突きつけることになった。そこで今回、リスク管理のあるべき姿を求めて、リスク管理ベンダー3社のトップに話を聞いた(前編・後編に分けて掲載)。
出席者
木村裕之氏 シマンテック 代表取締役社長
大三川彰彦氏 トレンドマイクロ 日本代表
加藤孝博氏 マカフィー 代表取締役社長
(司会)石橋正彦氏 ガートナー ジャパン
ガートナー リサーチ ソフトウェアグループ リサーチ ディレクター
マスから個へ犯罪性を強めたネット攻撃
石橋正彦氏 2005年はスパイウェアによる不正な現金引き出しやワーム被害が続出しました。まずはその原因などについて振り返っていただきたいのですが。
大三川彰彦氏 ウイルスやスパイウェアなどの不正行為は、これまでは「マス」である不特定多数のユーザーを対象に行うものが多かった。しかし最近では「個」、つまり企業や政府機関など、ある特定の組織などを対象にして意図を持って攻撃を行うようなものに変わってきました。対象を絞った攻撃になると、一般的なセキュリティ製品の導入だけでは完全に防げない状況になりつつあります。
このような状況になってきた背景としては、企業におけるネットワーク利用の増加はもちろんのこと、セキュリティシステムの対策の遅れ、そして社員の方々におけるセキュリティ対策の必要性に対する認識のズレなど、さまざまな要因が絡んで、現状のネット犯罪を生み出す要因を生み出していると思います。
加藤孝博氏 それと、今までは特殊な技術をもった、いわばオタク的な人々による愉快犯的な行為が多かったんですが、より犯罪化、組織化されてきていると思います。裏社会の組織がコマースサイトなどに金銭目的で仕掛けてきている。金銭的な損失が伴っているというのが最近の特徴で、今後は企業もしっかりリスク管理ができないと損失が発生しかねないと言えるでしょう。
木村裕之氏 私も基本的にお二方と一緒なんですが、やはりITの役割が変わってきていると考えています。ITが経営の中核に入り込んできている、あるいは社会インフラになっていることで、今までのような興味本位でなく、企業の中核への攻撃や金銭的トラブルを惹起しているんですね。ですから我々ベンダーも製品だけでなく、さらなるマネジメントを求められていると感じますね。
石橋 ガートナーもウイルス対策だけでなく、ほかのアプリケーションまで管理していく必要性を考慮しています。たとえばスパイウェアによる被害、これは米国の調査なんですが、1人あたり900ドルに上るという結果が出ているんです。
結局はコンプライアンス
石橋 また2005年は、東証のシステムダウンなど内部的インシデントによるトラブルが続発しました。こうしたことが起こらないような情報リスク管理についてのお考えをお聞かせください。
大三川 情報リスク管理というと、一言で語るには広すぎるのですが、インシデントの要因を外部と内部で分けたとき、内部に対するリスク管理では、企業全体でコンプライアンスを確保すること、たとえばISMS(Information Security Management System)やプライバシーマーク(Pマーク)などに基づいて対策を講じ、徹底する必要があります。それにあわせて社員のオペレーション、つまり業務プロセスにおいて、どのような情報が必要なのかを具体的に落とし込んで意識させるということです。
外部に対するリスク管理は、やはり基準を明確化することでしょうね。外部との取引にやり取りできる情報を明確化するということ。技術的には解決策はあるのですから、情報を漏洩させない基準というものが必要でしょう。もちろん社員に対する教育も行い、意識を高める必要があります。
加藤 インシデントというと「人」の側面と「システム」の側面がありますよね。システムの側面には大きく分けてふたつある。ひとつは脅威に対する防衛です。これはファイアウォールやアンチウイルスなども含まれます。もうひとつはコンプライアンス(法令遵守)管理です。どうポリシーを確立し、脆弱性に対してどのように管理していくかとか、脅威に対する低減効果をどう生み出していくかなどをシステム化していくということです。
マカフィーでも、この両者をどう両立するかに腐心しているところで、前者には各種のツールを揃え、後者に対しては上流のコンサルテーションから脆弱性評価、それに対する防御対策などを提供できるようにしています。こういった一貫したものがないと、会社の資産や脅威に対する防御を担保できない。