━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 2 】News & Views Column 「今年のトレンドは?」 JPNIC CAとアプリケーション専門家チームメンバー NTTコミュニケーションズ(株) 久保彰 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 職業柄さまざまなセキュリティ製品に接する機会がありますが、今年のトレン ドは「内部情報漏洩対策」と「自己防衛型ネットワーク」に尽きるのではない でしょうか? 先日幕張メッセで開催された、NetWorld+Interop 2004 Tokyoで も各社が競って製品のアピールをしていたように思います。 ご存知のように2005年4月より本格施行される個人情報保護法に対する危機感、 それに追随するかのごとく発生した大規模な個人情報流出事件が「内部情報漏 洩対策」のブームを巻き起こしていることは容易に想像できると思います。 対する「自己防衛型ネットワーク」ですが、2003年暮れに提唱されたこのコン セプトを斬新だと思った方はあまりいないのではないでしょうか。こんなこと を書くとベンダー各社さんに叱られてしまうのではないかとも思いますが。ウィ ルスの脅威に対する認識の広がりに伴い、民間企業においてはすでに90%以上 (*)も普及しているウイルス対策。アプリケーション、OSの脆弱性、セキュリ ティホールの調査について、すでにキュリティ監査サービスとして利用可能な ASPなどのサービス。自己防衛型ネットワークは、これら既存のものをうまく 組み合わせたソリューションなので、それほど斬新さは感じられません。 ただ「自己防衛型ネットワーク」では、ウィルス対策の不備や重要な更新の適 用といった利用者任せのPC管理をシステムで管理するといった点では、優れた アプローチだと考えることができます。資産管理とセキュリティ管理を一緒に 実施することで、情報漏洩やウィルス拡散の原因となる未許可PCの持ちこみな どについても対策を施すことができるなど、副次的な対策も実施できるように なっています。 ただし「情報漏洩」や「ウィルス感染」などのインシデントはシステムが勝手 に発生させるわけではありません。ほとんどの企業の場合、ウィルス対策につ いては自動的にパターンファイルを更新するということは実行されているよう ですが、全く更新されないといった事例もあるようです。またWebサーバやCGI プログラムの脆弱性を突いて情報を取り出すという不正アクセスもありますが、 いずれにしてもそこには常に人間が存在します。極論すれば人間の数だけイン シデントがあると考えてもおかしくはないのです。 これらの人間の取る振る舞いを上記二つの技術で統制しようとするわけですね。 果たしてこれでいいのでしょうか? みなさんはどう思われますか? 技術主導 の対策は一見して分かり易く対策を実施しやすいとは思います。ただ、技術主 導では新しい脅威が発生した際に、また新しい技術を導入する必要性も発生す るでしょう。いわば技術主導は技術のピラミッドを形成してしまうため、根本 的な対策を取るためにはこのピラミッドを積み上げていく作業が必要とされる わけです。無理して積み上げないと今度は利用者の利便性が損なわれることに なります。 私が最近思うのは、人間に対する継続的な教育やトレーニングはどうするのだ ろうかということです。システムを利用するのは人間ですから、インシデント の発生リスクを軽減するためには、教育やトレーニングにもやはり力を入れて いかなければならない時期にきているのではないかと思います。「臭い匂いは 元から絶たなきゃダメ」ということを念頭において、教育と技術のバランスを 考えて対策を取るようにしたいものだと常々考えています。 (*) 総務省「情報セキュリティ対策の状況調査結果」より http://www.soumu.go.jp/s-news/2002/020509_2.html