この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

実用的な企業セキュリティの3要素

エンドポイントセキュリティ 2017/01/05

 前回、「経営層が知っておくべきセキュリティ――対策は実用主義暗号化で」を投稿した後、このような質問を受けた。

「実用的セキュリティとは何か。実用的に保護するためには、何をしなければならないか」
「何から始めて、どんな技術で、どのように設計したら実用的なセキュリティとなるのか」
「技術者でなく、経営者の立場から実用的セキュリティを実現するためには、何を知るべきか」

 セキュリティの深刻な問題は技術の難解さである。そのため、企業の現場では相対的に理解しやすく簡単な方法論だけを選択する傾向があり、これが結局セキュリティ上の弱点になり、事故が発生するケースが多い。

 そのため前回はより現実的で実用的な方法論が必要だという点までにして話を終えたが、これはちょっと無責任に見えたかもしれない。そこで今回は、上記の質問に対して、より総体的な答えを申し上げたいと思う。

個人セキュリティと企業セキュリティ

 何から始めたら良いか。それは、「個人セキュリティ」と「企業セキュリティ」の違いを理解することだ。

 セキュリティ事故が発生すれば、「わが社は、セキュリティ対策をとっていた」と被害者の訴えを聞いたりする。それはきっと事実だろう。セキュリティ措置を取ったのは確かかもしれないが、事故は発生したのが現実だ。であれば、施していたセキュリティ対策は最初から余計なことだったのか。

 答えは、そうだ。そのような事故が発生するようなセキュリティ対策は、無駄なのだ。経緯が明確な事故が繰り返し起きるのは、何か問題があるのだ。これらの多くは個人セキュリティ対策だけを取っているためであり、「個人セキュリティ」と「企業セキュリティ」の差をきちんと理解していないために起こるのだ。

 一般的に、「ITセキュリティ」というと、ほとんどの人はアンチウイルスやパスワードを思い浮かべる。これは、全て個人セキュリティ観点での問題だ。特に、アンチウイルスは、企業が使う大規模なシステムとは距離があり、あくまで個人のPCのための道具なのだ。しかし、セキュリティ事故が起こると、アンチウイルス会社は事件のプロファイラーを自任し、対策としてワクチンの設置を勧める場合が多い。

 もちろん、関係がないわけではない。企業のシステム構成やOSがどうであれ、企業に属する個人ユーザーが接する環境はほとんどがPCやWindowsシステムであり、これを侵入経路として利用し犯罪を図る場合も多いため、完全に無駄だというわけではない。しかし、個人セキュリティと企業セキュリティは、最初から違う概念から始まっており、その方法論もまた全く違う。にもかかわらず、個人セキュリティだけが一般に拡がったため、相対的に企業セキュリティは重要な問題と扱われてない。技術者さえ、それが何なのか知らない場合も多い。


 では、企業セキュリティの構成要素とその核心となる道具を調べてみよう。

企業セキュリティ = データセキュリティ+Webセキュリティ+認証セキュリティ

企業セキュリティの3要素とは、

 1)データセキュリティ
 2)Webセキュリティ
 3)認証セキュリティ

である。  

そして、各要素の核心になるのは、  

 1)データの暗号化
 2)アプリケーションセキュリティ
 3)セキュリティ認証サーバ


である。

■1)データセキュリティ

 今日のITセキュリティの中心は、過去のネットワークやサーバなどのインフラを保護することに力を尽くした装置的なセキュリティから、データとアプリケーションを保護する情報的なセキュリティに移っている。これは、私たちが最後まで守らなければならない価値が何なのかを悟っていく過程と見ることができる。

 企業が究極的に守らなければならない本当の価値は「データ」だ。そして、データを守るさまざまな方法の中で最も根本的で安全な方法は「暗号化」だ。暗号化の他には、事実上、他の方法がない。そして、データ暗号化はたくさんの企業セキュリティ要素の中でも最も根幹をなすセキュリティインフラの基盤技術である。

■2)Webセキュリティ

 全てのデータは、アプリケーションを通じて移動する。そして、今日のアプリケーションの主な移動環境はWebだ。最近のWebは、通信技術だけをいうのではない。システム環境からユーザインタフェースに至るまでの全てのIT技術がWebで統合されている。これからは、ほとんど全てのアプリケーションがWeb環境で開発されて運用されるようになるだろう。Webに統合される環境の変化は、より広くつながってさらに多くのものを共有しようとする開かれた社会への変化を意味する。これは、逆らえない時代の流れであり、Webセキュリティの重要度は今も非常に高いが、これからより高まっていくだろう。「Webセキュリティ」は、企業セキュリティの最前線である。

 前述で、全てのデータは、アプリケーションを通じて移動すると述べた。システムやネットワークではなく、アプリケーション、そして最近のWebは、通信技術だけではないとも話した。これは、Webセキュリティにおいて最も重要な弱点を指摘しようというものだ。よくWebを通信技術とだけ考え、Webセキュリティをシステムセキュリティやネットワークセキュリティ方法論で解決しようとする試みをしたりする。例えば、ネットワークファイアウォールがWebセキュリティソリューションの振りをしたりもする。しかし、Webセキュリティにおいて最も重要な領域は、アプリケーションセキュリティだ。

 最近起きている情報セキュリティ事故の約90%がWebアプリケーションの盲点を悪用した攻撃による事故だ。事故が最も頻繁に起きるところから優先的にかつ集中的に防御する。これが、実用的な考え方である。重ねて強調するが、Webセキュリティにおいて最も重要な核心は、「アプリケーションセキュリティ」だ。

■3)認証セキュリティ

 そして、個人セキュリティと企業セキュリティの概念が最も密接に交差する地点が、「認証セキュリティ」だ。個人セキュリティレベルでの認証セキュリティ方法として最も有名なのはパスワードだ。しかし、ユーザー個人ができることは、ただ難しいパスワード作るぐらいに過ぎない。

 もちろん、パスワードを十分難しく作るのは安全だ。しかし、一定の形式を備えて安全なパスワードをセキュリティ政策によって定期的に変更するなど、複雑な手続きが必要だ。その結果
、侵入者から防除はするが、自分もパスワードを忘れてしまい、システムにアクセスできない状態に至ることも案外よく起こる。これは、より実用的な認証セキュリティの必要性を逆説的に話したものだ。認証セキュリティの必須要素、つまり、十分なセキュリティとユーザーの利便性、そして業務効率性の間の関係が崩れた結果だ。そして、企業がやるべきことを個人に転嫁した無責任な態度とも見られるだろう。「認証セキュリティ」は、従来の個人セキュリティレベルから企業セキュリティレベルに移る、情報セキュリティ概念の転換点である。

 企業セキュリティレベルでの認証セキュリティの核心は、「セキュリティ認証サーバ」である。「SSO(Sigle Sign-On)」機能を備えた認証サーバは、認証手続きを一本化することにより、サーバの数が非常に多い企業でもサーバごとに異なる認証手続きを必要とせず、全体を利用することができるように一括的な処理を可能にしてくれる。ユーザーの身元を確認して、単一認証だけで、全体サーバへのアクセス許可をするが、ユーザーごとの権限によって各サーバに対して異なる権限を適用し、統合的に管理する。このような基本的な機能に加えて、セキュリティ認証サーバは、上記の過程全体にわたって十分なセキュリティレベルを維持してくれる。

実用主義企業セキュリティの3要素

 では、最初の質問に戻ろう。

「実用的セキュリティとは何か。実用的に保護するためには、何をしなければならないか」

その問いに対する答えは、
企業セキュリティの3要素 :
1)データのセキュリティ、2)ウェブセキュリティ、3)認証セキュリティ

だ。それに対し、

各要素の核心:
1)データ暗号化・2)アプリケーションセキュリティ・3)セキュリティ認証サーバ  

これをすれば良い。これならなら十分、「実用的な企業セキュリティ」を成し遂げたと言えるのだ。

※本コラムの著作権は、データベース暗号化・Webセキュリティ専門企業「ペンタセキュリティシステムズ(https://www.pentasecurity.co.jp)」にあります。

※ペンタセキュリティシステムズのWAF製品ページはこちら:https://www.pentasecurity.co.jp/product/webアプリケーションファイアウォール/wapplesのご紹介

※ペンタセキュリティのデータベース暗号化ソリューションはこちら:https://www.pentasecurity.co.jp/product/暗号プラットフォーム/2_damo/

※クラウド基盤のWebハッキング遮断サービス「Cloudbric」のホームページはこちら:http://www.cloudbric.jp

※本コラムの過去記事や関連情報はこちら:http://news.mynavi.jp/enterprise/pentasecurity/

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009442


IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステムズ株式会社) > 実用的な企業セキュリティの3要素

このページの先頭へ

キーマンズネットとは
1999年ペンタセキュリティシステムズに入社し、17年間データ暗号化ソリューション、Webアプリケーションファイアウォールなどの製品に手掛け、セキュリティ技術研究所の所長を歴任。2011からはCTOとして新技術・新製品企画などを担当している。

ページトップへ