IDC Japan セキュリティ リサーチ マネージャー 花岡秀樹氏

――まず、セキュリティ市場の変遷を見てきた立場から、セキュリティ対策への取り組み方の変化などを感じるポイントはありますか？

花岡氏■セキュリティ対策の必要性はすでにみなさん認識されているようですが、具体的な取り組み方についてはまだバランスの悪さが感じられますね。一般的にCIAと言われたりしますが、セキュリティ対策には重要な要素が3つあります。機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の3つです。この3つのバランスがとれていないのです。

　歴史的に見てみると、まず最初に求められたのは機密性でした。サーバやPCなどのネットワーク内の情報を守るために各種の対策が施されたのです。続いて、昨今では内部統制への取り組みが必要となり、その一環としてIT統制が課題となりました。そうした時代の移り変わりを受けて、ビジネスプロセスにおける完全性が重視され始めました。意識の高まりに応じて今後は実装段階へと進んでいくでしょう。

　機密性、完全性に対してセキュリティ対策における可用性への意識は低いままです。可用性とは、ITシステムがきちんと動いていて必要なときに使えること。継続性やディザスタリカバリに直結する考え方ですが、ビジネスプロセスにおいて情報が必要に応じて使える状態にあるか、が問題となります。これらは情報の利便性を支える重要な要素です。セキュリティ対策の次のステップは、ビジネスプロセスにおける利便性の向上がポイントになるでしょう。

――セキュリティ対策を施すと制限を重ねて使いづらくなるという印象があります。セキュリティ対策においても利便性を追求する理由とは何でしょうか？

花岡氏■リスクの軽減はもちろん重要ですが、利便性を無視したセキュリティ対策には、大きな落とし穴があります。実際の経験から、ひとつ例を紹介しましょう。

　ある企業で、情報漏えいを避けるためにメールセキュリティ製品を導入し、厳しいポリシーを制定しました。送信メールに添付されたファイルがチェックされるのですが、ZIPファイルには対応していませんでした。ZIPファイルを解凍してチェックするマシンリソースが不足していたためです。そこでチェック漏れをなくすために、ZIPファイルの添付を禁止するというポリシーを制定しました。もちろん、無視してZIPファイルを添付すれば自動的に削除されます。ところが、営業担当者など現場の従業員はファイルをまとめてやりとりするためにZIPを日常的に使用していたのです。サイズの大きいファイルのやりとりでは、圧縮は必要です。現場の業務フローに合わないセキュリティポリシーは守られません。この企業では、ZIPファイルの拡張子を「.ZIP」から「.TXT」に変更してチェックを通り抜けるという手法が現場では一般化していました。

　これは、現場の業務フローを無視したセキュリティポリシーを運用しようとした結果、現場のモラル低下を招いてしまった例です。セキュリティが向上するどころかリスクが潜在化し、より危険な状態に陥ってしまいました。使いやすく、現実的なソリューションでなくてはきちんと使ってもらえません。現場の生産性を損なわない、利便性を考えたセキュリティ対策を施さなければ、本当の意味でのセキュリティ向上は実現できないのです。

　本来、ITは企業内部と外部のデータを取り出し、移動、結合し、新しい価値を生み出していくために導入されるべきものです。しかし機密性や完全性を中心としたリスクの軽減が求められるあまり、外部との接続を制限する方向でセキュリティが強化されることが多いのが現実です。具体的には、社内にある商品や顧客に関する情報を、外にいる営業担当者や顧客、取引先のシステムとやりとりできることができなくなり、利便性が損なわれてきたのです。これでは、IT化の本来の目的である新しい価値の創造は実現できません。情報を守るためだけにセキュリティ技術を使うのではなく、企業活動の自由度を確保し、生産性を向上させるためにセキュリティ技術を活用していくよう、価値観の変換を図るべきタイミングにきているのではないかと思います。

「メリットを見据えてセキュリティ強化に 取り組むことで、セキュリティ対策の新たな 側面も見えてくるでしょう。」

――価値観の変換が求められているということですが、具体的にはどのような変革が求められているのでしょうか？

花岡氏■これまで、セキュリティの取り組みの中心となっていたのは「事故を減らす」というマイナス思考でした。しかしこれからは、セキュリティ強化によって得られるメリットを中心に考えるプラス思考で取り組んでいくべきではないかと思います。セキュリティに限らず、IT化を進める際には効果を想定してシステムを導入し、導入後には効果測定を行うでしょう。セキュリティ強化の場合、リスクをいかに減少させられたかという一点ばかりが効果測定の判断指標とされてきました。今後はそうではなく、リスクを減らした上で確保された利便性により得られる新しい価値に注目して、効果測定を行うべきではないかと思うのです。その際、得られるメリットとしてシステムとしての効率やシステム管理部門からの視点ばかりではなく、経営や現場の視点を取り入れた評価を取り入れていくといいでしょう。

　たとえば、IDマネジメントの製品を導入する際、これまでの感覚では個人認証の強化やマネジメント部門の管理負荷軽減にばかり注目してしまいがちです。しかしそれよりも、IDマネジメントの一元化により得られるメリットに注目してみてください。業務アプリケーションのID管理が一元化されれば、部署異動があってもすぐに必要なアプリケーションが使えるようになるので、短期間で必要なビジネスプロセスに参加できるようになります。また、同じID、パスワードで全システムを使えるなら、新システム展開時にもユーザーの抵抗は少なくなるでしょう。

　こうした現場での効果はすなわち、ビジネス機会損失のリスクを減少させることにつながります。生産性向上、コスト削減という効果として経営にも響いてきます。ビジネス機会の損失と、現場の生産性向上。これらは、セキュリティに取り組む際に取り入れるべき新たな指標になるはずです。こうしたメリットを見据えてセキュリティ強化に取り組むことで、セキュリティ対策の新たな側面も見えてくるでしょう。

　セキュリティ対策を行う際に考えてもらいたいもうひとつの新たな視点が、投資家や監査人からチェックされる立場としての視点です。日本版SOX法が施行され、ITに関する取り組みもオープンになっていく流れがあります。そうした中においては、外部からチェックされる立場という視点も忘れないようにしていきたいですね。

――取り組み方の変化に応えるような、製品やソリューションの新しい潮流はありますか？

花岡氏■最近注目しているものとして、社内のリソースをより広い範囲で、しかも安全に扱えるようにするためのソリューションがあります。DLP（情報漏えい対策）のようにネットワーク上のデータを監視し、社内のセキュリティポリシーを適用する範囲を広げていくような製品や、NACのようにネットワーク利用の制限を緩和させることが可能な製品がこれに当たります。

　もうひとつは、社内のITシステムをトータルコントロールするマネジメント製品の台頭です。製品やソリューションは以前からあり、製品ジャンルとしては目新しくはないかもしれません。特に、自社製品を統合管理するアプリケーション等は以前から各ベンダが提供しています。ただ、それらの製品はトータルコントロールによる管理負荷軽減を狙ったものでした。しかし最近、トータルコントロールによるリスクの健在化、ITシステムのロスの最小化のために活用され始めているのです。そのためには他社製品を含む幅広い製品をコントロールできる必要があるなど、これまでの統合管理製品とは違った進化を遂げる可能性がある製品ジャンルです。

　セキュリティ強化の次の一手を考えている企業も、これからセキュリティ対策に取り組む企業も、セキュリティをきちんと考えるには、自社のITシステム全体をタイムリーに把握することが重要です。そのためにはセキュリティマネジメント製品が多いに助けとなるでしょう。

――ありがとうございました。

関連タグ

• セキュリティ総論
  フォローする