おり、内部からの不正アクセスにも配慮しています。侵入検知システムに は、主に商用製品を導入しているのが一般的です。 365 日 24 時間のサービスを提供していることから、不正アクセスの監視、 有事の際の通知・通報用に、専用の管理システムを構築しています。通信 事業者では毎日膨大なログが出力されますが、ログの保管、ログ解析を行 なうシステムもあります。 ③データセンター データセンターのセキュリティ設備の特徴は、第三者による物理的な接 触を断っ設備にあります。カギのかかる檻のような場所にマシンが設置さ れ、フロアへのアクセス制御機器 ()C カード ) を導入しています。建物へ は監視カメラがあります。しかし停電対策、ネットワークの多重化、ネッ トワーク負荷、ウイルス対策などは、顧客との契約によって異なります。 これらはセキュリティ設備としてデータセンターが保有していますが、す べての顧客に提供しているわけではありません。顧客のサーバーを設置す るだけのサービス ( ホスティング ) の場合は、ネットワークに接続して電 源を供給する程度です。一方で、データセンターの所有するサーバーのデ イスクの一部を利用する場合には、ウイルス対策、脆弱性調査製品などを 使って厳しく管理しています。米国では、カリフォルニアの電力が供給で きすに停電してしまい、カリフォルニアにあるデータセンターが発電装置 を急遽導入した例もあります。 24 時間稼動を保証するデータセンターでは、 長時間の停電というリスクにも対処しなければならないのです。 データセンターでは多くの顧客が利用するため、ネットワーク回線を太 くしています。このため、侵入検知には一般企業が導入する社内ネットワ ーク用の IDS ではなく、広域 ( ギガビットクラス ) の IDS を導入しているの が特徴です。 IDS が検知する前に、大量に流れる情報を取りこばさないよう にするためです。 このように、企業や業界によって求められるセキュリティ装備は異なり ます。企業が顧客に提供するサービスの数や質、保護する対象 ( 個人情報、 顧客データ ) 、予防手段 ( 電源 ) 、解決手段 ( ログ解析 ) などの観点からセキ ュリティ設備を選択することになるのです。 第 4 章◎セキュリティテクノロジーの最先端
ファイアウォール 文字通り「壁」となって、不正アクセスから情報システムを守る ーファイアウォールを導入すれば内部からの情報漏洩も防げる ファイアウォールには、有料無料なと々な種類がある。 ・ファイアウォールの分類 ーファイアウォールの限界 ・ファイアウォールの機能 ーファイヤウォールとは ? ・ 128 3 侵入検知システム日ロ S 」 1 現在また発展途上な技術であるが、ウイルス対策ソフトなどとの連携が これまでシステム管理者が、運用しているシステムの機能で 囹セキュリティ監視・監査ツール ■旧 S の今後 劇 DS の種類と設置場所 劇 DS が進入を検知する仕組み ■行き来する情報の見張り番 FIDS 」とは ? 進めば、その重要性はますます増加する。 まかなってきたセキュリティを、専門のツールで強化する。 ■セキュリティに特化した専門ツール ・セキュリティ監視ツールには 4 種類ある ・システムの脆弱性を発見するセキュリティ監査ツール ー監視ツール・監査ツールを導入しても、万全ではない 電子署名・ 電子商取引で大きな問題となる「インターネット上で 相手を信用する方法」として注目を集める電子署名。 ・信用という点で課題の残る現在の電子商取引 ・電子署名の中核技術「公開鍵暗号」 ■電子商取引時代に重要な役割を帯びる認証局 ・ 1 鮖
保しておきます。マシンのアフターサポートの連絡先、 ()S やアプリケーシ ョンのサポート窓口、運用を外部委託している場合は業者の電話番号など、 まとめておくと便利です。 第 3 ステップは、インシデントを検出する手段を決めることです。たと えば、ウイルスの場合は、被害を最小に食い止めるために 3 通りの検知方法 「①侵入検知システム (IDS) による検知」「②サーバーマシンに導入したゲ ートウェイ型ワクチンソフトによる検知」「③パソコンに導入されているワ クチンソフトによる検知」が考えられます。ウイルス以外のインシデント も同様に検知方法を決めておきます。 第 4 ステップでは、検知したインシデントに関する情報を収集して保管 する方法を決めます。検知した結果の保存方法は、後で証跡資料として使 うことも考えられます。ただし、検出した結果を画面に表示するだけでは 後から確認することはできませんから、バックアップ用の別マシンに記録 をコピーして保管するか、別途ログサーバーを用意して保存するかが必要 です。 第 5 ステップでは、インシデント・レスポンス手続きを文書にします。 インシデントの検知から対処するまでの手続きを書きます。わかりやすく 書くことが大切です。この手続きは 1 通りである必要はありません。イン シデントによる業務への影響が大きいなら、全ての手順を行なうよりも、 優先する業務プロセスだけを確実に動かす手順を取るべきです。 第 6 ステップは、次なるインシデントに備えての IR の修正です。 IR を実 行した結果の反省や改善点をインシデント・レスポンスに反映させます。 復旧に要した人数を少なくする方法や、復旧時間の短縮させる目標に合わ せて見直すのも一つの方法です。 以上の 6 つのステップで、インシデントレスポンス体制が確立できます。 情報リスクマネジメントは情報資産のリスクを軽減する手法として有効で すが、顧客がトラブルに遭遇してから一刻も早く復旧させるインシデン ト・レスポンスも、情報セキュリティを実施する上で非常に有効な手法で す。
◆ IDS の種類と設置場所 IDS はその設置場所と性能から「ホスト型」「ネットワーク型」「複合型」 の 3 つのタイプに分類することが可能です。 ①ホスト型 ホスト型 IDS は、外部からの侵入を防ぎたい全マシンにインストールする ことで、直接マシンへの侵入を検知するタイプです。ホスト型 IDS は主に、 システムのエラーログ、イベントログを監査するツールとして利用されて います。 ただしホスト型の場合、検知した証拠として残される IDS のログもマシン に保存される為に、未知な攻撃でハッキングされた場合には、そのログこ とログファイルを消されてしまうリスクも考えられます。 ②ネットワーク型 ログを消されるリスクを回避するようにしたのがネットワーク型 IDS で す。ホスト型がマシン 1 台毎に侵入を監視するのと異なり、ネットワーク 型は同一ネットワーク内のマシンをすべて含めて、ネットワークをスキャ ンします。このため、 IDS を導入するマシンの台数はホスト型より少なくて 済むメリットがあります。設置する場所はインターネットと社内 LAN との 間や、部署間です。ネットワーク型は、マシンの垣根を超えて侵入されな いように監視する目的で利用されます。 ネットワーク型 IDS にも 2 つの欠点があります。 1 つは、スイッチングハ プのようなネットワーク機器でネットワーク経路を制御されると、そこで 流れるバケットをスキャンできない点です。もうーっは、トラフィックが 多くなるとスキャン時にデータを取りこばしてしまう点です。ネットワー クの帯域が 10M である場合は、問題なくバケットを取ることができますが、 18M を超えると取りこばしが発生することが確認されています。 IDS の製 品によって取りこばす割合に差がありますので、Ⅲ S を選択する時にはこの 点に注意する必要があります。 ③複合型 ホスト型とネットワーク型の複合型 IDS は、現在販売されている IDS に最 136
ロ情報リスクマネジメントではどういった事を実行するのか ? 職位・部門 経営者層 情報システム 部門管理職 システム管理者 やるべきこと げ統治 セキュリティ管理 セキュリティ対策 具体的な作業 げ投資事業戦略 システムの統合・合併 情報分析 システムの企画、設計 人員整理 バックアップ ウイルス対策 ライセンス管理 ③いざという事態が発生した時に、対外的な応対が素早くできる 避けられなかった脅威に対しては、企業はそれを受け入れた上で、顧客 や取引先といった社外の関係者の対応をしなければいけません。たとえば、 情報システムに関するトラブルが発生し、顧客から問い合わせが来た場合、 情報システム部門だけでは、企業の立場で判断できないことがあるかも知 トラブルを れません。情報リスクマネジメントを導入することで事前に 対処する、状況を収集する、分析する、そして判断を下す人の役割までを 確認しますので、いざという時にも、しつかりとした対外の応対が可能で す。 ④新規分野へ参入する時の下調査も情報リスクマネジメントが手助け 情報リスクマネジメントの対象は、既存の業務だけではありません。企 業が新規事業に着手する時、その分野にどのようなリスクが存在している のか、そのリスクを回避するにはどのような方法があるのか調べなければ なりませんが、そんな時にも情報リスクマネジメントは力を発揮します。 第 2 章◎情報リスクマネジメントの概要 55
左下の図は、 KPMG カ以脚年 8 月に実施した調査の結果です。セキュリテ ィ間題に直面した企業の半数が、万円以下の損害額ですんでいます。しか し、中にはⅢ刈万円を超える損害金額を出した企業もいる調査結果を見ると、 甚大な被害の可能性は否定できません。 ◆システム中心のセキュリティ対策から情報リスクマネジメントへ 現在でも企業は、ファイアウォールなど情報リスクに対してシステム的 なセキュリティ対策をすでにとっています。そして多くの企業が、ファイ アウォールの導入などでインターネットからの不正侵入を防げると思い込 んでいます。しかし実際には、ファイアウォールでは防ぐことが困難な攻 撃はたくさんあります。また、システム上でセキュリティ対策を図っても、 適切な取り扱い方法を知らなかったり、取り扱いを誤るとセキュリティは 守れません。 これからはシステム中心の部分的なセキュリティ対策ではなく、発生す るリスクを中心に全体的なセキュリティ対策を図る情報リスクマネジメン ト (lnformation Risk Management) の考えが必要になってくるのです。 ロ求められる情報リスクマネジメント 従来のセキュリティ対策 ・システム管理担当者主導 ・現場で各個にセキュリテ ィ対策を講じる。 ・セキュリティ技術やセキ ュリティ製品が主役 情報リスクマネジメント ・経営トップの関与 ・組織にとって全体的なセ キュリティ対策を講じる。 ・マネジメントシステムが 主役 第 1 章◎事例で見る「情報リスク」の脅威 49
ウイルス文ソフト どの企業でも一度は被害にあったことがあるコンピュータウイルス。 対策ソフトの導入は、今やピジネスマナーた。 ◆企業にとって、今や日常のリスク「コンピュータウイルス」 コンピュータウイルスによる被害については、本書の第 1 章で詳しく紹 介しました。ウイルスの種類は躍刈年 7 月の時点で 5 万種類を突破しており、 その被害は毎年増加の一途を辿っています。 このコンピュータウイルスによる被害を防ぐ方法の一つとして、ウイル ス対策ソフト ( 別名 : ワクチン対策ソフト ) の導入が挙げられます。 KPMG の調査によれば、調査対象企業でウイルス対策ソフトを導入してい る割合は、南アフリカで 1 開 % 、日本で 97 % 、米国や英国でも開 % を超えて います。今やワクチンは企業にとって、ウイルス対策に必要不可欠なソフ トウェアとなっているのです。 ではここで本節の主人公、コンピュータウイルスとワクチンの歴史を振 り返って見ることにしましよう。 ◆コンピュータウイルスとワクチンの歴史 情報リスクの一つ、コンピュータウイルスとは、自己増殖する悪性のソ フトウェアの一種です。コンピュータウイルスが初めて世の中に登場した のは、 19 年のことでした。このコンピュータウイルス「パキスタンプレイ ン」は、もともとプログラミングの応用問題として 1970 年代に研究されてい たものでした。 コンピュータウイルスが問題になった当初、感染者に何らかの被害を与 える悪意のコードを含んだウイルスを開発するには、マシンや OS に関する 知識と特殊なプログラミング技術が必要でした。また、 こうしたウイルス は 1 鰍 ) 年まで、フロッピーディスクを主な感染経路としていました。 フロッピーディスクの場合、感染して直ぐに発症すると、他の多くのマ 122
ーー懈ルスクマネジメントの費用 衂果を考える「情報価値管理」 78 しつつ企業価値を最大限にする事ができるのです。 費用対効果を算出し、 IT 戦略を策定します。これにより、リスクを最小化 ソフトウェア、ネットワークなどからなる個別の効果を複数組み合わせて、 理によって、企業の IT を統治する視点から IT リスクを捉え、ハードウェア、 なった結果、効率に結びつかない事態に陥っています。そこで情報価値管 いうことです。しかし多くの企業が、 IT 戦略を曖味にしたまま IT 投資を行 IT 投資で重要なことは、企業の IT 戦略に基づいて投資しているか否かと ①灯戦略の策定 考慮する必要があります。 メント」「 IT 評価支援としてのアウトソーシング適正評価」の 3 つの側面を リティ投資の費用対効果を高めるには、「 IT 戦略の策定」「 IT コストマネジ (lnformation VaIue Management) 」の考え方です。企業におけるセキュ こうした微妙な IT 投資対象をどのように選択するかが「情報価値管理 露出することになっては大変です。 律に IT 投資を削ったところ、セキュリティ投資も削減され、脆弱な箇所が 状のシステムには大きな影響を受けすに済むかも知れません。ただし、 す。一方で、高価な侵入検知システム ( → 1 引 p ) の導入を見送っても、現 を行なわなければ、新しいウイルスの餌食になってしまうことは明らかで たとえば、パソコンが 1 僕用台ある職場でウイルス対策ソフトのアップデート キュリティに対する投資も、過剰な部分があれば見直す必要があります。 資してきた IT コストを見直す動きが起きています。これと同様に、情報セ IT プームが一段落してインターネットが日常に浸透した現在、過剰に投 ◆情報セキュリティ投資に対するコスト管理 今後の企業経営には欠かせない。 セキュリティ対策も含めて、 IT に対する投資価値を見極めることも、
ーーセキュリティ製品をどの破 装備すればいいのか ? 150 アウォールはインターネットとの接続部だけでなく、部署間にも設置して ンを接続する電源コンセントを目的に応じて分けたりしています。ファイ 供給です。地震などの停電に備えて、無停電電源装置を設置したり、マシ 通信事業者のセキュリティ設備の主な役割は、通信サービスの安定した ②通信事業者 金融機関は顧客の信頼を保てるのです。 ティ製品や設備だけでなく、しつかりした運用体制が組み合わされてこそ、 インサイダー取引、マネーロンダリングなどに備えるためです。セキュリ 査体制も充実していることです。これは、金融機関特有のリスク、つまり しかし金融機関のセキュリティ対策の特徴は、設備だけでなく、内部監 機構を取り入れています。 プ機を用意し、マシンの故障時には自動的に切り替えるホットスタンバイ も二重に運用され管理されています。暗号装置は故障に備えてバックアッ ます。さらに災害に備えて、システムはハード面だけでなくデータとして ウイルス対策ソフトウェア、ファイアウォール、暗号装置は導入されてい ィ製品の使用を指定することはありません。しかし、どの金融機関でも、 ス対策、不正侵入防止策などがチェックされますが、具体的にセキュリテ っています。この検査では、システムがダウンしないような対策、ウイル 金融機関では、監督省庁の検査に備えたセキュリティ対策を中心に行な ①金融機関 タセンターを例に見てみましよう。 サービスによって千差万別です。ここでは、金融機関、通信事業者、デー 企業がどの程度の情報セキュリティ対策をとるのかは、業種や提供する ◆ 3 つの事例 IT に関連の深い 3 つの業種の例を参考に解説する。 業種業態によってセキュリティ対策もまちまちである。
まえが ~ = 第ダ第 = 。 nformatton RiSk Mana eme nt ・情報判 T に関する脅威 = 情報リスクが増大している ! 社会の IT 化が急速に進んでいます。気がつけば誰もが当たり前のように パソコンを使いこなしていてます。しかしその一方で、情報や情報システ ムに関するトラブル・脅威 = 「情報リスク」が急増していることも、見逃 すことはできません。 たとえばどの企業でも、一度はコンピュータウイルスの被害に遭ったこ とがあるでしよう。企業のホームページが何者かに改ざんされ、プランド イメージが著しく低下した事件や、不正なアクセスによって顧客情報が流 出し、経営者が謝罪するといった事件も、数多くマスコミで取り上げられ てきました。またこれらの被害は、インターネットの登場によるネットワ ーク化社会の進展に伴い、これまで以上に急増しています。 IT にまったく無縁な会社がないように、情報リスクと無縁の会社も存在 しません。企業は、情報リスクの被害を被らないように、あるいは加害者 とならないように注意する必要があるのです。 ・システム中心のセキュリティには限界がある ! 確かに企業は、これまでに数々のセキュリティ対策を行なってきました。 コンピュータウイルスに対してウイルス対策ソフトウェアを導入し、不正 アクセスを防止するためにファイアウォールを導入しました。そして「こ れだけやれば、うちは大丈夫」と思っている企業も多いようです。 しかし、実はそれが大きな間違いなのです。その理由の一つは、セキュ リティ技術やセキュリティ製品に完全なものは無く ( 事実、毎月のように セキュリティ製品の欠陥が報告されています ) 、それらの導入による過信が 新たな情報リスクにつながるということです。 そしてもうーっの根本的な理由は、そもそもセキュリティ製品や情報シ ステムの管理担当者によるセキュリティ対策だけでは、情報リスクを防ぐ ことが不可能だということです。たとえば、情報システムの開発の遅延に よる業務の停滞や、勤務時間に従業員が電子メールを私的に利用すること で生じる生産効率の悪化などの情報リスクは、システム担当者レベルのセ まえがき 3