内部からセキュリティ診断できる「ホスト型」に注目

情報漏えいは大きなリスクに

　生産性・業務効率の向上を旗印に、多くの企業がITへの投資をすすめてきた。その結果、あらゆる業務がIT化され、今やビジネスにITは必要不可欠な存在となっている。しかし、その一方でIT化による課題も表面化している。情報漏えい防止、IT統制の構築は、コンプライアンスという観点からも急務となっている。

　企業が保有する個人情報が漏えいした場合、これまで培ってきた信用やブランドは地に落ちる。また、漏えいした要因の特定や対策などに、莫大な費用がかかる。例えば、450万人超の個人情報を流出させた通信事業者の場合、そのリカバリーに約40億円の費用がかかったという例もある。信頼回復に要す時間を考えれば、機密情報の漏えいは、金額に換算することができない損失といえるだろう。

　企業にとって存続が危ぶまれるほどのインパクトを与える情報漏えい事故を引き起こさないためにも、情報セキュリティ対策を施すことは急務といえるだろう。

重要視されるセキュリティ監査

　規程やシステムの仕組みを構築しただけでは、情報セキュリティの効果は最大限発揮できない。定期的に情報システムを監査し、状況に合わせて見直していくことが重要となる。脆弱性を悪用した攻撃は日々進化しているため、継続して対策を見直す必要がある。

　そこで注目されているのが「情報セキュリティ監査」だ。企業システムの現状を可視化すると同時に、足りない対策なども明確になるためだ。セキュリティをマネジメントするという意味でも非常に重要だといえよう。

　一般に、「情報セキュリティ監査」を行うためには、「診断ツール」と呼ばれるツールを活用する。このツールは、「ネットワーク型」「ホスト型」の2つに大きく分けることができる。

　「ネットワーク型」診断ツールは、ハッカーの視点で企業システムの脆弱性などを診断することを得意としている。サービスとして提供しやすいこともあり、「診断サービス」の多くは、「ネットワーク型」のツールを使って行われることが多いようだ。だが、外部からのアタックに対する監査には向いているが、外側のセキュリティレベルの高いサーバーでは内側までの診断が難しく、サーバー内部を詳細に調べることが苦手だ。

　一方「ホスト型」診断ツールは、管理者の視点でサーバーの内側から診断を行う。実際に現地に赴き診断する必要があるが、OS周りの脆弱性や長期間使われていないアカウントのチェックなど、サーバー運用上の詳細な情報を取得できる。双方とも得手不得手があり、用途や目的によって使い分けることが重要だ。

外部からと内部からの診断が必須に

　NPO日本ネットワークセキュリティ協会が作成した「2006年情報セキュリティインシデントに関する調査報告書 Ver.02.1」によると、個人情報漏えいの原因は、（1）紛失・置き忘れ＝29.2％、（2）盗難＝19.9％、（3）誤操作＝14.7％、（4）ワーム・ウイルス＝12.2％、（5）管理ミス＝8.3％、（6）不正な持ち出し＝8.1％、（7）内部犯罪・内部不正行為＝2.2％、（8）設定ミス＝1.7％、（9）不正アクセス＝0.9％となっている。

　この数字からもわかるように、情報漏えいのほとんどは、通常のアクセス権を持つ内部に原因がある。「ネットワーク型」のみの診断では、とても万全とは言えない。内部からのリスクも含めた診断が求められているのだ。

　「ネットワーク型」に加えて「ホスト型」の診断を行うことで、企業システムの真の可視化を実現し、正しく「診断」することができる。「診断サービス」を提供している企業にとっても、「ネットワーク型」「ホスト型」の双方のツールを活用することで、より詳細なレポートを提出できるようになる。

　これまで「ネットワーク型」のみで診断サービスを提供してきた企業も、「ホスト型」の診断ツールに着目し始めている。今後は、双方のツールによる企業システム全体の「診断」が市場のトレンドになっていくだろう。