山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化 | ScanNetSecurity
2024.05.20(月)

山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化

奈良先端科学技術大学院大学 情報科学研究科教授 山口 英 氏に、新編集長上野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕のScan編集部からSkypeでアクセスし、音声とビデ

特集 特集
facebookLINE
奈良先端科学技術大学院大学 情報科学研究科教授 山口 英 氏に、新編集長上野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕のScan編集部からSkypeでアクセスし、音声とビデオによって行った。(本文敬称略)

奈良先端科学技術大学院大学
http://www.naist.jp/
山口 英
http://iplab.naist.jp/member/suguru/index-j.html


●2010年、企業のIT環境が迎える3つの変化

上野:
企業内で情報セキュリティ対策に関わる人々は、これからどういう指針を持ってセキュリティの達成目標を立てるのがよいでしょうか?

山口:
情報処理がオフィスのコンピュータに閉じなくなっています。これによって、2010年は、大きく分けて次の3つの変化が進展すると思います。

一つ目の変化は、クラウドとかSaaSと呼ばれる、アプリケーションからサービスへの変化です。今後、経費処理のような社内でやっていた業務が、ユーティリティ化され、ネットワーク環境で提供されるようになるでしょう。例えば、Webベースで処理されていくようになるでしょう。

2番目の変化は、ポータブル化とモバイル環境の普及です。ラップトップや、iPhoneやBlackBerryのようなスマートフォン、今日発表のあったiPadなど、高速の3GインフラやWiFiインフラを使いながら、モバイル環境は今後エンタープライズに浸透していくでしょう。

3番目は、情報処理システム、ITが業務を左右していくことです。ビジネスプロセスは内部だけで閉じたものではなく、サプライチェーンなどさまざまな形でオープン化・ネットワーク化し、グローバルに展開していきます。内部統制の要求から、ビジネスプロセスの知識化が進み、その管理を情報システムが行う傾向が更に加速するでしょう。

(1)情報処理のサービス化、(2)情報処理デバイスのモバイル化、(3)業務プロセスマネジメントでのIT活用、以上が2010年に進展することを考えれば、おのずと企業のセキュリティ担当者の方がやるべきことは見えてくることと思います。

ひとつは情報処理環境の変化に対応して、サービスの継続性をどのように高めるのかで、バックアップや、スタンバイシステムをどのようにつくるのかどうか。

次に、各種サービスがモバイル環境に入ってきた際に、モバイルデバイスをどのように守るのか、モバイルデバイス経由の情報漏えいをどう考えるのか、考えないとしたらどういうインフラにするのか、ということです。

最後に、マネジメントがIT化するなら監査プロセスとの関係をどのように考えるか、マネジメントを主とする人がITを使うときにどれだけ適応できるのか、できないとしたらどのように助けていくのか。

そういうことをここ1年くらいは取り組む必要があるでしょう。

上野:
その3つの変化に適応していくために重要なポイントは何でしょうか?

山口:
旧来からの情報セキュリティの考え方を変えなければならない場面が出てくるでしょう。変えないことによるリスクが出てくる可能性がある。

たとえばスマートフォンは、もはや電話ではなく情報処理機器として考えるべきですが、それまでのセキュリティポリシーに従って「情報機器だからスマートフォンは社外持ち出し禁止」などと言い出したらそんな愚かな話はない訳で、いままで通りの、持ち出すな、やるな、では成り立たなくなります。

このように、セキュリティポリシーや自分たちのセキュリティ管理インフラを新たに見直していかなければならないでしょう。

●中小企業がセキュリティ対策に求める要件

上野:
セキュリティ企業、セキュリティベンダが解決すべき課題は何でしょうか?

山口:
中小企業の要望に合ったセキュリティ対策を提供していくべきだと思います。

まずセキュリティ担当者を決めて、セキュリティポリシーを策定して、情報資産の棚卸しを行って、リスクアセスメントを実施して…。この経済状況では、そういった対策はコストがかけられる大企業向けです。

セキュリティ対策にかけるお金が無い中で、中小零細の企業にもセキュリティ対策の圧力は強まっています。しかし、セキュリティ対策の負担のために会社がつぶれるかもしれない。特効薬は無い状況であることはわかっていますが、何らかの答えを求めています。そういう質問に対して良い解決方法が提供できることが、セキュリティ企業の課題ではないでしょうか。

企業側が欲しいものは極めて明確です。つまり、「運用コストや人件費が内部で発生しない」「そこそこちゃんと守れる」「大手企業が要求するセキュリティの要求事項を満たす」この3つでしょう。(つづく)

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  4. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  5. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  6. Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

    Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

  7. マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  8. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  9. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

    7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  10. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

ランキングをもっと見る
ホーム 特集 特集 記事
TOP