企業におけるセキュリティ運用とは何か | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.21(土)

企業におけるセキュリティ運用とは何か

●企業におけるセキュリティ運用とは何か

特集 特集
●企業におけるセキュリティ運用とは何か

 企業におけるセキュリティ運用は、ファイアウォールやIDSといった個々のセキュリティ技術とは、まったく違った発想が要求される。重要なことはシステム全体をとらえる視点だ。
 本稿では、「セキュリティ運用」と「システム」、そして「セキュリティポリシー」の関係について、その考え方とアプローチ方法について説明する。

○企業セキュリティはシステム運用の一部

 セキュリティの運用を考える、とは耳なじみの少ない言葉だ。しかし、企業のネットワークで提供されるサービスを維持しているのはシステムの運用である。つまり、セキュリティの運用もシステムの運用の一部と見なして考える必要がある。従来は、このような視点でネットワークセキュリティをとらえるという感覚が欠如していたように思う。その結果、セキュリティ製品をネットワークに組み込んでみたものの、まったく運用されていないケースが非常に多く感じる。せっかくシステムにIDSを導入しても、誰も管理していないという例は枚挙にいとまがない。

 セキュリティ運用をシステムの運用の一部として考えるには、従来の個々のセキュリティ技術に対する考え方とはまったく違った発想が要求される。それは、異なった才能が必要であるといっても過言ではない。


○システムとは何なのか

 Bruce Schneier氏は、その著書『暗号の秘密とウソ』(翔泳社刊)のなかで、セキュリティ製品を「信号機」に、システムを「交通管制システム」にたとえ、それぞれを考えるには「まったく別の発想が必要だ」と述べている。これは非常にわかりやすい例といえるだろう。以下、この例を補足しながら話を進めていく。まず、「システムとは何か」について簡単な解説をしていこう。

 個々の「製品」は「信号機」の機能にたとえることができる。「信号機」の機能で大事なことは、何色の光電管を使用しているか、それを切り替えるスピードはどれくらいかといったことになる。そして、「信号機」が赤を表示すると車の流れが滞り、青を表示すると車をスムーズに流すことができる。

 これに対し「システム」は、大都市全体の交通管制機能に例えることができる。東京という大都市の交通管制機能を例に考えてみよう。たとえば、目黒通りの渋滞を解決するために信号機が赤を表示する時間を短くして、車がスムーズに流れるようにしたとする。これで目黒通りの渋滞は解消するが、そのために今度は第三京浜の渋滞がひどくなる可能性がある。そして、その渋滞を迂回しようとする車によって国道1号線の渋滞にまで影響が出るかもしれない。このように、有機的につながりあったものが「システム」である。これを制御するためには部分部分での事象だけでなく、一部の事象が全体に与える影響を考える必要がある。つまり、一部の事象を判断をする場合に、その部分の問題だけを解決するのではなく、システムが管理する全体の流れを考えて判断するという発想が必要なのだ。


(執筆:吉澤亨史)

※本記事は、翔泳社発行の「セキュリティマガジン 4月号」に掲載されたものを元に、著者である京セラコミュニケーションシステム株式会社( http://www.kccs.co.jp/ )の郷間佳市郎 氏および翔泳社の許諾を得てリライトしております。


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

    CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

  2. 学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register)

    学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register)

  3. 「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

    「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

  4. メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

    メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

  5. ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)

    ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)

  6. 「JTAS Store」に不正アクセス、最大228件のカード情報が流出(日本関税協会)

    「JTAS Store」に不正アクセス、最大228件のカード情報が流出(日本関税協会)

  7. 「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス)

    「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス)

  8. Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

    Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

  9. 日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

    日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

  10. 高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

    高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

ランキングをもっと見る