企業におけるセキュリティ運用とは何か

●企業におけるセキュリティ運用とは何か

　企業におけるセキュリティ運用は、ファイアウォールやIDSといった個々のセキュリティ技術とは、まったく違った発想が要求される。重要なことはシステム全体をとらえる視点だ。
　本稿では、「セキュリティ運用」と「システム」、そして「セキュリティポリシー」の関係について、その考え方とアプローチ方法について説明する。

○企業セキュリティはシステム運用の一部

　セキュリティの運用を考える、とは耳なじみの少ない言葉だ。しかし、企業のネットワークで提供されるサービスを維持しているのはシステムの運用である。つまり、セキュリティの運用もシステムの運用の一部と見なして考える必要がある。従来は、このような視点でネットワークセキュリティをとらえるという感覚が欠如していたように思う。その結果、セキュリティ製品をネットワークに組み込んでみたものの、まったく運用されていないケースが非常に多く感じる。せっかくシステムにIDSを導入しても、誰も管理していないという例は枚挙にいとまがない。

　セキュリティ運用をシステムの運用の一部として考えるには、従来の個々のセキュリティ技術に対する考え方とはまったく違った発想が要求される。それは、異なった才能が必要であるといっても過言ではない。

○システムとは何なのか

　Bruce Schneier氏は、その著書『暗号の秘密とウソ』（翔泳社刊）のなかで、セキュリティ製品を「信号機」に、システムを「交通管制システム」にたとえ、それぞれを考えるには「まったく別の発想が必要だ」と述べている。これは非常にわかりやすい例といえるだろう。以下、この例を補足しながら話を進めていく。まず、「システムとは何か」について簡単な解説をしていこう。

　個々の「製品」は「信号機」の機能にたとえることができる。「信号機」の機能で大事なことは、何色の光電管を使用しているか、それを切り替えるスピードはどれくらいかといったことになる。そして、「信号機」が赤を表示すると車の流れが滞り、青を表示すると車をスムーズに流すことができる。

　これに対し「システム」は、大都市全体の交通管制機能に例えることができる。東京という大都市の交通管制機能を例に考えてみよう。たとえば、目黒通りの渋滞を解決するために信号機が赤を表示する時間を短くして、車がスムーズに流れるようにしたとする。これで目黒通りの渋滞は解消するが、そのために今度は第三京浜の渋滞がひどくなる可能性がある。そして、その渋滞を迂回しようとする車によって国道1号線の渋滞にまで影響が出るかもしれない。このように、有機的につながりあったものが「システム」である。これを制御するためには部分部分での事象だけでなく、一部の事象が全体に与える影響を考える必要がある。つまり、一部の事象を判断をする場合に、その部分の問題だけを解決するのではなく、システムが管理する全体の流れを考えて判断するという発想が必要なのだ。

（執筆：吉澤亨史）

※本記事は、翔泳社発行の「セキュリティマガジン　4月号」に掲載されたものを元に、著者である京セラコミュニケーションシステム株式会社（ http://www.kccs.co.jp/ ）の郷間佳市郎氏および翔泳社の許諾を得てリライトしております。

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml