セキュリティのトレードオフ問題を考える

●トレードオフ、どちらに比重を置くか？

　企業におけるセキュリティ問題はビジネスの一部であり、そこには相反する問題が発生する。この「トレードオフ」（二律背反）問題は、セキュリティ対策のレベル設定に対するセキュリティ対策にかかるコストの問題、対策によって損なわれる利便性、システムの安定性の問題である。
　本稿では、「ネットワーク・エクスポージャ・マネジメント」という考え方について説明する。この考え方は、企業のネットワークシステムにおけるトレードオフ問題を解決する手助けになるはずだ。

●どこまで対応すればよいのか

　ビジネスの一部としてセキュリティ問題を考えた場合、「どこまで対応すればよいのか」というセキュリティ対策のレベル設定が大きな問題となる。安全性を重視しすぎ、過度なセキュリティ対策を行うと「コスト・利便性・安定性」が損なわれてしまう。逆に「コスト・利便性・安定性」を重視するとセキュリティが損なわれるおそれがある。セキュリティとコスト・利便性・安定性のどちらを重視すればよいかというバランスが取れず、どのレベルでセキュリティ対策を行えばいいのかわからない。これがセキュリティにおける「トレードオフ」問題である。

○トレードオフを決定するには判断基準が必要

　コストや利便性、システムの安定性が損なわれないかを考慮しながら、必要なセキュリティ対策をタイムリーに実施する。この「意志決定」を行うには、判断基準となる自システムの「情報」が必要となる。自分たちのシステムがどのような状況にあり、どのくらいの危険度があるのかをセキュリティという側面から情報を収集し提示する。これは企業システムのセキュリティ運用者に求められる重要な責務だ。ネットワーク犯罪の被害に遭ったシステムの多くは大きな被害を被っている。その理由は、セキュリティ対策を行ううえで、どこまで対応すべきかが決定できず、適切な措置を行えなかったためである。セキュリティレベルを「どこまで対応すればよいのか」決定するための判断基準を明確にすることは、企業のネットワークにおいて非常に重要なことなのだ。

●ネットワーク・エクスポージャ・マネジメントという考え方

　包括的な判断を行うためには情報が必要だ。では、企業のネットワークにおけるセキュリティ面での判断基準となる情報を得るためにはどうしたらよいか。どのような考え方によってそれを実現するべきかということになる。

　このような問いに対して、米国のnCircle NETWORK SECURITY社（以下、nCircle社）では、「ネットワーク・エクスポージャ・マネジメント」という考え方を示し、それを実現するために「IP360」という製品を提供している。

（執筆：吉澤亨史）

※本記事は、翔泳社発行の「セキュリティマガジン　4月号」に掲載されたものを元に、著者である京セラコミュニケーションシステム株式会社（ http://www.kccs.co.jp/ ）の郷間佳市郎氏および翔泳社の許諾を得てリライトしております。

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml