山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化 | ScanNetSecurity
2024.05.04(土)

山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化

奈良先端科学技術大学院大学 情報科学研究科教授 山口 英 氏に、新編集長上野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕のScan編集部からSkypeでアクセスし、音声とビデ

特集 特集
facebookLINE
奈良先端科学技術大学院大学 情報科学研究科教授 山口 英 氏に、新編集長上野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕のScan編集部からSkypeでアクセスし、音声とビデオによって行った。(本文敬称略)

奈良先端科学技術大学院大学
http://www.naist.jp/
山口 英
http://iplab.naist.jp/member/suguru/index-j.html


●2010年、企業のIT環境が迎える3つの変化

上野:
企業内で情報セキュリティ対策に関わる人々は、これからどういう指針を持ってセキュリティの達成目標を立てるのがよいでしょうか?

山口:
情報処理がオフィスのコンピュータに閉じなくなっています。これによって、2010年は、大きく分けて次の3つの変化が進展すると思います。

一つ目の変化は、クラウドとかSaaSと呼ばれる、アプリケーションからサービスへの変化です。今後、経費処理のような社内でやっていた業務が、ユーティリティ化され、ネットワーク環境で提供されるようになるでしょう。例えば、Webベースで処理されていくようになるでしょう。

2番目の変化は、ポータブル化とモバイル環境の普及です。ラップトップや、iPhoneやBlackBerryのようなスマートフォン、今日発表のあったiPadなど、高速の3GインフラやWiFiインフラを使いながら、モバイル環境は今後エンタープライズに浸透していくでしょう。

3番目は、情報処理システム、ITが業務を左右していくことです。ビジネスプロセスは内部だけで閉じたものではなく、サプライチェーンなどさまざまな形でオープン化・ネットワーク化し、グローバルに展開していきます。内部統制の要求から、ビジネスプロセスの知識化が進み、その管理を情報システムが行う傾向が更に加速するでしょう。

(1)情報処理のサービス化、(2)情報処理デバイスのモバイル化、(3)業務プロセスマネジメントでのIT活用、以上が2010年に進展することを考えれば、おのずと企業のセキュリティ担当者の方がやるべきことは見えてくることと思います。

ひとつは情報処理環境の変化に対応して、サービスの継続性をどのように高めるのかで、バックアップや、スタンバイシステムをどのようにつくるのかどうか。

次に、各種サービスがモバイル環境に入ってきた際に、モバイルデバイスをどのように守るのか、モバイルデバイス経由の情報漏えいをどう考えるのか、考えないとしたらどういうインフラにするのか、ということです。

最後に、マネジメントがIT化するなら監査プロセスとの関係をどのように考えるか、マネジメントを主とする人がITを使うときにどれだけ適応できるのか、できないとしたらどのように助けていくのか。

そういうことをここ1年くらいは取り組む必要があるでしょう。

上野:
その3つの変化に適応していくために重要なポイントは何でしょうか?

山口:
旧来からの情報セキュリティの考え方を変えなければならない場面が出てくるでしょう。変えないことによるリスクが出てくる可能性がある。

たとえばスマートフォンは、もはや電話ではなく情報処理機器として考えるべきですが、それまでのセキュリティポリシーに従って「情報機器だからスマートフォンは社外持ち出し禁止」などと言い出したらそんな愚かな話はない訳で、いままで通りの、持ち出すな、やるな、では成り立たなくなります。

このように、セキュリティポリシーや自分たちのセキュリティ管理インフラを新たに見直していかなければならないでしょう。

●中小企業がセキュリティ対策に求める要件

上野:
セキュリティ企業、セキュリティベンダが解決すべき課題は何でしょうか?

山口:
中小企業の要望に合ったセキュリティ対策を提供していくべきだと思います。

まずセキュリティ担当者を決めて、セキュリティポリシーを策定して、情報資産の棚卸しを行って、リスクアセスメントを実施して…。この経済状況では、そういった対策はコストがかけられる大企業向けです。

セキュリティ対策にかけるお金が無い中で、中小零細の企業にもセキュリティ対策の圧力は強まっています。しかし、セキュリティ対策の負担のために会社がつぶれるかもしれない。特効薬は無い状況であることはわかっていますが、何らかの答えを求めています。そういう質問に対して良い解決方法が提供できることが、セキュリティ企業の課題ではないでしょうか。

企業側が欲しいものは極めて明確です。つまり、「運用コストや人件費が内部で発生しない」「そこそこちゃんと守れる」「大手企業が要求するセキュリティの要求事項を満たす」この3つでしょう。(つづく)

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

ランキングをもっと見る
ホーム 特集 特集 記事
TOP