ペンタセキュリティシステムズ(ペンタセキュリティ)は12月20日、「実用主義企業セキュリティの3要素」と題したセキュリティコラムを発表した。同コラムはペンタセキュリティが11月16日に「企業経営を脅かすITセキュリティ。答えは、実用主義暗号化」というコラムを掲載した際に読者から受けた、実用的なセキュリティを行う方法についての質問に回答したもの。
同社のセキュリティコラムはセキュリティに関する認識の向上およびセキュリティ文化の定着を支援することを目的として年12回掲載。同社のR&DセンターがICTセキュリティとその課題についての提言を発信している。
個人セキュリティと企業セキュリティの違い
企業が実用的なセキュリティ対策を行うには何から始めるべきか。それは「個人セキュリティ」と「企業セキュリティ」の違いを理解することだという。セキュリティ事故が発生した際に被害を受けた企業が、事前にセキュリティ対策をとっていたとを訴えるケースがあるが、経緯が明確な事故が繰りかえし起きてしまうのは、個人向けのセキュリティ措置だけをとっているためであるとコラムでは述べている。
それでは個人向けのセキュリティとは一体どのようなものを指すのだろうか。コラムで挙げられているのはアンチウイルスやパスワードによる対策だ。特にアンチウイルスはエンドポイントの端末からのウイルスの侵入を防ぐ効果はあるが、それはあくまで企業や機関が扱うシステムのセキュリティではなく、個人PCのための対策にすぎないとしている。
個人セキュリティと企業セキュリティは異なる概念であり、その方法論もまた全く違う。社会的に個人向けのセキュリティの重要性だけが強調されてきたため、相対的に企業セキュリティは重要な問題として扱われておらず、技術者さえその違いを理解していない場合が多い、というのがペンタセキュリティの主張である。
企業セキュリティ=データセキュリティ+Webセキュリティ+認証セキュリティ
それでは企業として行うべきセキュリティ対策とは一体何を指すのだろうか。ペンタセキュリティは「データセキュリティ」「Webセキュリティ」「認証セキュリティ」がその3要素だとしている。また各要素の核心となるのは「データの暗号化」「アプリケーションセキュリティ」「セキュリティ認証サーバ」だという。それぞれ詳細を以下で見ていこう。
■ペンタセキュリティのセキュリティコラムはこちらもチェック
【特別企画】難しい知識は不要! 「実用主義暗号化」で企業のセキュリティ強化を - ペンタセキュリティがコラムを公開
【特別企画】誰もがハッキング可能な時代に取るべき対策とは? あの不正アクセス事件をペンタセキュリティが解説
- データセキュリティ
- Webセキュリティ
- 認証セキュリティ
ITセキュリティの中心は、ネットワークやサーバなどの電算インフラを保護することに力を尽くした装置面についてのセキュリティから、データとアプリケーションを保護する情報的なセキュリティに変化している。企業や機関が最終的に守らなければならない本当の価値があるものは「データ」だ。そのデータを守る様々な方法の中で最も根本的かつ安全な方法は、「暗号化」であるという。データ暗号化は多岐にわたる企業セキュリティの要素の中でも、最も根幹をなすセキュリティインフラの基盤技術だとしている。
すべてのデータは、アプリケーションを通じて移動する。今日、アプリケーションが動作する主な環境はウェブである。また近年のウェブには、通信技術だけではなく、システム環境からユーザインタフェースに至るまでのすべてのIT技術が収集され、統合されている。そのため、これからは全てのアプリケーションがウェブ環境で開発され運用されるようになり、Webセキュリティの重要度はこれからより高まるはずだとペンタセキュリティは見ている。
また先に触れたとおり最近のウェブを構成する要素は、通信技術だけではなくなっているため、ウェブセキュリティをシステムセキュリティやネットワークセキュリティの方法論だけで解決しようとすると問題が生じる。たとえば、ネットワークファイアウォールだけをウェブセキュリティのソリューションとして導入すると、ウェブセキュリティにおいて最も重要な領域ともいえるアプリケーションのセキュリティが不徹底となり被害が生じる危険性がある。実際に、情報セキュリティ事故の約90%がWebアプリケーションの盲点を悪用した攻撃による事故だという。事故が最も頻繁に起きるところから優先的に集中して防御する。これが、実用的なセキュリティの考え方であるとコラムでは 強調している。
個人セキュリティと企業セキュリティに関して最も混同されやすいのが「認証セキュリティ」における違いだ。個人セキュリティにおける認証方法として最も有名なのはパスワードである。もちろんパスワードを難しく作れば安全は確保される。しかし、そのためには一定の決まりを満たしたパスワードを定期的に作成し変更するなど、複雑な手続きが必要だ。そうすれば侵入は防げる一方で、業務の効率性が下がったり、自分自身がパスワードを忘れてしまいシステムにアクセスできない、といった問題が起きてしまう。つまり、十分なセキュリティとユーザーの利便性のバランスが崩れてしまうのである。またパスワードによる管理は、企業がとるべきセキュリティ対策の負担を個人に転嫁した、無責任な態度ともとれる。「認証セキュリティ」についての認識を新たにすることは、個人セキュリティレベルから企業セキュリティレベルへと、企業における情報セキュリティの概念を転換するポイントであるとコラムでは述べている。
企業セキュリティレベルでの認証セキュリティに用いるのは、「セキュリティ認証サーバ」だ。「SSO(Sigle Sign-On)」機能を備えた認証サーバの利用により、サーバの数が非常に多い企業の環境でも、異なる認証手続きの必要はなくなる。ユーザーの身元を確認し単一の認証を行うだけで、全体サーバへのアクセスを許可しつつ、ユーザーごとに各サーバへのアクセス権限を変更し、統合的に管理することが可能となる。これにより、認証による十分なセキュリティとユーザーの利便性、そして業務の効率性まで全て担保できるとしている。
ここまで見てきたとおり、実用的なセキュリティを備える方法として「データの暗号化」「アプリケーションセキュリティ」「セキュリティ認証サーバ」が必須要素である。コラムは、これらを揃えることにより「実用主義企業セキュリティ」が達成されるとして結んでいる。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供:
