SPECIAL 「セキュリティ≠コスト」経営資源としての逆転の発想

日本電信電話株式会社　研究企画部門チーフプロデュ－サ：影井 良貴 つねに対策に追われ、先が見えにくい情報セキュリティ。果たしてこのまま個別に対応策にコストをかけるべきなのか。守りから攻めへ、認識を転換すべき時期が今、訪れている。

本来の情報セキュリティとは何か、という自問。

問題が起こるたびに計画外の出費があり、先が見えない。情報セキュリティに対してこのように感じている経営者やシステム担当者の方々は多いと思います。

影井 良貴　 Yoshitaka Kagei 日本電信電話株式会社　研究企画部門　チーフプロデューサー 1978年、電電公社に入社。 以降、技術局においてディジタルデータ伝送、交換関連方式の技術開発に従事。その後、NTTデータにおいてセキュリティおよびIC カードの技術開発に従事。経営企画部において新規ビジネスの開発等を行った後、2003年、NTT第三部門（現:研究企画部門）でセキュリティ関連のチーフプロデューサー。

昨今では、Winnyによる情報漏えいやウイルス、スパイウェアなどの問題が大きくクローズアップされていますが、「ICT技術が人の能力を遙かに超えてしまっていて、実際にPCのバックグラウンドでどんな処理が実行されているのかを認知できない」ということが実は根元的にあります。

このような技術的状況であること前提にすると、重要なのは「自分の情報をどう思いどおりに扱えるか」ということになります。大げさに言うと、流出しても何ら問題のない情報は出ていっても構わない。

つまり、重要な情報を常に正常な状態で守ることができているかを認識することが一番重要なのです。

ここで皆様に提言したいのは「情報セキュリティは、情報の流れを制御する機能である」ということです。被害者的な意識の中で対策を講じるのではなく、もっと肯定的に、自らの情報の流通を自らコントロールするということにコストをかけるべきではないでしょうか。そのように発想の転換を行い、「攻め」の情報セキュリティを考えていくことが大切です。

また、情報の流通経路をもう一度捉え直す作業は業務システムを見つめることになるので、BPR（Business Process Reengineering）の一環にもなります。

情報セキュリティの基本構造を考える。

それでは次に、攻めの情報セキュリティに転じる際に参考にしていただきたい基本的な構造についてお話しましょう。図に示したように、二重の境界線で囲まれている構造をまず考えてください。境界線1に囲まれた領域はデータベースや中核の処理機能です。境界線2の領域は、境界線1の情報資産にアクセス可能な利用者とその機器類です。

▲ 情報セキュリティの基本構造

この構造の中には、5つの必要な機能を備えます。まず一番重要なのが、境界線1へのアクセス管理機能です。社内LANへ不明なPCが接続される危険性も考え、PC1台ごとにアクセス権を設定します。

次にファイアウォール機能では、境界線1 と外部との接点でウイルスやスパム対策、コンテンツフィルタリングなどを行い、不正な情報が侵入しないようにします。またメールやファイル転送でやりとりする情報のアクセスもファイアウォールで管理します。

3番目は操作ログの取得とその管理機能です。情報資産に対する各利用者の行動記録を取得して管理することで、異常が発生した場合に原因を特定することが可能になります。さらに情報の追跡機能も有効な手段です。電子透かしなどを用いることで、流出した情報が誰の所有する情報だったか、誰に渡した情報だったかが確認できます。

最後に各装置の維持管理機能で、PCのさまざまなソフトウェアのアップデートなど、各装置が正常な状態に保つためのものです。

これらを基本機能として組み込むことによって、情報資産を正規の権限を持った者だけがアクセスできる環境が整います。ここで示した基本構造をセキュリティポリシーとしてそれぞれの機能の定義を明確化することによって、本来必要で基本的なセキュリティ対策を決めることができます。これは脅威に対して過剰に対策するものではなく、あくまでも自分の思い通りに情報資産をコントロールするという観点で検討します。

情報資産をコントロールするという原点へ。

今まで多くの企業では、断片的にセキュリティ対策を行ってきました。その都度、最善の策を講じたにも関わらず、全体的にはどこかに穴がある構造であったり、対策を重複させている場合もあります。ここ数年実施してきた個別の対策が一巡した今こそ、すべてを見直してバランスの良いセキュリティを作り上げるチャンスです。

コストと人材面からも、最近は何かとアウトソースすることがトレンドになっていますが、あらゆる業務プロセスから検討しなければならないので、経験と実績のあるシステムインテグレータ（SIer）を選択したいものです。

ICTで業務が成り立っているのではなく、ICTはツールのひとつです。情報資産をいかに活用して企業価値を上げるか、人の動きも含めて全体を議論できるSIerが理想です。

私はNTT持株会社のR&D部門におりますが、日頃からNTTソフトウェアさんとは共同で開発を進めています。NTT ソフトウェアさんは暗号技術とIDマネジメントが得意であり、その分野では日本で最も進んでいると思っています。

この暗号技術とIDマネジメントで、情報セキュリティのかなりの部分が解決できるのです。

また、現在の企業活動においてメールシステムは不可欠ですが、現在の仕組みは甚だ脆弱であると言わざるを得ません。究極的には暗号メールになるのでしょうが、この分野でもNTTソフトウェアさんのポテンシャルに期待しています。

NTT がグループとして取り組んでいるNGNでも、NTTソフトウェアさんの認証系と暗号技術を活用し、共に社会の安心と安全を作り上げていきたいと考えています。