ペンタセキュリティシステムズ(ペンタセキュリティ)は11月16日、経営者がITセキュリティを理解するための方法を解説したコラム「企業経営を脅かすITセキュリティ。答えは、実用主義暗号化」を発表した。
経営陣の不安は「経済の不確実性」から「ITセキュリティのリスク」に
コラムによると、企業経営において最も大きなリスクと考えられていたのは長らくにわたって「経済の不確実性」であった。しかし近年、企業経営において最も大きなリスクのひとつとして挙げられることもあるというのが「ITセキュリティのリスク」だ。経済の不確実性により発生する問題は、企業自身で解決することができたが、ITセキュリティを脅かすサイバー攻撃は連日激しさを増しており、収拾が困難だという。
セキュリティ事故はビジネスの連続性を断ち投資者に悪影響を及ぼすだけでなく、深刻な場合には社会的な混乱を引き起こし、災害と同等レベルの経済活動の麻痺、そして企業活動の停止にまでつながることもある。そのためITセキュリティは、企業としての成功に必須の要件であり、従来の危機管理方法を再検討の上で新しいアプローチを取る必要があるようである。
経営者にとってITセキュリティに関する最も深刻な問題はその難解さではないか、とコラムでは推測している。現状では技術者でなければ理解しづらい専門書もあり学びたくても学ぶことが難しい。そのため経営層と技術者の間での認識のギャップが徐々に広がってしまうのだという。
ITセキュリティを理解するためには数多くの重要な要素をいろいろな側面から検討しなければならず門外漢にはとても難しい。しかし他の分野と同様にITセキュリティに関しても重要な流れを知り、全体を捉える観点を持つことでITセキュリティを明瞭な一つのイメージとして把握できるだろうとしている。
■ペンタセキュリティのセキュリティコラムはこちらもチェック
【特別企画】自律走行車が実用化された時代に考える! 自動車セキュリティにおいて重要な6つの要素とは?
【特別企画】誰もがハッキング可能な時代に取るべき対策とは? あの不正アクセス事件をペンタセキュリティが解説
ITセキュリティを理解するための2つの考え方
ITセキュリティは難解に見えるが、簡単に二つのポイントに分けることができるとペンタセキュリティは主張している。ひとつは「脅威からの防御」であり、もうひとつは「安全なシステムの設計および実装」である。コラムではそのふたつのポイントを人間の健康に例えて解説している。
まず「脅威からの防御」は、既存のシステムを守るための方法であり、アンチウイルス、侵入検知・防御、脆弱性点検システムなどがこれに該当する。これは体調が悪いときに病院で治療を受け、薬を飲むようなものとのことだ。
しかし近年よく聞かれるAPT攻撃をはじめとした脅威は執拗に攻撃を繰り返すため、少しずつシステムに侵入し、結局は全体を掌握してしまう。そのためいくら最善を尽くしても企業のネットワークは最終的に攻撃にやられてしまうのだという。
一方、「安全なシステムの設計および実装」は、より根本的な方法である。ここでいう「安全」とは、ITシステムが常識的なレベルで合理的に運営されることを意味する。つまり発生した問題に対応するのではなく、最初からシステムを安全に設計してセキュリティを実現することだ。人間の健康に例えると、毎日運動したり、バランスよく栄養を摂取するなどの「健康に良い習慣」をとることに似ているという。
こうした「安全なシステムの設計および実装」という問題を解決するために必要な道具としてコラムで述べられているのが「暗号化」だ。適合なユーザーであるかを認証し、異常なアクセスがある場合は情報を隠し、権限のある人のみ情報が閲覧できるようにする。また監査情報に対する整合性を保証する。合理的なシステムの動作を担保し、証明するコア技術が暗号化なのだという。
またシステムの設計段階から安全性を高めておくことは、セキュリティについて最善をつくしたことの証拠ともなる。根本的な問題解決のために努力をすることで「脅威からの防御」への取り組みに比べて、責任免除の法的な根拠もより充実するとしている。
ITセキュリティにおける「実用主義暗号化」の重要性
「安全なシステムの設計および実装」は「脅威からの防御」以上に難しく、その中でも、暗号化技術は特に複雑で難解だ。しかし暗号化の技術自体を根本的に理解することに比べ、安全なシステムを作り上げるために暗号化技術をどう活用するかを学ぶことは、さほど難しくないという。コラムではそのような「企業のセキュリティに実用するために理解すべき暗号化」を「既存の学術的な暗号化理論」と比較し、「実用主義暗号化」と呼んでいる。
韓国では日常のすべてがIT技術を基盤して行われているという。しかし非常に便利である一方、システムをむやみに設計・運営してしまったためにまともな情報セキュリティは果たせていないとしている。
「安全なシステムの設計および実装」を達成するためには長期的な観点を持ち、一般情報か重要情報か、識別情報か認証情報か、公開情報か秘密情報かなど情報を厳格に区分してデータベースを設計した上で体系的に管理することが重要だとしている。韓国ではこれが行われなかったために、膨大な個人情報の流出が起こってしまったとのことだ。
コラムではこうした韓国での例から学び、「『実用主義暗号化』を通じて、安全なシステムの設計および実装を成し遂げることを願う」と結んでいる。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供: