経営リスクと情報セキュリティ~経営の効率化、スピード化と両立する情報セキュリティ基盤を構築することは可能なのか? 【前編】

海外への知的財産の流出事件などにより、情報セキュリティが企業の存続をも脅かす重要な経営リスクとして改めて認識され始めた。だが現在も多くの企業では、その対策が後手に回っているのが実情だ。経営の効率化、スピード化のためのIT投資/情報活用と両立する情報セキュリティ基盤を構築することは可能なのか? 2012年7月に開催された「ガートナー セキュリティ&リスク・マネジメント サミット 2012」において、日本オラクルの北野晴人氏が、経営リスクとしての情報セキュリティとの向き合い方、そしてオラクルにおける経営効率化と情報セキュリティ基盤構築の取り組みについて語った。(編集部)

■他の経営資源と同様、「情報」の利活用においてもリスク・コントロールを忘れるべからず

img_exadata_120227_01.jpg
ガートナー セキュリティ&リスク・マネジメント サミット 2012」において「経営リスクと情報セキュリティ」と題して講演を行った日本オラクル 製品事業統括 製品戦略統括本部 セキュリティ担当ディレクターの北野晴人氏
  企業にとって、「情報」が「人材」、「モノ」、「お金」に続く“見えざる第4の経営資源”だと言われるようになって久しい。実際に今日、あらゆる業種/業態の企業がさまざまな活動を通して情報を収集し、それを利活用して事業活動を行ったり、あるいは事業活動を効率化したりしている。現代企業にとって、もはや情報は生産に不可欠な「原料」や「道具」の1つに位置づけられるものなのだ。

そして、経営資源としての人材やモノ、お金のそれぞれに特有の経営リスク(例えば、人材であれば獲得/育成/流出のリスク、モノであれば原材料の安定供給やサプライチェーン寸断のリスク、お金であれば調達/回収/為替のリスクなど)があるのと同様に、経営資源としての情報にも特有のリスクがある。「そのリスクをどう管理/コントロールしていくかも、他の経営資源と同様に企業の経営層が率先して考えるべき重要な経営課題」(北野氏)となっている。

dbsecurity_000234_02.jpg

ところで、「情報」という日本語に対応する言葉として、英語には「Information」、「Intelligence」という2つの言葉がある。前者は「事業を行う(製品を生産/販売するなど)ための原材料や道具としての“生の情報”」の意味で使われることが多く、後者は「生の情報を分析/加工/研究/開発するといったさまざまな事業活動を行うことで新たに生み出される、付加価値の高い情報」といった意味で使われることが多い。

「特にIntelligenceに相当するものは、企業の競争力の源泉となったり、経営者が意思決定する際の材料となったりする重要な情報資産であり、これが失われたり、壊されたり、盗まれたりした場合、企業の競争力には大きな支障が出る。これこそが、人、モノ、お金と同じレベルでリスク管理を行うべき情報だ」(北野氏)

また一般に、情報には「形式知」と「暗黙知」の2種類があると言われる。このうち、後者は人に強く依存したアナログ情報であり、これを持った人がいなくなると、その情報も失われてしまう。それを避けるべく、多くの企業は暗黙知をデジタルな形式知に変えるために多大な努力を費やしてきた。これが、いわゆる「ナレッジ・マネジメント」の取り組みである。現在、日本企業と外国企業との間で争われている知的財産流出問題などでは、人材(暗黙知)の流出と製品の技術情報(形式知)の流出がセットで起きたことにより、そのリスクがさらに高まったと見ることができる。

「暗黙知たる人材の流出をテクノロジーで抑えるのは難しいが、技術情報や個人情報など形式知の流出を防げれば、被害をより少なく、リスクを小さくできる」(北野氏)
 したがって、形式知を守ることは、情報にまつわるリスクをコントロールするうえで引き続き重要な取り組みなのである。

dbsecurity_000234_03.jpg

■今、企業が直面する情報セキュリティ・リスク

それでは、今日の企業は具体的にどのような情報セキュリティ・リスクに直面しているのだろうか。近年話題になっているものとして次が挙げられる。

●シームレスな運用管理環境の構築:フィッシングによるID/パスワードの盗難など。多くの個人が銀行口座から預金を盗まれるなどの被害に遭っている

●アプリケーションの脆弱性攻撃:SQLインジェクションなどによるWebアプリケーションへの攻撃。データベースなどが攻撃対象となり、企業が持つ顧客情報などが盗まれる事例が起きている(サーバへの侵入などはないことが多い)

●脆弱性を突いたサーバ攻撃:システムの脆弱性を突き、サーバに侵入するなどして情報を盗み出す。2011年には、この手法により国内外で企業の大規模なオンライン・サービスが攻撃を受け、話題となった

●境界防御を迂回した攻撃:いわゆる標的型攻撃などにより、境界型セキュリティ対策の裏を突いて情報を盗む。2011年後半には政府/国会のシステムや防衛産業のシステムなどがこの手法で攻撃されて社会問題となった

●権限者による内部不正:管理者権限を悪用した内部者による情報窃取など

特に近年は、「『犯行が組織的に行われる』、『ターゲットを定めて執拗に攻撃する』、『さまざまな手法を組み合わせて巧みに攻撃する』といったケースが目立っている」(北野氏)という。

では、上述したようなセキュリティ攻撃により、企業はどのような被害を受けるのか。信用の失墜による「株価下落」、「膨大な対策費の投入による金銭的な損失」、「被害者への保証による金銭的な損失」、「行政府による厳しい指導/ペナルティ」、「知的財産の流出による競争力の減退」などさまざまだが、いずれも企業経営を脅かす重大な被害であることに変わりはない。

dbsecurity_000234_04.jpg

特に「知的財産の流出による競争力の減退」については、2012年になって日本企業が外国企業に対して訴訟を起こした事例でも注目を集めた。こうした知的財産の流出が公になるケースは少ないが、「経済産業省が2009年に行った調査では、製造業の3割程度が実際に知的財産の漏えいまたは漏えいの可能性がある事象を経験していると回答している」と北野氏は説明する。ライバル企業に知的財産を盗まれ、それを使った安価な対抗商品を開発/販売されてシェアを奪われるといった脅威の存在を、少なからぬ国内企業が肌で感じているのである。

このように、情報セキュリティ関連リスクの管理は企業経営そのものに大きくかかわる問題である。企業の本質が「リスクを取って利益を得る」というリスク・テーカーである以上、情報セキュリティの問題は現場の社員や中間管理職に「任せておく」べきものではなく、経営者自らが判断/意思決定すべきものである。北野氏はこの点を、恩師である情報セキュリティ大学院大学 林紘一郎教授の言葉を引用して「係長セキュリティから社長セキュリティへ」と表現した。


■脅威は年々変わる、だが守るべき情報資産は変わらない。それを踏まえた効果的な打ち手を

続いて北野氏は、オラクルが情報セキュリティに関して掲げている考え方に言及した。その考え方とは、「脅威は年々変化するが、守るべき情報資産は変わらない」というものだ。

これまで、多くの企業がファイアウォールや侵入検知システムなど、システムの内部と外部を隔てる境界線(インターネットと接続する境界部分)の防御に多くのリソースを割いてきた。しかし、この境界線を突破するための攻撃手法は、数年の周期で変化している。過去10年ほどを振り返ってみると、例えばSQLインジェクションの被害が急増したのは2005 年ごろからであり、標的型攻撃は2006 年ごろから確認され、被害が急増したのは2011年ごろからである。このようなサイクルで新たな脅威が顕在化するのだとしたら、それらへの対策も同じペースで更新していかなければならない。

しかも困ったことに、セキュリティ対策への投資は、他のIT投資とは異なり中長期の計画を立てづらいという側面がある。事実、大抵の場合、企業は何か新たな攻撃と被害が社会的に注目を集めると、その対策のための予算を急遽捻出し、慌てて対処するということを繰り返してきた。このように、年度ごとの計画的なIT投資を行いづらい点が、セキュリティ投資の最も悩ましい問題の1つなのである。「この問題に打ち手はないのだろうか?」――こう自問し続けた結果オラクルが達した結論が、先の「脅威は年々変化するが、守るべき情報資産は変わらない」という考え方なのだ。

「攻撃手法は変わっても、攻撃者が狙うものは、企業が持つ機密情報/個人情報や政府機関の外交機密/防衛機密など、過去から現在に至るまで変わっていない。そして、デジタル化されたそれらの情報は、企業システムの中枢に置かれたデータベース・サーバやファイル・サーバに格納されている。この保管方法も過去10年変わっていないし、今後もまず変わらないと考えられる。そうであるならば、それらを守ることに集中すれば、最大の効率で効果を上げられる。すなわち、データベース・サーバやファイル・サーバに対して適切な暗号化やアクセス・コントロールを施すことにより、効率的かつ適正なコストで情報資産を守ることができるのだ」(北野氏)

dbsecurity_000234_05.jpg


(後編に続く)

*   *   *

オラクルのセキュリティ・ソリューションを構成するID/アクセス管理製品の最新版の詳細について、2012年7月24日に開催する下記セミナーにおいて、その活用例とともに詳しく紹介する予定です。情報セキュリティにまつわるリスクを高いレベルでコントロールしたいと考える企業のセキュリティ担当者の皆様は、ぜひお足運びください。


セミナー開催概要
セミナー名クラウド・モバイル活用時代のID・アクセス管理フォーラム
~ソーシャルメディア、スマートフォン活用促進と同時に求められるセキュリティ対策。その実現方法とは?~
URLhttp://www.oracle.com/goto/jpm120724
日時2012年7月24日(火) 14:00~17:00(受付 13:30~)
会場日本オラクル株式会社 本社 13Fセミナールーム
銀座線「外苑前駅」4B出口より直結
銀座線・半蔵門線・大江戸線「青山一丁目駅」より徒歩9分
銀座線・半蔵門線・千代田線「表参道駅」より徒歩10分
定員80名
対象
  • 情報セキュリティの責任者、マネージャ
  • 情報システム部門の責任者、マネージャ
  • ID管理の責任者、マネージャ
  • モバイルビジネスやソーシャルメディア戦略の責任者、担当者

  • ※ご同業者の方のご参加はお断りさせていただく場合がございます。
    ※お申込多数の場合は、上記対象者の方を優先させていただく場合がございます。
参加費無料

※ 講演内容、登壇者が変更になる場合がございます。予めご了承ください。

Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 7月 2014
  
1
2
3
4
5
6
7
8
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
  
       
Today