経営リスクを最小限に抑えながら効率的に情報資産を保護するには? オラクルが考えるベスト・プラクティス

今日、人材、モノ、お金に続く第4の経営資源である「情報」をいかに活用するかが企業の事業推進において重要な課題となっているが、一方でサイバー攻撃をはじめとするセキュリティ・リスクも増大し続けている。日本オラクルでセキュリティ関連製品の担当ディレクターを務める北野晴人氏(製品戦略統括本部所属)は、2012年10月に東京ビッグサイトで開催された「ビッグデータEXPO 2012秋」において「守りと攻めで考える、経営リスクと情報セキュリティ」と題した講演を行い、情報にかかわるリスク・コントロールの重要性と、企業が重要な情報資産を効果的に守る方法を説いた。(編集部)

今こそ、経営層にセキュリティ・リスクを伝える努力が必要

日本オラクル 製品事業統括本部 担当ディレクターの北野晴人氏
 フィッシング・メールによるID盗難や詐欺、SQLインジェクション攻撃による情報の窃取、あるいはサーバへの不正侵入によるWebサイトの改竄など、相次いで発生するセキュリティ攻撃から情報資産をどう保護すべきかが社会的な課題となっている。

 こうした攻撃への対策として、現在広く使われているのがファイアウォールや侵入検知システム、あるいはウィルス対策ソフトといったセキュリティ・ソリューションだが、これらの防御をかいくぐって組織内に侵入し、情報が盗み取られる事件も少なくない。内部不正による情報漏洩も相次いでおり、深刻な問題となっている。

 また最近では、第三者のPCを悪用してインターネット上の掲示板に殺人予告を書き込み、踏み台に使われたPCの所有者が誤認逮捕されるという事件が発生して大きな問題となっている。このように攻撃の手口が巧妙化し、ますます対策が難しくなっているのが実情だ。

 こうした状況の中で、企業は何を考え、どう行動すべきなのか? 長年、スペシャリストとして企業情報セキュリティにかかわり続けてきた北野氏は、次のように語る。

 「まず第、企業は今後、社会的責任をどのように果たしていくべきかを考える必要がある。自社に対する攻撃の被害が顧客に及ぶ恐れもあるし、場合によっては行政処分を受けたり、刑事事件に発展したりする可能性もある。あるいは、それが売り上げの減少につながるかもしれない。このように極めて大きなリスクがあるのにもかかわらず、残念ながら、日本企業の中にはまだ十分なセキュリティ対策ができていないところが少なくない。

 その理由としてよく挙げられるのが、『手間/コストがかかる』ということで、次に『対策をどこまでやるべきかがわからない』ということだ。情報の活用なら、どの程度の利益が生まれるのかが明確なので投資を引き出しやすいが、リスク・コントロールは直接的な利益に結び付かないため、費用対効果を考えるのが難しいと考えているわけだ。

 ただし、以前からよく聞かれる「経営者が理解してくれない」という理由は本当なのだろうか? 実は、経済産業省の調査データによれば、「トップの理解・協力が得られない」という理由はわずか7.5%に過ぎない。実際に投資の意思決定を行う企業の経営層に話を聞いてみると、『今の時代は企業にとってもセキュリティが重要な課題だ』という認識を持つ方の割合は急速に増えている。ITマネジャーらは、自社が抱える情報セキュリティ・リスクをきちんと可視化し、攻撃を受けた際にどの程度の損害が生じる可能性があるのかを、経営層にもっとわかりやすく伝える努力をしなければならず、経営層もそれを求めているのが実情なのではないだろうか。また、私も含めてセキュリティ業界の人間も、それをきちんと支援していく必要がある」

グローバル・シングル・インスタンスでセキュリティ対策を効率化

 それでは、情報セキュリティに関するリスクを具体的にどうコントロールしていくべきなのだろうか? これについて北野氏は、オラクル自身の取り組みを例にとって1つのヒントを示した。

 「1990年代後半のオラクルでは、受注や決済、人事などの業務を各国の拠点でバラバラに行っており、似たようなシステムが数多く存在していた。この状態を何とかしなければならないということで、『グローバル・シングル・インスタンス』というかたちでシステムの統合を図った」(北野氏)

 具体的には、現在で言うプライベート・クラウドを構築し、インフラやOS、サーバ、データベース、アプリケーションなどを世界共通で利用するようにしたのである。

 こうしてシステムの統合を図ったことにより、IT基盤の全体最適化を実現するのと同時にセキュリティ対策も効率化することができたと北野氏は振り返る。

 「システムや業務プロセスがバラバラに存在していると、情報セキュリティ対策もそれぞれ個別に実施していかなければならない。そのため、セキュリティ対策に多くのコストがかかってしまう。しかし、グローバル・シングル・インスタンスというかたちでシステムを統合すれば、セキュリティ対策は1カ所で済む。例えば、スパム・メールのフィルタリングやメール・サーバ上でのウィルス対策も1カ所で行えばよく、複数のメール・サーバで対策を講じるよりもコストを大幅に抑えられる。もちろん、1カ所に集中することで、セキュリティ・リスクのコントロールも効率的に行える」

IT基盤の統合によってコスト削減も実現

 オラクルはこれまで、多くの企業を買収しながら急速に成長を続けてきたことにより、この10年間で従業員の数は約2倍となり、それに伴って売り上げも伸び続けている。ただし一方で、売り上げに対するIT投資の比率はどんどん下がり続けているという。グローバル・シングル・インスタンスによってシステムを効率化し、また継続的な改善活動を行ったことで、ITコストの削減を実現しているのだ。

 さらに重要なことは、こうした統合基盤の中にセキュリティを実装しておくと、景気の動向や業績の善し悪しなどに左右されず、一定のセキュリティ・レベルを確保できるということだ。景気が悪くなって利益が減少したら、当然、IT投資も抑制せざるをえない。そのときでも、セキュリティ・レベルを落とさず、なおかつビジネスの状況が好転したら“攻め”の事業に移行するためのITを迅速に実装できる。業績向上とリスク・コントロールを同じ1つの基盤で実現できることにより、IT投資の効果を最大化していると言える。

守るべきは情報資産はデータベースの中にある。それを核に据えた対策が中長期で最も有効

 加えて北野氏は、情報セキュリティにおける入口と出口の対策には限界があると訴えた。入口の対策とは、外部からの不正アクセスやウィルスの侵入を防ぐといった対策。それに対して出口対策とは、情報が外部に持ち出されるのを防ぐといった対策である。

 「昨今の状況を見ればわかるとおり、不正アクセスや攻撃の動向はますます巧妙化している。そのため、入口と出口の対策では、攻撃手法が変化する度に新たな対策に投資し続けなければならない。

 しかし、ここ10年を振り返ってみると、攻撃者の標的、具体的には「盗み出そうとする情報」が個人情報や機密情報であるという点は変わっていない。さらに言えば、攻撃者が狙う重要な情報はデータベースに格納されているということも変わっていないし、今後もあまり変わらない。つまり、企業が守るべきはデータベースであり、そこで多層的なセキュリティ対策を講じていれば、攻撃手法が変化したとしても迅速かつ柔軟に対応できるということになる。加えて、グローバル・シングル・インスタンスのようなかたちでシステムを統合していれば、より効率的にセキュリティ対策を講じられるようになる」

 こうした考えの下、オラクルはここ数年、企業にとって最も重要な情報が格納されたデータベースを核にして、その周囲を多層的に防御するかたちで各種セキュリティ製品を拡充してきた。

 このアプローチこそ、企業にとってのリスクを最小限に抑えつつ、効率的な投資で情報資産を保護するためにオラクルが確立したベスト・プラクティスなのだ。

■「Oracle Days Tokyo 2012」で、今日の企業に求められる最新のセキュリティ・ソリューションを知る!

10月30日、31に東京 恵比寿で開催されるOracle Days Tokyo 2012では、今回の記事で取り上げたオラクルの各種セキュリティ・ソリューションと、その導入メリットをさまざまな講演でご紹介いたします。ぜひご聴講ください。

ご聴講のお申し込みはコチラのサイトから!


Comments:

Post a Comment:
Comments are closed for this entry.
About

Twitter
Facebook

Search

Recent Posts
Archives
« 4月 2014
  
1
2
3
4
5
6
7
9
10
11
12
13
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today