雇用形態やワークスタイルの多様化が進む今日では、企業の情報セキュリティへの脅威も複雑化している。一方で、セキュリティー対策は個人まかせという企業は多い。IBMでは、自らが実践してきた経験をもとに、初期コストを抑えながら、専門性のあるセキュリティー対策サービスを提供している。クライアントPCからの情報漏洩を防ぐ「IBMクライアント・セキュリティー・ソリューション」について、同社の金田智史氏に聞いた。
「IBMクライアント・セキュリティー・ソリューション」(ICSS)は、外部媒体(USB、CD/DVD、印刷物)への出力制御、ファイルの暗号化、セキュリティー・パッチの更新状況やパスワード・ポリシー設定の検査、Winnyなどファイル共有ソフトの禁止、操作に関するログの取得など、クライアントPCに必要なセキュリティー対策を実現するソリューションだ。
オファリング・マネジメント
プロフェッショナル・セキュリティー・サービス 主任
金田 智史氏
CISSP(Certified Information Systems Security Professional)
日頃からセキュリティーに関する案件の問い合わせ受付けている金田氏は、「セキュリティーと言うと、世間的にはクラウドにおけるセキュリティーに興味が集まっていますが、実務レベルの問い合わせ内容としては、クライアントPCの情報漏洩対策に関するものが依然として多いです。また、クラウドを利用する場合でも、クラウドへのアクセス手段としてPC自体は使い続ける訳ですから、いずれにせよ対策は必要となります」と切り出した。ワークスペースやデータ自体をクラウド上に展開するデスクトップ・クラウドも1つの対策ではあるが、オフライン環境での利用などPC上にデータを残さざるをえないワークスタイルにおいては、やはり従来のファット・クライアント向けのセキュリティー対策が必要となる。
「2009年情報セキュリティインシデントに関する調査報告書」(NPO 日本ネットワークセキュリティ協会)によれば、情報漏洩の事故件数は「紙」によるものが7割と最も多いという。印刷した紙を紛失したり盗まれたりするケースだ。次に多いのが、USBメモリやCD-ROMといった「電子媒体」で、続いて「メール、インターネット」を通じたものが続く。一方で、実際に漏洩した情報の件数を見ると、紙媒体より多くの情報を持ち出せる電子媒体が上位になる。
では、企業のセキュリティー対策はどの程度普及しているのだろうか。IDCの資料(注)によると、アンチウイルス対策が7割、不正侵入検知またはブロックなどの脅威管理は5割であるのに対して、暗号化やデバイス制御などのクライアントPCでの情報漏洩対策については3~4割程度となっている。「特に中小企業のお客様は導入が進んでいないようです。コスト効果を考え、対策が不十分であると思われますが、最近では、中小企業のお客様からの問い合わせが非常に増えています」と金田氏。
注:IDC 2010年 #J10260101「2010年国内情報セキュリティ市場企業ユーザー動向調査:セキュリティ対策投資の動向」Figure22「情報セキュリティ対策における項目別導入状況」
セキュリティー対策が普及していない理由について金田氏は"性善説"を挙げた。「システムでセキュリティーを守るのではなく、『うちの社員は悪さしないだろう』と信頼して、守っているというのが多いのではないかと思います。しかし、情報漏洩の原因を見ると、外部からの攻撃だけでなく、内部の犯行も多く、性善説に頼った対策の限界に来ていると考えています」とした。残念な話であるが、最近では一部の社員が悪意を持ってしまうという懸念もあるため、システムによって、セキュリティーを守る必要が生じているのだ。
ただし、セキュリティー対策にはそれなりのコストがかかる。金田氏は「セキュリティー対策ソフトの中には、お客様によってはオーバースペックに感じられるものもあり、さまざまな対策ができるという点ではいいのですが、金銭的に余裕のない企業では『そこまでの機能は必要ない』という声もありますし、場合によっては機能ごとにいくつものソフトを導入しなければならない面倒さもネックとなっていると思います」と語る。
これらの課題を解消するべく、一般に必要とされているセキュリティー対策をオールインワンで実現できるのがICSSだ。日本IBMグループ2万人のスタッフ自らが利用し、6万ユーザーの生命保険会社から、300ユーザーの中小企業まで、規模や業種を問わず導入実績があるソリューションだ。
ICSSでは、制御内容の管理を行うポリシー管理サーバーと、クライアントPCにインストールしたエージェントによってセキュリティー対策を実施する。「エージェントがポリシー管理サーバーに問い合わせを行い、例えば、『USBへの書き出しは不可』『印刷はOK』など、お客様のポリシーにあわせてカスタマイズして提供します」と金田氏。
制御内容は、データ保護機能と検疫機能に大別される。データ保護機能では、電子媒体や印刷の制御のほか、ファイルの暗号化や操作ログの蓄積などを行い、検疫機能では、セキュリティーパッチやウイルス定義ファイルの更新状況の確認、非許可ソフト起動監査、パスワード設定監査などを制御できる。データ保護と検疫の両方の機能をカバーする「総合対策スタンダードプラン」の場合は1台あたり月額2,310円から(50台以上の年間契約)となっている。
データ保護だけ、または検疫だけを導入したいなど、予算やニーズに応じて必要な機能を絞った利用も可能だ。また、ポリシーを決めること自体に手間がかる場合もあるため、あらかじめ決められたポリシー・テンプレートを導入する"ライトプラン"も用意している。たとえば、検疫機能だけに絞った「検疫対策ライトプラン」の参考価格は1台あたり月額777円(50台以上の年間契約)だ。金田氏は「ライトプランは、IBMが厳選したいくつかの推奨ポリシー・セットからお選びいただくだけで、一般的に必要とされるセキュリティー対策を網羅的にカバーすることができます。たとえば、『パスワード・ポリシー』、『電子媒体への出力制御ポリシー』など、個々の制御ポリシーが事前にセットされている『おすすめパッケージ』のようなイメージです」と説明した。
各企業が危機感を持っているものの、なかなか導入が進んでいない、クライアントPCのセキュリティー対策。情報漏洩を考えると、導入したほうがいいのは間違いない。ぜひ検討してみてはいかがだろうか。
簡単なアンケートにお答えいただきますと下記ホワイトペーパーがまとめてダウンロード出来ます
 |
IBM社内事例に学ぶ IBM クライアント・セキュリティー・ソリューション+PGP ハードディスク丸ごと暗号化で高度セキュリティー・レベルの維持と情報漏洩防止! |
 |
IBM ITセキュリティー・ソリューション・ポートフォリオ あらゆるリスク領域への対応を可能にするIBMのITセキュリティー・ポートフォリオを紹介 |
