最終回はセキュリティを取り巻く最近の動向と、組織が対応すべきセキュリティの全体像をフィジカルとサイバーの観点からご説明します。また、日立が実現する社会、企業情報、暮らしを守るソリューションもあわせてご紹介します。
これまで4回にわたり、個人情報保護、情報漏えい防止、ISMS、セキュリティ監査について解説してきました。
最終回はまずセキュリティを取り巻く最近の動向をご紹介し、それから日立が考えるトータルセキュリティを、日立のソリューションを交えながらご紹介していきたいと思います。
組織がますますITへの依存度を高める一方で、セキュリティの範囲や考え方も変化してきています。
1990年代後半からのインターネットの急速な普及時期においては、ウィルスや不正アクセスへの対応がセキュリティ対策の範囲と考えられていました。しかし、2001年9月11日のアメリカ同時多発テロを機に、アメリカでは国土の安全に対する強力なセキュリティ対策(ホームランドセキュリティ)が要求されるようになりました。ここで言われる対策は、サイバーテロ対策を含めた国防としてのフィジカル・サイバー両面からのセキュリティの整備をいいます。同時にテロ・自然災害発生時の事業継続が企業の社会的信頼の獲得に繋がるという認識が高まり、災害時などにもビジネスを継続するための計画や管理方法としてBCP(Business Continuity Planning)やBCM(Business Continuity Management)が重要なセキュリティ対策として定着しつつあります。
一方、エンロン社やワールドコム社の不正経理事件をきっかけに、アメリカでは企業の内部統制強化を目的としたSOX法(Salbanes-Oxley法)が施行され、コンプライアンスの遵守が以前にもまして重要となりましたが、セキュリティ対策も企業コンプライアンスの重要な柱に位置付けられています。
日本においては、2005年に個人情報保護法が施行され個人情報や企業情報の漏えい対策がホットな話題となっていますが、最近では、デジタルフォレンジックに対応する意味でも各種ログの収集・管理が注目を集めています。また、これから施行が見込まれる日本版SOX法を視野に入れた抜本的対策の必要性も問われ始めています。このようにセキュリティへの意識が高まっている一方で、相変わらず情報漏えい事件が多発しているという現実もあります。自治体だけを対象にしてみても、車上荒らしや盗難、紛失といった形で2004年後半以降に約100件にのぼる情報漏えい事件が発生しています。
前項でご紹介した動向も踏まえ、組織が対策すべきセキュリティの全体像について見ていきます。
セキュリティには大きく分けて二つの側面があるといえます。一つはあらゆるところに潜むフィジカル、サイバー両面での「脅威」です。これは、オペレーションミスや従業員モラルといった「内部要因」、不法侵入、詐欺、有害コンテンツ、スキミング、フィッシング、改ざんといった「外部犯罪」、地震、テロといった「災害」などに分けることができます。
もう一つは、セキュリティを実現するための「基盤」です。これは個人情報保護法、不正アクセス禁止法といった「法制度」、セキュリティ評価基準、情報システム運用管理基準といった「標準化」、これに加えe-Japan戦略を中心とした「国家施策」に大別できます。
これら両面を踏まえた対策こそが、安心・安全なネット社会を実現するセキュリティ対策の全体像ということができます。この全体像を踏まえ、日立はフィジカルとサイバーに加え、法制度など世の中の流れに合わせた対策が真のトータルセキュリティを実現するために必要だと考えています。
図1 セキュリティの全体像
![[イメージ]セキュリティ全体像の説明図。セキュリティ対策は、内部要因、外部犯罪、災害といった脅威と、法制度、標準化、国家施策といった基盤の両面からの対策が必要。](/Div/jkk/jichitai/column/column011/image/005_01.jpg)
これまで説明してきましたトータルセキュリティ対策を実現する、日立のセキュリティソリューション「Secureplaza(セキュアプラザ)」をご紹介します。
「Secureplaza」では、組織をさまざまな脅威から守るべく、お客さまの導入目的に合わせたソリューションをパッケージ化しており、セキュリティマネジメントの第一歩といえるセキュリティポリシー策定、情報漏えい対策、モバイル環境下でのセキュリティ対策、企業活動記録の保全ソリューション、入退管理トータルソリューションなどを提供しています。
| 名称 | 内容 |
|---|---|
| Secureplaza/CS | セキュリティポリシー策定やISMS認証取得などを、経営策定の観点から支援します。 |
| Secureplaza/HS | 時間とともに低下しがちなセキュリティレベルを、定期的な診断・検査により目標レベルに保ちます。 |
| Secureplaza/PB | ウィルス感染から組織を守るため、組織形態に最適な感染予防策などをトータルに支援します。 |
| Secureplaza/LG | 情報漏えいのさまざま可能性を検証・診断。適切なツール導入や監視により、リスクを解消します。 |
| Secureplaza/FS | 企業の活動記録を保全、収集し、監査対応や事件・事故の際の証拠保全の対応を支援します。 |
| Secureplaza/US | さまざまなユビキタスアクセスの形態に対して、多様なレベルの認証、通信路保護、情報保護を実現します。 |
| Secureplaza/IM | ネット取引などの安全性を確保するため、PKIなど最新技術を駆使した仕組みを提供します。 |
| Secureplaza/TZ | 堅ろうな物理セキュリティと情報セキュリティの提供により物理的脅威とネット上の脅威、双方に備えます。 |
それでは、この目的別ソリューションの中から最近注目の分野に対応するものをご紹介いたします。
4.1 Secureplaza/HS(Healthcare Service)
セキュリティ対策の現状を認識し、計画的な対策を実施するサービスです。適切な投資で効果的かつ継続的な対策を実施します。具体的には、セキュリティの国際標準や国内基準をベースにヒアリングを実施し専門のスタッフによりアセスメントを行うことにより、組織的な取り組みの評価、対策漏れ・問題点の洗い出し、さらに改善策の提言をいたします。
また、一般的なアセスメントだけでなく、個人情報保護対策、ウィルス汚染対策に特化したアセスメントもご用意しています。
図2 Secureplaza/HSの概要
![[イメージ]Secureplaza/HSの概要説明図。場当たり的な対策ではセキュリティホール全部を対応しきれず、一部に過剰投資してしまう可能性がある。Secureplaza/HSは現状分析を行い改善策を提案し、最適化されたセキュリティ対策を実現します。](/Div/jkk/jichitai/column/column011/image/005_02.gif)
4.2 Secureplaza/US(Ubiquitous access Security)
組織内から自席のパソコンやモバイル機器を持ち出して仕事をすることがあたりまえの時代になりました。イントラネットへのシームレスなアクセス環境を実現するためには、盗聴、なりすまし、モバイル機器の盗難・紛失、ウィルス汚染など、さまざまな脅威をカバーする広範囲なセキュリティ対策が必要になります。
「Secureplaza/US」では、ユビキタスアクセスを阻むさまざまな課題に対し、指静脈などの生体認証も含めた認証、暗号化、シンクライアントなどのキーコンポーネントをベースに、業務フローや現有システム資産、セキュリティレベル、構築期間、費用といったあらゆる条件を踏まえた最適なセキュリティをご提供します。
図3 Secureplaza/USの概要
![[イメージ]Secureplaza/USの概要説明図。盗聴・なりすましといったリモートアクセスにおける脅威に対処するため、現在の業務フローやシステム資産などの要件分析を行い、お客さまに最適なユビキタスセキュリティをご提供します。](/Div/jkk/jichitai/column/column011/image/005_03.jpg)
4.3 Secureplaza/FS(Forensic Solution)
組織内外からの不正アクセスによる情報漏えいなどの事件・事故や、監査・法令遵守を念頭にした証拠性確保へ対応するための情報として、企業内の活動記録を活用することが注目されています。このような観点で、電磁的記録を収集・調査・分析する手法は、デジタルフォレンジックと呼ばれ、企業活動にITが深く浸透した今、セキュリティ対策の必須項目となっています。個人情報保護の観点から規定された各種ガイドラインに対応した監査証跡としても活用することができ、個人情報保護法に対するコンプライアンスの実現のための効果的手段として期待されています。
「Secureplaza/FS」では、各種ログの監視と定期的な分析による「不正防止」、コンプライアンスにおける外部/内部監査の根拠となる「監査対応」、事件・事故への証拠としてログデータなどの情報を活用する「証拠保全」を目的に、最適なフォレンジックシステムの構築をトータルにサポートします。
図4 Secureplaza/FSの概要
![[イメージ]Secureplaza/FSの概要説明図。監査対応や証拠保全などのために、入場記録やサーバログ、プリンタ出力内容などのログデータを収集・分析するフォレンジックシステムの構築をサポートします。](/Div/jkk/jichitai/column/column011/image/005_04.gif)
4.4 Secureplaza/TZ(Trusted Zone)
個人情報をはじめとした機密性の高い情報は、通常のシステムよりも、災害や盗難といった脅威から、フィジカル面も含めた強固な対策を施す必要があります。
「Secureplaza/TZ」では、フィジカル・サイバー両面での情報保全を実現します。特に、フィジカル面で考えると、一般の組織では「入退管理」が重要な対策といえます。日立の入退管理システムは、人・物・情報に対して、固有情報であるID(識別子)を与え、IDをマネジメントしていくことで真の入退管理(フィジカルセキュリティ)を実現します。大きな特長としては、「確実な本人認証」「物品の出入管理」「映像との連携」「大規模分散への対応」「運用・監視のアウトソース」などが挙げられます。
図5 Secureplaza/TZの概要
![[イメージ]Secureplaza/TZの概要説明図。ICカードや指静脈認証、監視カメラ、物品へのID付与などによる入退室管理や、PCログイン認証と入退室記録や勤怠システムとの連携などを行うフロア内管理を実現します。](/Div/jkk/jichitai/column/column011/image/005_05.gif)
日立グループでは、今回ご紹介したソリューション以外にもさまざまなセキュリティ製品・ソリューションをご提供しています。日立は今後も電気・ガス・水道・交通をはじめとする重要インフラを支えてきたノウハウを活かし、安心・安全な社会の実現に向け努力してまいります。
今回ご紹介した「Secureplaza」についてはこちらのページでも詳しくご紹介しております。
日立セキュリティソリューション「Secureplaza」
(2006年1月13日掲載)
(株)日立製作所 セキュリティソリューション推進本部
自治体職員限定!最新情報を毎月2回お届けします。
