セキュリティ・コストを削減に導く「3つのキーワード」
統合/SaaS/セキュリティ・サービス世界的な景気後退の影響で、多くの企業が2009年のIT予算を大幅に削減せざるをえない状況に追い込まれている。他方、恐るべき攻撃力を持ったマルウェアが次々と登場し、企業を取り巻くセキュリティ脅威は増大する一方だ。Webアプリケーションの脆弱性が狙われ、巧みな話術を用いたソーシャル・エンジニアリングが仕掛けられる、というように、複合的リスクが増しているのである。こうしたなか、限られた予算で重要情報を保護していくためには、セキュリティ対策を効率よく導入・実施する必要がある。本企画では、この命題への答えを導き出すキーワードとして、「統合」「SaaS」「セキュリティ・サービス」の3つを取り上げる。
Ellen Messmer、Julie Bort/NETWORKWORLD米国版、Computerworld編集部
イントロダクション
限られた予算でとるべき対策とは
世界的な景気後退がIT予算を直撃
世界的な景気後退がIT予算の削減を招き、企業のセキュリティ担当者を苦境に立たせている。
CIO Magazine米国版が昨年10月に実施した、243名のテクノロジー・リーダーを対象とした独自調査によると、CIO(最高情報責任者)の40%が「2009年の予算を2007年の水準よりも減らす」と回答した。財布のひもを固く締め、予算額を12カ月前と同じレベルにまで抑制すると回答したCIOも、34%に上っている。
この調査は10月だけでなく、2008年だけで計3回行われたが、いずれの結果も、多くの企業がコスト削減の道を突き進んでいることを示している。例えば、3月の調査では回答者の17%が「2009年には予算の減額を考えている」と答えた。この割合は7月の調査では26%にまで増え、10月にはついに40%へと跳ね上がった。昨年から続く世界的な景気後退を考えれば、この数値が現時点ではさらに上昇しているであろうことは想像に難くない。
当然のことながら、企業のIT予算にはセキュリティ対策費も含まれている。今日のセキュリティ事情を踏まえれば、多くの企業がセキュリティ対策の優先順位を高く設定していると考えられるが、予算削減の圧力が高まるなかで、ビジネス・ニーズに適したセキュリティを確保することは難しくなりつつある。
増大するセキュリティ・リスク
世界的な景気後退はセキュリティ・リスクの増大という事態も招いている。セキュリティ大手のマカフィーが、米国、英国、ドイツ、日本、中国、インド、ブラジル、ドバイのCIO・800人以上を対象に実施したアンケート調査でも、39%が「不況の影響で、これまで以上に重要情報が危険にさらされている」と回答した。この調査リポートは、今年1月にスイスで開催された世界経済フォーラム年次総会で発表された。
同リポートによると、2008年だけで46億ドル相当の知的財産が盗難に遭ったとされている。また、データ侵害の復旧には約6億ドルが費やされたという。
「控えめに見積もっても、データ損失による損害は全世界で1兆ドルを超える。経済危機の影響で、重要情報の安全性が世界規模で低下し始めているのだ。最大の原因は、セキュリティ対策の必要性をコストの観点だけで判断していることにある。そうではなく、ビジネスの成功要因の1つとして見ることが必要とされている」(マカフィーの社長兼CEO、デビッド・デウォルト氏)
複合的な攻撃には複合的な対策が必要
企業の重要情報は、サイバー犯罪者にとってきわめて魅力的なものに映っているに違いない。彼らは、実に多彩な手口でこうした情報を狙っている。
最近話題に上っている「Conficker(別名:Downadup)」ワームも、そうした手口の1つである。このワームは、Windowsの脆弱性を突いてシステムに侵入し、攻撃に使用するマルウェアをダウンロードさせようとするものだ。
スパム・メールから始まるフィッシング・サイトの脅威も、とどまるところを知らない状況にある。また、Webアプリケーションの脆弱性を狙う「SQLインジェクション」や「クロスサイト・スクリプティング」による攻撃も、いまだに多くのメディアを賑わしている。
この3つはほんの一例にすぎないが、これらに対処するだけでも相応のセキュリティ対策が必要になる。Confickerワームへの対策としては、「ウイルス/ワーム対策」、Windowsの「脆弱性の解消」、マルウェアのダウンロードを阻止する「URLフィルタリング」などが挙げられる。フィッシングならば「スパム・メール対策」やURLフィルタリング。また、SQLインジェクション/クロスサイト・スクリプティングならWebアプリケーションの脆弱性の解消、といった具合だ。
こうしたセキュリティ対策を、限られた予算と限られた人員でこなさなくてはならない。それが、景気後退下でIT担当者に課せられた命題なのだ。そこで本企画では、この命題への答えを、「統合」「SaaS」「セキュリティ・サービス」の3つのキーワードに集約して提示することにしたい。
「統合」とは、複数のセキュリティ機能を1つの機器に収めること、すなわちセキュリティ・ゲートウェイやUTM(統合セキュリティ管理)のことを指す。これまでばらばらに存在し、それぞれに運用コストが必要だったセキュリティ対策を、1つにまとめて管理性を高める。それが、「統合」の目指すところだ。
2番目の「SaaS」は“Security as a Service”のことである。昨今注目されている“Software as a Service”のセキュリティ版ととらえると、わかりやすいだろう。SaaSのメリットは主に3つある。単体の機器などでは実現できないパフォーマンス、セキュリティ専門家の管理下にあるという安全性、そして直接管理する必要がないという管理効率である。
最後の「セキュリティ・サービス」は、セキュリティ・ベンダーが提供するサービスをもっと活用しようという意味だ。例えば、前述した“脆弱性の解消”を実践するためには、どこに脆弱性が潜んでいるかを発見し、高度なセキュリティ知識と多くの人員を投入して、発見した脆弱性を解消する必要がある。また、セキュリティ対策で重要とされるPDCA(Plan-Do-Check-Act)サイクルを的確に回していくうえでも、ベンダーが有する知識は必須だ。高度なセキュリティ対策を適切なコストで施すための方策と考えていただきたい。
