この前、「経営層が知っておくべきセキュリティ――対策は実用主義暗号化で」を投稿した後、このような質問を受けた。
「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないか?」
「何から始めて、どんな技術で、どのように設計したら実用的なセキュリティか?」
「技術者でなく、経営者の立場から実用的セキュリティを実現するためには、何を知るべきか。」
セキュリティの最も深刻な問題は技術の難解さであり、そのため、企業の現場では相対的に理解しやすくて簡単な根本的な方法論だけを選択する傾向があり、これは、結局セキュリティの弱点になり、事故が発生する。なので、より現実的で実用的な方法論が必要だという話までにして、話を終えたが、これはちょっと無責任に見せたかもしれない。それで、上の質問に対して、より総体的な答えを申し上げたい。
個人セキュリティと企業セキュリティ
何から始めたら良いか。それは、「個人セキュリティ」と「企業セキュリティ」の違いを理解することだ。
セキュリティ事故が発生すれば、いつも「わが社は、セキュリティをしたんだけど!」と被害者の訴えを聞いたりする。それは、事実だ。確かにセキュリティ措置を取ったのは確かだ。しかし、事故は発生する。それなら、セキュリティ措置は最初から余計なことだったのか? そうだ。そのようなセキュリティは、無駄だ。経緯が明確な事故が繰り返して起きるのは、何か問題がある方法論、特に個人セキュリティ措置だけを取っているためであり、これは「個人セキュリティ」と「企業セキュリティ」の差をきちんと理解していないためだ。
一般的に、「ITセキュリティ」というと、ほとんどの人はアンチウイルスやパスワードを思い浮かべる。これは、全て個人セキュリティ観点での問題だ。特に、アンチウイルスは、企業と機関が使う大規模の電算システムの動作とは距離があり、あくまで個人のPCのための道具だ。なのに、セキュリティ事故が起こると、アンチウイルス会社が事件のプロファイラーを自任し、対策としてワクチンの設置を勧める場合が多い。実際には、ほとんどの電算システムとそのOSにはワクチンの設置ができないのにもかかわらず。そして、事故が発生した会社のPCにはすでにワクチンぐらいはもちろん設置しておいたにも。
もちろん、とても関係がないわけではない。企業の電算システム構成がどうであれ、そしてどんなOSを使うとかは関係なく、企業に属する個人ユーザが接する環境はほとんどがPCやWindowsシステムであり、これを侵入経路として利用し、犯罪を図る場合も結構あるから、完全に無駄だというわけではない。しかし、個人セキュリティと企業セキュリティは、最初から違う概念から始まって、その方法論もまた全く違う。にもかかわらず、社会的に個人セキュリティだけが強調されたため、相対的に企業セキュリティは重要な問題と扱ってない。技術者さえ、それが何なのか知らない場合が多い。
では、企業セキュリティの構成要素とその核心になる道具を調べてみよう。
企業セキュリティ = データセキュリティ+Webセキュリティ+認証セキュリティ
企業セキュリティの3要素とは、
1)データセキュリティ
2)Webセキュリティ
3)認証セキュリティ
である。
そして、各要素の核心になるのは、
1)データの暗号化
2)アプリケーションセキュリティ
3)セキュリティ認証サーバ
である。
1)データセキュリティ
今日のITセキュリティの中心は、過去のネットワークやサーバなどの電算インフラを保護することに力を尽くした装置的セキュリティからデータとアプリケーションを保護する情報的なセキュリティに移動している。これは、私たちが最後まで守らなければならない価値が何なのかを悟っていく過程と見ることができる。企業、そして機関が究極的に守らなければならない本当の価値は「データ」だ。そして、データを守る様々な方法の中で最も根本的で安全な方法は、「暗号化」だ。事実上、唯一である。暗号化の他には、事実上方法が別にないからだ。そして、データ暗号化はたくさんの企業セキュリティ要素の中でも最も根幹をなすセキュリティインフラの基盤技術である。
2)Webセキュリティ
すべてのデータは、アプリケーションを通じて移動する。そして、今日のアプリケーションの主な環境はウェブだ。最近のウェブは、通信技術だけではない。システム環境からユーザインタフェースに至るまでのすべてのIT技術がウェブで収集され、統合されている。これからは、全てのアプリケーションがウェブ環境で開発されて運用されるはずだ。ウェブに統合される環境の変化は、より広く繋がってさらに多くのものを共有しようとする開かれた社会への変化を意味する。これは、誰でも逆らうたくても、あえて逆らうことができない時代的な流れであり、Webセキュリティの重要度は今も非常に高いが、これからはより高まるだろう。「Webセキュリティ」は、企業セキュリティの実戦的な最前線である。
前述で、全てのデータは、アプリケーションを通じて移動すると述べた。システムやネットワークではなく、アプリケーション、そして最近のウェブは、通信技術だけではないとも話した。これは、Webセキュリティにおいて最も重要な弱点を指摘しようというものだ。よくウェブを通信技術だけと考えて、ウェブセキュリティをシステムセキュリティやネットワークセキュリティ方法論で解決しようとする試みをしたりする。たとえば、ネットワークファイアウォールがウェブセキュリティソリューションの振りをしたりもする。しかし、ウェブセキュリティにおいて最も重要な領域は、アプリケーションセキュリティだ。実際に起きているウェブセキュリティ事故、いや、最近起きている全ての情報セキュリティ事故の約90%がWebアプリケーションの盲点を悪用した攻撃による事故だ。事故が最も頻繁に起きるところから優先的に集中して防御する。これが、実用的な考え方である。重ねて強調するところだが、ウェブセキュリティにおいて最も重要な核心は、「アプリケーションセキュリティ」だ。
3)認証セキュリティ
そして、個人セキュリティと企業セキュリティの概念が最も密接に交差する地点が、「認証セキュリティ」だ。個人セキュリティレベルでの認証セキュリティ方法として最も有名なのはパスワードだ。しかし、ユーザー個人ができることは、ただ難しいパスワード作るぐらいに過ぎない。もちろん、パスワードを十分難しく作るなら安全だ。しかし、一定の形式を備えて十分に安全なパスワードをセキュリティ政策によって定期的に変更するなど、複雑な手続きが必要だ。そうすると、結局、侵入者から防除することはするが、自分もパスワードを忘れてしまってシステムにアクセスできない状態に至ることも案外によく起こる。これは、より実用的な認証セキュリティの必要性を逆説的に話したものだ。認証セキュリティの必須要素、つまり、十分なセキュリティとユーザーの便利性、そして業務効率性の間の関係が崩れた結果と見られる。そして、企業がやるべきことを個人に転嫁した無責任な態度とも見られるだろう。「認証セキュリティ」は、従来の個人セキュリティレベルから企業セキュリティレベルに移る、情報セキュリティ概念の転換点である。
企業セキュリティレベルでの認証セキュリティの核心は、「セキュリティ認証サーバ」である。「SSO(Sigle Sign-On)」機能を備えた認証サーバは、認証手続きを一本化することにより、サーバの数が非常に多い企業の電算環境でも、各サーバごとに異なる認証手続きを経ず、全体を利用することができるように一括的に処理が可能にしてくれる。ユーザーの身元を確認して、単一認証だけで、全体サーバへのアクセスを許可はするが、ユーザー各自の権限によって各サーバに対して異なる権限を適用し、統合的に管理する。このような基本的な機能に加えて、セキュリティ認証サーバは、上の過程全体にわたって十分なセキュリティまで維持してくれる。これを通じて、前で列挙した認証セキュリティの必需要素、十分なセキュリティとユーザーの便利性、そして業務の効率性まで全て充足する。
実用主義企業セキュリティの3要素
では、最初の質問に戻って、 「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないか?」
企業セキュリティの3要素 : 1)データのセキュリティ・2)ウェブセキュリティ・3)認証セキュリティ 各要素の核心: 1)データ暗号化・2)アプリケーションセキュリティ・3)セキュリティ認証サーバ
これをすれば良い。これならなら十分、「実用主義企業セキュリティ」を成し遂げたと言えるのだ。