特集 1 安全性と業務効率を両立させる 特集 バランス感覚の セキュリティ対策 1 バランス感覚のセキュリティ対策 セキュリティの強化は重要だが,強化一辺倒では業務効率が落ちる。 そこで求められるのが,セキュリティと業務効率のバランスだ。 さまざまな事例から,バランスをとるための具体的な工夫を探ろう。 (松浦 龍夫 [email protected] ) PART 1 セキュリティと業務効率の両立へ..........................p.20 PART 2 クライアントPC管理の手間を省く工夫.................p.22 PART 3 サーバー管理の手間を省く工夫..........................p.31 PART 4 セキュリティ機器導入の手間を省く工夫................p.37 イラスト:中山成子 NIKKEI SYSTEMS 2008.8 19 PART 1 セキュリティと業務効率の両立へ 過度なセキュリティは効率ダウン 不満から抜け道を探すユーザーも セキュリティの強化で業務効率が落ち,ユーザーの不満が高まっている。 同様に,システム担当者もセキュリティの強化で業務が増え,運用負荷が高まっている。 これからは,セキュリティと業務効率のバランスを取ることを考える必要がある。 特集 1 バランス感覚のセキュリティ対策 「社内システムなのに何回パスワー ループ グループリーダー)は, 「たと ティ対策だと考えている」と語る。 ドを入力させるんだ!」 「どれだけアク え新幹線で大阪―東京間を移動する2 セキュリティ強化のために,業務効 セス・ログのチェックをすればいいん 時間半の間でも,PCを利用してはい 率を犠牲にされているのはユーザーだ だ!」――。最近,こうした声が多く けないルール」と語る。 けではない。情報システム部門や運用 のユーザーやシステム担当者から聞こ JTB情報システムはPCの持ち出し を請け負うベンダーのシステム担当者 えてくるようになった(図1) 。企業に を禁止し,約100台あった持ち出し可 も同じ状況だ。ディー・エヌ・エー おけるセキュリティ対策が,年々厳し 能なノートPC自体を全廃する徹底ぶ (DeNA)の茂岩祐樹氏(ポータル・ くなってきているからだ。業務効率を りだ。同社の小髙昭氏(業務部 ネッ コマース事業部 システム部IT基盤グ 犠牲にしてまで,セキュリティを強化 トワークグループ 担当マネージャー) ループ グループリーダー)は, 「監査 しようとするケースも少なくない。 は, 「情報漏洩のリスクの大きさを考 の対象となる個人情報を格納したDB えると,PCを持ち出せないようにす のアクセス・ログが多くなると,その るのは仕方がない」と語る。 チェック作業の負荷が増す」と話す。 その一例が,ノートPCの持ち出し禁 PCのUSBポートやCD-ROMドライ また,あるメーカーのシステム担当 止だ。外出先でもPCが使えた方が業 ブを専用のソフトウエアを使って利用 者は,OSやオフィス・ソフトのセキュ 務効率は高い。しかし,コクヨビジネ できないようにして,外部媒体への書 リティ・パッチをクライアントPCに適 スサービスではPCの持ち出しを禁止 き出しを厳しく制限している企業も多 用した場合に,不具合を起こさないか している。持ち出し可能なPCがある い。その1社であるKDDIの中尾仁史 を検証する作業に時間を取られるとい と,必ずといっていいほどPCの紛失 氏(情報システム本部 プラットフォー う。同社の場合,検証には10日間を費 や盗難時に情報漏洩する危険がつきま ムサービス部 OA・ネットワークグルー やしていた。 とうからだ。同社の鷹野司氏(ITソ プリーダー)は, 「ユーザーが不便なの では,ユーザーやシステム担当者の リューション事業部 基盤システムグ は分かるが,必要最低限のセキュリ 業務効率が落ちるからといって,セ 効率よりもセキュリティ優先 ろうえい キュリティ対策を抑えるべきなのか。 何度もIDと パスワードの入力が 必要になる! パッチを適用したら PCが動かなく なった! PCの持ち出しが 禁止なので, 外出先でメールも 見られない! 定期的に複数の パスワード変更を 求められる! パッチの検証に 手間がかかる 不正発見のための ログ・チェックに 手間がかかる 多くのセキュリティ 機器をミスなく運用 する必要がある 人事異動のたびに 細かい権限設定の 手間がかかる セキュリティ被害のリスクを考える と,現実には無理な相談だ。しかし策 のないままセキュリティ強化を続けれ ば, 穴も出てくる。例えばあるメーカー では,クライアントPCのログイン・パ スワードの文字数を増やし,さらに変 更頻度も高めた。セキュリティ担当者 ユーザー 図 システム担当者 1 セキュリティの強化でユーザーやシステム担当者の不満が高まっている セキュリティ強化の結果 ,ユーザーはノートPCの持ち出し禁止 ,システム担当者はログのチェックやパッチ検証の負荷増 大など,業務効率をダウンさせかねないケースが増えてきている 20 NIKKEI SYSTEMS 2008.8 が安全性を強化できたと安心していた ら,大勢の社員がパスワードを覚えき れず,パスワードを書いた紙をPCに張 りだしたという。 バランス感覚の セキュリティ対策 ム担当者の業務効率のバランスを取る る仕組みを構築している。 工夫を紹介する。バランスを意識して 企業のセキュリティ事情に詳しい 自らの負荷を減らそうと,改善策を いる企業に取材を重ねた結果,浮かび NRIセキュアテクノロジーズの鴨志田 考えるシステム担当者も増えてきてい 上がってきたのがバランスを取るため 昭輝氏(セキュリティコンサルタント る。DeNAの茂岩氏は,負荷の高いア の六つのポイントだ(図3) 。 ソリューション事業部)は, 「ユーザー クセス・ログのチェック作業を,ログ この後のPart2ではクライアントPC の不満やシステム担当者の対策疲れ そのものを減らす工夫で改善した。ま 関連の三つのポイントを,Part3では は,限界にきている。セキュリティ強 た,パッチの検証に追われていたメー サーバー関連の三つのポイントをそれ 化だけではなく,運用方法を改善し, カーでは,日常の運用業務の中に検証 ぞれ具体的に解説していく。最後の セキュリティと業務効率のバランスを 作業を組み込む工夫を考え,検証にか Part4では,セキュリティの専門家に, 取る必要がある」と指摘する(図2) 。 かる負荷を軽減した。 セキュリティ強化を図りながら,機器 実際,セキュリティ強化と業務効率 この特集では,このようにセキュリ 導入の手間を最小限に抑えた事例を解 のバランスを考え,独自の工夫に取り ティを保ちながら,ユーザーやシステ 説してもらう。 特集 が得られれば,自動的に利用可能にな 求められるバランス感覚 1 バランス感覚のセキュリティ対策 組む企業が増えてきている。先述のコ クヨビジネスサービスでは,PCの持ち 出しを禁止する代わりに,携帯電話を 使って外出先から電子メールやスケ ジュールを確認できる仕組みを導入し た。JTB情報システムでも,営業担当 セキュリティ強化重視 =業務効率ダウン 者など外出先でPCを使う必要のある 業務効率重視 =セキュリティが保てない 社員に限り,貸し出し専用のPCを用 意した。CD-ROMドライブやUSBポー 2 セキュリティと業務効率のバランスが肝心 図 トの利用を禁止しているKDDIも,電 セキュリティ強化と業務効率の向上はトレードオフの関係である。いずれに偏っても,業務に支障をきたす。バ ランスを取ることが必須になる 子申請の仕組みを導入し,上長の許可 クライアント PC 関連 サーバー関連 ①ログの取得・チェック モバイル用 PC ①持ち出し用PCの管理 外出が多いユーザー ②パスワードの 入力・変更 社内サーバー ログ インターネット 社内用PC ID PW abcd **** LAN アクセス権限 / 承認権限 社内ユーザー ファイアウォールなどの セキュリティ機器 システム担当者 パッチ 図 ③セキュリティ機器の管理 ③パッチの検証 ②権限の設定 3 セキュリティと業務効率のバランスを考える六つのポイント バランスを意識している企業への取材の結果 ,クライアントPCに関連するポイントが三つ,サーバーに関連するポイントが三つの,合計六つのポイントがあることが明ら かになった NIKKEI SYSTEMS 2008.8 21 PART 2 クライアントPC管理の手間を省く工夫 ユーザーに不便をかけない前提 リスクを許容する姿勢が大事 クライアント PC 管理の手間は,PC の持ち出し,パスワード入力,パッチ検証の三つに分けられる。 いずれも,業務効率を向上させる工夫を導入しようとするとセキュリティ上のリスクを負う。 セキュリティと業務効率のバランスをとるポイントは「どこまでリスクを許容するか」だ。 特集 セキュリティを維持・強化する上で, る「パッチ検証の手間」だ(図1) 。 そこで,PCの持ち出しというリスク まず重要になるのがクライアントPC どうすればセキュリティを維持しつ を許容する前提で,その上でどう情報 の管理だ。クライアントPCには,情報 つ, これらの手間を減らせるのか。ユー 漏洩を防ぐのか,どうユーザーへの負 漏洩やウイルスの侵入など多くのセ ザー企業が取り組んでいる工夫を見て 担を最小限にするのか,というバラン キュリティ上のリスクが存在するから いこう。 スの取り方が重要になってくる。 だ。しかし,クライアントPCのセキュ 1 バランス感覚のセキュリティ対策 リティ強化は,さまざまな手間をユー 手間を減らす工夫 ICカードで認証する ザーやシステム担当者にかけさせる。 持ち出し用PCの管理 PCの持ち出しを許可していても, まず,外出先でモバイルPCを使う際 ノートPCの社外への持ち出しを許 漏洩リスクがあるために,何重にもカ に発生する「PCの持ち出しを許可した 可することは,PCの紛失や盗難によ ギをかけている企業は少なくない。カ 場合の手間」 。続いて,社内のPCやコ る情報漏洩のリスクにつながる。その ギとは,BIOS起動時の認証,暗号化 ンシューマ向けシステムで発生する「パ ため,PCの持ち出しを禁止している したハードディスクの認証,Windows スワードの入力・変更の手間」 。三つ目 企業は少なくない。しかし,PCの持 の認証,VPN接続のための認証,アプ が,クライアントPCに対し,セキュリ ち出しを禁止すれば,ユーザーの業務 リケーションへログインするための認 ティ・パッチを適用させる際に発生す 効率が落ちかねない。 証といったものだ。厳重にすればする ほど漏洩リスクは低くなるが,その一 セキュリティ維持のため, かけざるを得ない手間 PC の持ち出しを許可 した場合の手間 ①多くのパスワードを覚えるのに 手間がかかる ②業務システムに社外から アクセスできない セキュリティを維持しながらも, 手間を省く方法 方で,長いパスワードを入力したり, 複数のパスワードを入力したりするた め,ユーザーはパスワードを覚えるの ①パスワードを覚えなくて いい方法を導入する ②リスクの低いシステムを アクセス可能にする に手間がかかってしまう。 このジレンマを打開する方法として ハザマが導入したのが,ICチップの読 み取り機を内蔵した持ち出し用PCと, ユーザー パスワードの 入力・変更の手間 ①パスワードを何度も入力する のに手間がかかる ②多くのシステムのパスワードを 変更しなくてはならない ①1)シングル・サイン・オン を導入する ①2)リスク・チェック機能を 付加する ②パスワードの自動反映機能 を実装する ICチップを内蔵したICカードによる認 証である( 図2) 。同社の持ち出し用 PCには,BIOS認証とWindows認証の 二つのカギがあるが,ICカードをかざ すだけでBIOS認証が可能になる。ハ システム 担当者 パッチ検証の手間 ①ユーザーの効率を下げる 不具合が発生しないかを 検証する作業に手間がかかる ①1)検証対象を絞る ①2)パッチの適用を 段階的に実施する ①3)検証対象となるアプリ ケーションを使わない 1 クライアントPCのセキュリティ維持のためにかかる手間と,その削減方法 図 22 NIKKEI SYSTEMS 2008.8 ザマの落合純一氏(経営企画本部 企 画部 情報システム室 部長)は, 「認証 が2回あっても,1回はICカードをかざ すだけなので,ユーザーの手間は小さ い」とそのメリットを説明する。
© Copyright 2024 ExpyDoc