先日、運用マネジメントをしているあるクライアントで、セキュリティ対策が話題になりました。
もちろん、「ベネッセ事件」を受けてのことです。
そのクライアントは、幸いな事にセキュリティ事故は起きたことが無いのですが、セキュリティ対策がまだ不十分なところがあるので、この機会に強化しよう、という話を、顧客側からベンダーに話しました。
セキュリティ対策は、10年前、5年前と大きく様変わりしています。
以前なら、「FWとウィルス対策ソフトを入れておけばOK!」みたいな風潮でしたが、今では、「内部ネットワークからの攻撃にサーバをどう防御するか」「悪意ある管理者の不正行為をどう防御するか」といった対策が不可欠です。
しかし、肝心のシステム構築を担当するベンダー側の標準的な提案は、FWとウィルス対策ソフトくらいしか含まれていないケースが大半です。
サーバの不要なサービスを停止することも、
規定のプログラム以外のアクセスを禁止することも、
特権ユーザなどの権限管理も、
アクセス統計を取って異常を検知することも、
この数年で重要とされている対策の殆どは、「顧客側から明示的に依頼しないと」、まずやってくれません。
まぁ、(セキュリティを専門にしている会社を除く)ベンダー側からしたら、顧客のセキュリティに責任をもっている訳ではないですし、無駄にコストが上がってしまうから嫌だ、というロジックが働くのでしょうね。
そもそも、「売れ!」と言われている商品以外を売るベンダーなんていませんから・・・・
ですから、顧客側・発注側が、リスクを自覚して、セキュリティ対策にお金を払う必要があるのですが、セキュリティに100%はあり得ません。
データというのは、外部と出し入れをして使うために持っているのですから、人間が行う運用に100%は無い、という真理に向き合う必要があります。
※そういう意味では、人間が設計して構築して運用している、原発プラントで、「重大事故は起こりえない」と言っているのは非科学的ですね。重大事故が起こる確率は、100%であるべきです。
ベネッセの例では、あの規模の顧客データを管理しているシステムとしては不十分でしたが、それなりの対策は施されていました。(少なくとも、誰が、いつ、データを抜き出したかは事後で判明する程度の)
では、「もっとセキュリティ対策を強化すれば良いのか?」というと、少し違います。
セキュリティ対策というと、「対策を施したらOK」という風潮がありますが、そうではありません。
対策を施すだけであれば、セキュリティリスクをコントロールできません。
セキュリティというリスクをコントロールするために最も必要なことは、「レビュー」なのです。
現在の状況を把握し、施す対策を確認し、システムを運用する中でアクセス状況を確認する。
これら、計画〜構築〜運用それぞれのフェーズで、日常的に、ルーティンとしてセキュリティ状況をレビューすることが、セキュリティリスクをコントロールすることになります。
特に、運用におけるレビューが機能していないことが最大のリスクとなります。
ベネッセも、まさにそういう状況だったのではないかと推測しています。
そもそも、プロジェクト自体の運用レビューがあまり機能していないケースが多いので、セキュリティだけの問題ではありませんが・・・
「レビューって具体的にどうするの?」という方は、ぜひお問い合わせください!
って、最後は宣伝になってますね・・・(笑)
追記:弊社のこれまでのコンサルティング経験をまとめた、「公共団体のための情報システム調達ガイド」を作成しました。
システムの全てのフェーズで、リスクをコントロールし、マネジメントを行う手法をまとめています。