山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化

特集 特集

奈良先端科学技術大学院大学 情報科学研究科教授 山口 英 氏に、新編集長上野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕のScan編集部からSkypeでアクセスし、音声とビデオによって行った。(本文敬称略)

奈良先端科学技術大学院大学
http://www.naist.jp/
山口 英
http://iplab.naist.jp/member/suguru/index-j.html


●2010年、企業のIT環境が迎える3つの変化

上野:
企業内で情報セキュリティ対策に関わる人々は、これからどういう指針を持ってセキュリティの達成目標を立てるのがよいでしょうか?

山口:
情報処理がオフィスのコンピュータに閉じなくなっています。これによって、2010年は、大きく分けて次の3つの変化が進展すると思います。

一つ目の変化は、クラウドとかSaaSと呼ばれる、アプリケーションからサービスへの変化です。今後、経費処理のような社内でやっていた業務が、ユーティリティ化され、ネットワーク環境で提供されるようになるでしょう。例えば、Webベースで処理されていくようになるでしょう。

2番目の変化は、ポータブル化とモバイル環境の普及です。ラップトップや、iPhoneやBlackBerryのようなスマートフォン、今日発表のあったiPadなど、高速の3GインフラやWiFiインフラを使いながら、モバイル環境は今後エンタープライズに浸透していくでしょう。

3番目は、情報処理システム、ITが業務を左右していくことです。ビジネスプロセスは内部だけで閉じたものではなく、サプライチェーンなどさまざまな形でオープン化・ネットワーク化し、グローバルに展開していきます。内部統制の要求から、ビジネスプロセスの知識化が進み、その管理を情報システムが行う傾向が更に加速するでしょう。

(1)情報処理のサービス化、(2)情報処理デバイスのモバイル化、(3)業務プロセスマネジメントでのIT活用、以上が2010年に進展することを考えれば、おのずと企業のセキュリティ担当者の方がやるべきことは見えてくることと思います。

ひとつは情報処理環境の変化に対応して、サービスの継続性をどのように高めるのかで、バックアップや、スタンバイシステムをどのようにつくるのかどうか。

次に、各種サービスがモバイル環境に入ってきた際に、モバイルデバイスをどのように守るのか、モバイルデバイス経由の情報漏えいをどう考えるのか、考えないとしたらどういうインフラにするのか、ということです。

最後に、マネジメントがIT化するなら監査プロセスとの関係をどのように考えるか、マネジメントを主とする人がITを使うときにどれだけ適応できるのか、できないとしたらどのように助けていくのか。

そういうことをここ1年くらいは取り組む必要があるでしょう。

上野:
その3つの変化に適応していくために重要なポイントは何でしょうか?

山口:
旧来からの情報セキュリティの考え方を変えなければならない場面が出てくるでしょう。変えないことによるリスクが出てくる可能性がある。

たとえばスマートフォンは、もはや電話ではなく情報処理機器として考えるべきですが、それまでのセキュリティポリシーに従って「情報機器だからスマートフォンは社外持ち出し禁止」などと言い出したらそんな愚かな話はない訳で、いままで通りの、持ち出すな、やるな、では成り立たなくなります。

このように、セキュリティポリシーや自分たちのセキュリティ管理インフラを新たに見直していかなければならないでしょう。

●中小企業がセキュリティ対策に求める要件

上野:
セキュリティ企業、セキュリティベンダが解決すべき課題は何でしょうか?

山口:
中小企業の要望に合ったセキュリティ対策を提供していくべきだと思います。

まずセキュリティ担当者を決めて、セキュリティポリシーを策定して、情報資産の棚卸しを行って、リスクアセスメントを実施して…。この経済状況では、そういった対策はコストがかけられる大企業向けです。

セキュリティ対策にかけるお金が無い中で、中小零細の企業にもセキュリティ対策の圧力は強まっています。しかし、セキュリティ対策の負担のために会社がつぶれるかもしれない。特効薬は無い状況であることはわかっていますが、何らかの答えを求めています。そういう質問に対して良い解決方法が提供できることが、セキュリティ企業の課題ではないでしょうか。

企業側が欲しいものは極めて明確です。つまり、「運用コストや人件費が内部で発生しない」「そこそこちゃんと守れる」「大手企業が要求するセキュリティの要求事項を満たす」この3つでしょう。(つづく)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×