PCOnline Special
Pick Up 最新プロダクト&サービス
セキュリティ対策の理想と現実 「ギャップ」を埋める最適解とは
ネット上の脅威は巧妙かつ悪質化の一途をたどっており、企業はさらなるセキュリティ対策の強化が求められている。しかし、特に中堅中小企業では、そのための十分なコストや人手を確保することが難しく、セキュリティ強化の障壁となっているようだ。ここでは、「セキュリティ対策の強化」と「リソース不足」の間にあるギャップを解消し、より簡単かつ低コストにセキュリティ対策を強化するための方法を考えたい。
 今、企業が直面するセキュリティ課題として真っ先に挙げられるのが、ウイルスやスパイウエア、不正アクセスといったネット上の脅威だ。これらの被害でシステムに不具合が生じれば、業務は停止。ビジネス機会の損失により、経済的に大きなダメージを被るだけでなく、復旧にかかるコストも大きな痛手となる。また、情報漏洩リスクにも警戒が必要だ。顧客情報が流出すれば、大切な顧客に多大な迷惑をかけるうえ、社会的信用は失墜、最悪の場合は企業価値の低下を招くこともある。

 さらに昨今のモバイル利用環境の整備も、企業のセキュリティリスクの拡大に拍車をかけている。いつでもどこでもオフィスと同じように作業ができる環境が整ってきたことで、社内のセキュリティポリシーが及ばない環境が増大し、様々な脅威にさらされる危険性が高くなっているのだ。実際、昨年夏以降、USBメモリーを媒介とするウイルスの被害が拡大している。
セキュリティリスク拡大で拡がる現実とのギャップ
 こうしたセキュリティリスクに対処するには、それぞれの課題に対応した対策が求められる。例えば、ウイルスや不正アクセスを防ぐにはファイアウオールやウイルス対策ソフト、IPS(侵入防止システム)やIDS(侵入検知システム)などが必要となる。外部に持ち出したPCがウイルスに感染していないか、利用が許可されていない不正PCが接続されていないかなどをチェックする検疫システムも有効だ。また情報漏洩リスクに対処するには、社内ポリシーや運用ルールを徹底し社員のモラル向上を図るとともに、内部統制を強化することも重要だろう。具体的にはPCやプリンターの利用履歴、Webのアクセス状況などを把握し、疑わしい操作を検出した場合は、警告を発することでリスクの封じ込めを図ることができる。さらに、「誰が」「いつ」「どのような」操作を行ったかを詳細に記録しておくことで、万が一、情報漏洩が発生した場合にも、その原因が特定しやすくなる。

 一方、多くの企業でセキュリティ対策強化の障壁となっているのがリソース不足である。豊富な予算と人手があれば、セキュリティ対策の強化は比較的容易かもしれない。しかし、昨今の深刻な経済不況を反映し、多くの企業のIT投資は減少傾向にあるうえ、人員削減や配置転換などによって人的リソースも限られてきている。とりわけ、小さな規模の企業では、専任の担当者を置くことができないということも多い。

 そこで、年々ニーズが高まっているのが、「セキュリティ対策の強化」と「リソース不足」の間にあるギャップを埋める方策である。

必要最小限の投資でセキュリティを強化するには
 最近、より簡単かつ低コストにセキュリティ対策を強化し、理想と現実の間にあるギャップを埋める製品やサービスが多数登場してきている。

 例えば、SaaS型のセキュリティソリューションは自社でインフラを持たずに、様々なネット上の脅威に対応した機能をサービスとして利用できる。料金も月額制のサービスが出てきており、必要最小限の初期投資でセキュリティ対策の強化に取り組むことが可能だ。

 なかには、すべての機能をアウトソースすることに不安を感じる担当者もいるだろう。そういう場合は統合型アプライアンスが有効だ。これはセキュリティ対策に求められる機能を一台に集約している点が特長。機器やソフトを個別に購入する必要がないのでコストメリットが大きく、機能が一台に集約されているので管理も容易だ。また、少ない人員でも効率的な運用が可能になる。加えて最近では、ファイアウオールやIPS、IDSなどネット上の脅威に対応したものや、PCの利用履歴、Webのアクセス状況、不正接続検知などの機能を統合した情報漏洩対策向けのアプライアンスも出てきている。特にPCの利用履歴やWebのアクセス状況といった記録は、それ自体が企業にとって重要な情報だ。外部の目にさらしたくないと考える担当者も少なくないだろう。そういった意味においても統合型アプライアンスは内部統制にかかるリスク対策に特に効果が高いと言えそうだ。
不測のトラブルへの対処もセキュリティ対策の一つ
 だが、セキュリティ対策はネット上の脅威や情報漏洩リスクに対処するだけでは十分とは言い切れない。例えば、パッチの適用漏れやアップデートの不具合などのミスでPCが正常に動作しなくなることも考えられるからだ。このような「不測のトラブル」への対処も広い意味でのセキュリティ対策と言える。こうした事態を回避するには、PCの保護ツールなどが有効だ。これはPCの任意の環境を“保護”しておくツールで、トラブルが起きた場合も、すぐに保護しておいた状態に復帰できるのがメリット。業務の継続性が確保できるうえ、管理者の手を煩わせることなく、現場の社員が対応できるので、管理負荷の軽減にも効果がある。

 これまで見てきたように、セキュリティ対策の理想と現実のギャップを埋める選択肢は広がりを見せつつある。重要なのは、企業規模や用途・目的を精査し、これらを適材適所で使い分けることだろう。安全・安心なビジネス環境実現のために、いま一度、これらのセキュリティ対策製品に目を通し、自社のセキュリティ対策の最適解に取り組んでみてはどうだろうか。
TOPへ戻る