企業内のセキュリティ教育は「守らせる約束・契約」が重要 —AT&Tネットワーク・サミット パネルディスカッション | RBB TODAY

企業内のセキュリティ教育は「守らせる約束・契約」が重要 —AT&Tネットワーク・サミット パネルディスカッション

エンタープライズ その他

企業内のセキュリティ教育は「守らせる約束・契約」が重要 —AT&Tネットワーク・サミット パネルディスカッション
  • 企業内のセキュリティ教育は「守らせる約束・契約」が重要 —AT&Tネットワーク・サミット パネルディスカッション
 10月21日、企業ネットワークとセキュリティについてのセミナー「AT&T ネットワーク・サミット2003」が都内で開催された。この中で設けられたパネルディスカッションでは、企業のセキュリティ・リスク対応についてシステムやヒューマンファクターなどさまざまな面から意見が交わされた。



 まず、ネットワークセキュリティに関する状況をシマンテックの勝見勉氏が説明。OSやアプリケーションのセキュリティホールをついて活動するウイルスが、この半年で約1000件と1年半〜2年で倍増しているという。
 また、米国の調査結果として、セキュリティ被害によって企業のネットワークがダウンする、あるいはサービスが停止することによる被害が合計7100万ドル(約78億円)。情報漏洩による被害が7000万ドル(約77億円)、ウイルスによる対処コストなどの被害が2700万ドル(約30億円)と、非常に大きいことを紹介した。

 シスコシステムズの大和敏彦氏は、望ましいセキュリティシステムとして統合化されたシステムを挙げ、侵入検知システム(IDS)をファイアウォールの設定に自動連動させる、あるいはポリシーの適用もポリシーサーバーから自動設定するなど、自動化された防御によって人間の関与を減らすのがよいと述べる。

 一方、AT&Tグローバル・サービスの湊方彦氏は、人間系からの見方として、「セキュリティポリシーを決めると、社員を教育するだけでなく、守ることを約束させる」という米国のスタイルを紹介した。セキュリティポリシーに違反したらクビにするぞ、というわけだ。

 セコムトラストネットの西村達之氏は、日本企業のセキュリティポリシーについて、何らかのポリシー策定は各社おこなっているだろうとしながらも、重要なのはレベルの維持だと指摘。システムもポリシーも、一回作ってしまうと見直そうということにならない傾向があるが、継続的なポリシーのリファインが必要だと述べた。

 セキュリティに関する予算が取りにくい、経営トップをどのように説得するか、という点について、AT&T GS湊氏は、セキュリティ単独で取り出して議論するのではなく、新ビジネスモデルや新しい業務のやり方(在宅勤務など)を導入する際に必須のものとしてセキュリティの費用を載せていくことを提案。セキュリティについてはIT部門だけでなく、保安部門や会計、社内教育部門などからコアとなるスタッフを集め、運用における部門連携を確保していくことが重要だとも指摘した。

 企業ネットワークのセキュリティ確保は、ハード・ソフト的な充実もさることながら、企業内のセキュリティに対する認識を高める(あるいは革新する)ことが何より重要ということのようだ。
《伊藤雅俊》
page top