ユーザー企業がセキュリティ対策を講じる時に、基本となる考え方はどういったものか。メインフレーム向けセキュリティ製品を開発・販売する米Vanguard Integrity Professionalsの最高執行責任者(COO)であるスティーブン・リンゲルバーグ(Steven Ringelberg)氏に話を聞いた。
当社は1986年の設立以来、IBMのメインフレーム向けのセキュリティ製品を提供しているITベンダー。日本では、ブロードとのパートナーシップの下で市場展開している。これまで様々な案件を体験してきた中から、ユーザー企業が今、セキュリティや運用高度化の観点で肝に銘じておかなければならない点を考えてみたい。
セキュリティインシデントとして報道される案件、別の言い方をすれば「意図をもってサイバー攻撃をしかけている実体」を我々なりに整理してみると、次の4つに分類することができる。
- Government Sponsered : 国家レベルの諜報活動の一環として繰り広げられているサイバー攻撃
- Criminal : 企業を攻撃対象とした犯罪行為。データを詐取し、それを売却することで収益を得ることが主要な目的
- Terrorist : 社会的・政治的な主張を目的としてデータ詐取やシステム破壊を展開。ハクティビスト(hacktivist)とも
- Insider : 組織内の人物が故意にデータ詐取をはかること。時に過失でデータが流出する事象もある
先の3つは、潤沢な資金源を持って組織的に活動しているのが昨今の特徴だ。その道の専門家同士のコミュニティが形成され、攻撃の方法論にしてもツールにしても研ぎ澄まされている。明確な目的を持って、その達成のために極めて高度なアプローチを採る。
一方、最後に挙げた「内部者による犯行」は、先の3つに比べると必ずしもレベルは高くないのだが、インシデントとしても最も目立ち、見逃せないものである。米国内では、インシデントの実に70%が内部によるものとの数字があるぐらいだ。
サイバー攻撃の報道では、とかく社内ネットワークに外部から侵入する巧妙な手口に脚光が当たりがちだ。APT(Advanced Persistent Threat)などの攻撃手法が明るみになると、意識は常に外に向き、自社の周りに城壁を築くがごとく、いかに侵入を防ぐかに躍起になる。
そんな企業において、ある日突然、内部の従業員が機密情報を漏洩させるといった事件が起きてしまう。いくらフェンスを強固にしても、“内側”に悪意ある人物がいたとしたら機能しないのは言うまでもないことだ。
至極、当たり前のことを述べたまでだが、ここに大きなポイントがある。内部者がデータを持ち出せない環境を整備することこそが重要であり、それが自ずと、対外的なセキュリティ対策につながるという発想を持ちたい。
もう少し付け加えると、ネットワークに入り込めたからといってデータを持ち出せるわけではない。データを保存している実体や関連コンポーネントを自由に操作できなければならないのだ。当社が対象としているメインフレーム環境でいえば、そのOSや、DB、トランザクションモニターといったものになる。いわゆる特権IDを奪取されないことが極めて重要という意味がここにある。
ネットワーク上の脅威が顕著に増し始めた2000年以降、多くの企業が“ネットワークディフェンス”に力を注いできたが、それでは不十分であることは先に述べた通り。内部に侵入される可能性は否定できないことを前提に、「データの保管とプロセス(処理)を安全にすること」を常に念頭に置かなければならない。
もちろん、当社がz/OS向けに「Vanguard」ブランドで提供しているセキュリティ製品群は、「データの保管とプロセス(処理)を安全にすること」を最大のコンセプトに設計している。大きく言えば「Operational Security」(認証管理など)、「Audit and Compliance」(ポリシー管理など)、「Intrusion Detection」(マルウェア対策など)の領域をカバーする製品で構成しており、さらにクラウドサービスの活用も視野に機能を拡張させている。
メインフレームの分野では、IBMが1998年にTCP/IPネットワークに接続する機能をリリースし、2003年ころには多くのメインフレームがTCP/IPで通信するようになった。日本ではまだプライベートネットワークで運用している例が多いという話も聞くが、運用コスト圧縮のために早晩、IPネットワークにつなぐことになるだろう。
社内にも目を向けてセキュリティ対策を講じる時、LinuxサーバーやWindowsサーバーのみならず、これからはメインフレームにも十分に配慮を行き届かせなければならない。当社はどんな要件にも応える準備が整っている。疑問や相談があれば、是非、声をかけてほしい。(談)
米Vanguard Integrity Professionals
最高執行責任者
スティーブン・リンゲルバーグ(Steven Ringelberg)氏
IBMのメインフレーム(z/OS)向けの各種セキュリティソリューションを展開。
- 【第6回】すべてのIT施策は「運用高度化」の課題に通ず(2014/09/12)
- 【第5回】“まだら模様”に染まるIT基盤の危うさ(2014/09/03)
- 元ハッカーが指南するセキュリティ対策の基本とは?:第3回(2014/05/21)
- 【第2回】 運用高度化に欠かせない「自己責任」と「イニシアティブ」(2014/04/10)
- 【第1回】 守りの意識から脱却し、戦略的なシステムマネジメントへの転換を(2014/03/28)
