企業活動の生命線－情報セキュリティ対策

日本企業に対する不正アクセス事件の報道も記憶に新しい。不正アクセスによる情報漏えいなどのセキュリティインシデントは、企業に金銭的な被害のみならず、社会的信用の失墜をもたらす。企業がどのような目的で情報セキュリティ対策を行っているのか、またその具体的な対策に関するIDCの調査から、情報セキュリティ対策を行ううえでのポイントについて考える。

(注) 本連載ではIDCのレポートを基に、中小規模の企業＝1人～999人以下、大規模の企業＝1,000人以上と定義している。

情報セキュリティ対策の重要性

重要な企業データを保持するストレージは、情報セキュリティ対策により不正アクセスなどのセキュリティインシデントから保護しなければならない。IDCが毎年行っている「ストレージ投資の重点」の調査では、「セキュリティの強化」という回答が、順位こそ2010年と同じ3番目だが、回答率は中堅中小企業では20.2％から26.7％に、大企業では23.0％から38.3％に大きく伸びている。
では、企業はどのような目的で情報セキュリティ対策を行っているのだろうか。

「従業員規模別ストレージ内データのセキュリティ対策の目的」では、中堅中小企業の64.1％、大企業の74.2％が「社内での内部統制に対応するため」と回答している。次いで、「法的な規制に対応するため」「業界内の規制に対応するため」の回答率が高い。
内部統制とは、業務の効率化、信頼性の高い財務報告、コンプライアンス (法令遵守) 、資産の保全などを目的に組織の体制を整え、運用することである。2006年施行の日本版SOX法 (金融商品取引法) に基づき、上場企業などを対象に2008年度から内部統制報告制度が導入された。内部統制では、会計データの改ざんなどを防ぐために情報セキュリティ対策が必須となる。
情報セキュリティ関連の法規制も数多く存在する。最もよく知られているのは2005年施行の個人情報保護法だろう。個人情報保護法では、5,000件以上の個人情報を保持する事業者に対し、プライバシーの侵害や個人情報の漏えいを防ぐために個人情報を適切に取り扱い、保護することを義務付けている。
法規制により情報セキュリティ対策が義務付けられるだけでなく、CSR (企業の社会的責任) の一環として情報セキュリティ対策への取り組みが求められている。情報漏えいやデータの改ざんが発生すると、企業データに直接的な被害をもたらすだけでなく、企業への信用を失墜させ、その経営基盤を大きく揺るがすことにもなりかねない。この調査で、「過去に情報漏えいを経験したため」「取引先からの要求に対応するため」「過去にデータの改竄を経験したため」の回答率が低いのは、情報セキュリティ対策に取り組むのは当然であり、問題が発生してからでは遅いと認識している企業が多いことの表れとも読み取れる。

企業の情報セキュリティ対策

IDCによる「従業員規模別ストレージ内データのセキュリティ対策」という調査では、「ストレージ内データに関する不正アクセス防止」の回答率が中堅中小企業で22.4％、大企業で39.2％、「データセンターへの入退出管理の厳格化」が中堅中小企業で10.2％、大企業で20.4％という結果が出ている。

情報セキュリティ対策には、技術的対策と人的対策がある。「ストレージ内データに関する不正アクセス防止」には、データへのアクセス制限やデータの暗号化といった技術的対策と、それを効果的に運用する体制などの人的対策の両方が必要になる。「データセンターへの入退出管理の厳格化」も同様である。たとえば、データセンターのドアに施錠し、正しいパスワードを入力した場合にのみ解錠する装置を設置しても、パスワード管理がずさんで入室を許可されない人物に漏れるようでは意味がない。
ストレージに対する技術的な情報セキュリティ対策には、データの暗号化とデータの改ざんを防止するWORM機能 (※) がある。調査結果は、ディスクにおけるデータの暗号化とWORM機能がよく利用されていることを示している。

次のようにIDCでは、「従業員規模別ストレージ内データの暗号化で利用している製品」という調査も行っている。この調査では、中堅中小企業の回答は「ディスクストレージシステムの暗号化機能」「バックアップソフトウェアの暗号化機能」「データベースソフトウェアの暗号化機能」という順位になっているが、大企業では「データベースソフトウェアの暗号化機能」が最も高い。

※ WORM機能：Write Once Read Manyの略で、一度書き込まれたデータの消去・変更ができない追記型の記憶メディアを指す。

ただ、どの暗号化機能が最も効果的かは扱うデータの種類や重要性によって異なる。日常的に暗号化が必要なのか、バックアップ時だけでよいか、ストレージのドライブ単位での暗号化か、ファイル単位かなど、企業で扱うデータを分類し、その重要性や運用方法を検討したうえで暗号化機能を選択するとよいだろう。

情報セキュリティ対策のポイント

セキュリティインシデントは技術的対策だけでは防ぐことはできない。最新のセキュリティ技術を導入し、技術的に脆弱性がなくても、運用体制に不備があれば「人の脆弱性」をつかれて、外部からの不正アクセス攻撃、内部の人間による情報漏えい・不正持ち出しなどが発生し得ることに注意が必要である。
一方、セキュリティ攻撃の技術は日進月歩で進化し、企業データの増大と多様化はとどまる気配を見せない。情報セキュリティ対策を導入しても時間の経過とともに、技術が陳腐化したり増大したデータに対応しきれなくなったりする。情報セキュリティ対策は、定期的に見直しを行い、企業内の状況や社会的背景、技術の進歩などを考慮して改善しながら運用していくことが重要である。

富士通のストレージソリューション

富士通のストレージ製品は、「外部からの攻撃」や「内部からの持ち出し」などのセキュリティリスクへの対策として、ハードウェアレベルでの暗号化機能を提供しています。
ETERNUSテープライブラリ (ETERNUS LT20 S2/LT40 S2/LT60 S2、LT20/LT40/LT60/LT250/LT270) は、LTO Ultrium4/5テープドライブからデータを256ビットのAES方式で暗号化してLTO Ultrium4/5カートリッジテープに書き込む機能をサポートしています。
ETERNUS DXディスクアレイは、ディスクドライブにデータを書き込む際に、コントローラーが暗号化を行う富士通独自の暗号化機能をサポートしています。この暗号化方式は、規格化されている128ビットのAES方式と比較して、暗号化処理が高速であるという特長を備えており、セキュリティレベルもほぼ同等です。また、AES (注) の暗号化機能も備えているため、お客様のご要件に合わせて暗号化方法を選択できます。
ETERNUS CS800 S2デデュ－プアプライアンスを利用すれば、バックアップデータの重複排除を行い、暗号化してバックアップセンターに送信することも可能です。

(注) AES (Advanced EncryptionStandard) は、米国連邦情報処理標準の暗号、総務省および経済産業省が「電子政府推奨暗号リスト」に掲載

掲載日：2011年9月13日

---

ETERNUSサイトについて | サイトのご利用方法 | 総合索引