情報セキュリティ対策は「数える」ことから始めよう

現在，企業はさまざまなセキュリティ対策を講じる必要性に迫られている。具体的な対策を考える上で不可欠なことは，現在の状況を定量的に把握すること，つまり，社内の情報資産などを“数える”ことである。そこで本稿では，企業がセキュリティ対策を講じる上での“要”となる「数える管理」について考えてみたい。

定量的な現状把握の重要性

企業における情報セキュリティ対策とは，業務にかかわる情報を確実かつ厳密にコントロールすることだといえるだろう。そのためには，コントロールすべき対象を定量的に評価ならびに把握することが重要となる。「脅威に備えて対策を実施しろ」と言われても，「何が」「どこに」「どのような状態で」置かれているのかを把握できなければ，対策を施すことはできない。

では，定量評価すべき対象は何か。企業内にはさまざまな資源（リソース）が存在する。その中で，最も重要なものは人的リソース，つまり，社員（派遣社員や外部のパートナーを含む）に関するものだろう。「社員を定量評価する」といっても，人数を数えるだけでは当然ない（もちろん，最低限必要なことではあるが）。各社員の所属や業務内容，情報資産へのアクセス権限などを整理し，その情報を管理することである。

これらの情報は新たなセキュリティ対策を導入する際に不可欠なばかりではなく，コンプライアンス・プログラムの教育や訓練といったセキュリティの人的な対策を展開するときにも必要だ。

情報を取り扱うための機器，すなわち，IT資産の定量的な把握も重要である。IT資産の数や状況を適切に把握することは，セキュリティ対策において重要なポイントの一つである。IT資産には，社内で利用しているPCなどのOA機器だけでなく，ネットワーク機器やサーバーも含まれる。また，各種記憶媒体（メディア）も含まれるので，対象となるIT資産は多岐にわたる。

情報自体も定量評価すべき対象である。機密情報（重要情報）についても，「何が」「どこに」「どのような形態」で保存されているのかを明確にしておく。ただし，「何が機密情報なのか」を定義することから始める必要がある。

認証ディレクトリやIT資産管理システムが有用

次に，社内の情報リソースを定量評価ならびに管理する仕組みについて考えてみたい。

まずは，企業の中で働く人の情報を管理する仕組みを考えてみる。一般的には「人事情報システム」などが思い浮かぶが，セキュリティの観点からは「社員情報ディレクトリ（認証ディレクトリ）」を構築することが最適だと考える。認証ディレクトリについては，このコラムで以前解説した。

認証ディレクトリの導入により，社員に関する情報を統合的に管理できるようになる。認証情報の一元化を図ると同時に，それぞれの社員に付与したアクセス権限情報を使って，サーバーなどへのアクセスをコントロールすることが可能となる。認証ディレクトリは，企業内で稼働しているさまざまな業務システムの認証基盤となり，シングル・サインオンの実現や統合的なID管理へと発展させることができる。

企業内で稼働しているIT資産を把握するためには，IT資産管理システムの導入が望ましい。IT資産管理システムを導入すれば，PCなどのOA機器の導入状況や稼働状況を適切に管理できるようになる。ソフトウエアのライセンス管理や調達・棚卸，廃棄といった資産管理も行える。

IT資産管理システムは，セキュリティ対策の進捗状況を確認する手段としても利用できる。多くのIT資産管理システムには，PC上で稼働しているソフトウエアなどのインベントリ情報を収集する。インベントリ情報には，OSの種別やバージョン，導入プログラムの一覧，ワクチンやパッチ適用状況などが含まれる。これらを集中管理することにより，各PCでのセキュリティ対策状況が分かる。

最近では，単にセキュリティ状況を調べるだけではなく，セキュリティ対策に不備があるPCについては，自動的にパッチを適用する，あるいはワクチン・プログラムを更新するといった作業を，別のシステムと連動することで可能にしているIT資産管理システムも存在する。IT資産管理システムを導入する際には，そういった機能の有無もチェックしたい。 [全文]