Special Issue
<セキュリティソリューション特集>3053万人もの個人情報が漏えい 導入・運用できるソリューションで市場のすそ野を拡大
2008/07/14 19:56
週刊BCN 2008年07月14日vol.1243掲載
「情報漏えい事故を起こすと、企業ブランドに傷がつく」ということは、社会的にも認知されている。実際に情報漏えい事故を引き起こすと、損害賠償などを含め、企業に与える影響は計り知れない。企業を守るという意味でも、また社員を守るという意味でも、情報セキュリティ対策は大変重要なソリューションである。
想定損害賠償額2兆2710億円強
NPO日本ネットワークセキュリティ協会が公表している「2007年情報セキュリティインシデントに関する調査報告書 Ver.1.2」によると、2007年の漏えい人数は3053万1004人、インシデント件数は864件となっている。これは、前年と比べると、情報漏えい人数で約800万人の増加、インシデント件数は129件の減少という結果になる。
驚くべきは、想定損害賠償額だ。同報告書によると、総額は2兆2710億8970万円で、1件あたりの平均想定損害賠償額は約27億9346万8000円となっている。このデータからも、情報セキュリティインシデントは、企業価値を下げるだけではなく、実害も非常に大きいということがよくわかる。企業を守るために、情報セキュリティ対策は最も重要な経営課題となりつつある。これまでは生産性や業務効率の向上を目指して導入されてきた情報システムだが、現在はセキュリティを含めた企業システムの構築が求められている。
情報漏えい原因を見ると、(1)紛失・置き忘れ=20.5%、(2)管理ミス=20.4%、(3)誤操作=18.2%、(4)盗難=16.6%となっている。昨年は管理ミスが8.3%程度だったが、今年は急増していることに着目したい。この背景にあるのは、「内部統制」への取り組みが進んでいるという事実だ。「管理ミス」の内訳を見ると、その半数が「誤廃棄」である。内部統制の取り組みが進み、組織内の管理が強化されると同時に棚卸しも行われており、ここで「誤廃棄」が明るみにでたと推測される。
内部統制が進む一方で、内部犯罪・内部不正行為による情報漏えいが課題になりつつある。内部犯罪・内部不正行為による情報漏えい人数は、(1)05年=90万人、(2)06年=800万人、(3)07年=864万人と増加傾向にある。これは、情報漏えい人数の中でも大きな割合を占めている。情報漏えいの要因として、アクセス権を持つユーザーからの情報漏えいが増加していることが、この数字からうかがえる。
ID管理/検疫など基盤のセキュリティ対策が注目
そこで注目されているのが「情報セキュリティ監査」や「ID管理」だ。特に「ID」は、情報システムを扱う上で、個人を特定する最も基本的な情報となる。このIDが適切に管理されていなければ、その情報をもとに稼働している基幹システムや業務アプリケーションなどが出力する情報の信憑性も大きく揺らぐ。
その重要性は認識していても、システムの大規模な改修が必須であったり、大幅なコスト増となるため、ID管理ソリューションの導入は難しい。そのため、大企業など一部の企業のみ導入が進んだ。最近では、ソフトウェアベンダーの努力の甲斐もあり、稼働しているシステムを改修することなく、ID管理を支援するソリューションも登場し始めている。こういったソリューションを利用することで、企業規模に関わらず、より詳細な情報セキュリティ監査を実現できるようになる。
また、企業が管理していないクライアントPCをネットワークに接続させない「検疫」も注目されている。以前、MSブラスターなどワーム型のウイルスが猛威を振るい、多くの企業や団体に大規模感染を引き起こしたことがあった。日本での被害は企業や団体単位であったが、ネットワークインフラ自体が麻痺した国もあった。その経験から「検疫」ニーズが急速に高まったのである。大企業のみならず、中堅・中小企業や官公庁、文教市場などでも、基幹ネットワークを守りたいという思いは同じだ。「検疫」を導入するには、インフラの再構築やSI費・運用費などが障壁となっていた。専任の管理者を配置できない企業や団体では、とうてい運用しきれるソリューションではなかったのである。最近では、アプライアンスやエージェントレスで利用できるソリューションが拡充され、導入の敷居を一気に下げている。また、Windows Server 2008に「NAP」が標準搭載されたことから、検疫市場を一気に広げることが期待されている。OS、ハードウェア、ソフトウェアなどが全方位で検疫市場のすそ野を広げる活動を行っている。今後、さらなる伸長を遂げることは想像に難くない。
情報セキュリティ対策は、運用・管理面に課題があり、専任の管理者を配置できる企業でしか利用できないものが多かった。しかし最近では、運用・管理負担を大幅に軽減させたソリューションが登場しており、中堅・中小企業で扱えるものも提供されはじめている。もちろん導入コストも大きくダウンされており、市場自体のすそ野も広がっているようだ。
情報セキュリティはネットワークに軸足
すでにネットワークは、企業の基盤になっている。セキュリティに関しても同様だ。そのネットワークとセキュリティは、非常に密接な関係を築きつつある。ネットワークとセキュリティは、融合し始めていると言えるだろう。
現在、多くの企業システムのWeb化が進んでいる。SaaSもそういった流れの1つだ。このような時代の到来とともに、アプリケーションデリバリは大きな課題として横たわりつつある。また、サーバーの信頼性もこれまで以上に重視される。そのため、ロードバランサーはもちろん、サイトの改ざんやデータ盗難に効果的なWebアプリケーションファイアウォールなどのソリューションの導入が進むことが予想される。
セキュリティソリューションは、ネットワークに軸足をおくものが主流となりつつある。以下、最新のセキュリティソリューションをみてみよう。
想定損害賠償額2兆2710億円強
NPO日本ネットワークセキュリティ協会が公表している「2007年情報セキュリティインシデントに関する調査報告書 Ver.1.2」によると、2007年の漏えい人数は3053万1004人、インシデント件数は864件となっている。これは、前年と比べると、情報漏えい人数で約800万人の増加、インシデント件数は129件の減少という結果になる。
驚くべきは、想定損害賠償額だ。同報告書によると、総額は2兆2710億8970万円で、1件あたりの平均想定損害賠償額は約27億9346万8000円となっている。このデータからも、情報セキュリティインシデントは、企業価値を下げるだけではなく、実害も非常に大きいということがよくわかる。企業を守るために、情報セキュリティ対策は最も重要な経営課題となりつつある。これまでは生産性や業務効率の向上を目指して導入されてきた情報システムだが、現在はセキュリティを含めた企業システムの構築が求められている。
情報漏えい原因を見ると、(1)紛失・置き忘れ=20.5%、(2)管理ミス=20.4%、(3)誤操作=18.2%、(4)盗難=16.6%となっている。昨年は管理ミスが8.3%程度だったが、今年は急増していることに着目したい。この背景にあるのは、「内部統制」への取り組みが進んでいるという事実だ。「管理ミス」の内訳を見ると、その半数が「誤廃棄」である。内部統制の取り組みが進み、組織内の管理が強化されると同時に棚卸しも行われており、ここで「誤廃棄」が明るみにでたと推測される。
内部統制が進む一方で、内部犯罪・内部不正行為による情報漏えいが課題になりつつある。内部犯罪・内部不正行為による情報漏えい人数は、(1)05年=90万人、(2)06年=800万人、(3)07年=864万人と増加傾向にある。これは、情報漏えい人数の中でも大きな割合を占めている。情報漏えいの要因として、アクセス権を持つユーザーからの情報漏えいが増加していることが、この数字からうかがえる。
ID管理/検疫など基盤のセキュリティ対策が注目
そこで注目されているのが「情報セキュリティ監査」や「ID管理」だ。特に「ID」は、情報システムを扱う上で、個人を特定する最も基本的な情報となる。このIDが適切に管理されていなければ、その情報をもとに稼働している基幹システムや業務アプリケーションなどが出力する情報の信憑性も大きく揺らぐ。その重要性は認識していても、システムの大規模な改修が必須であったり、大幅なコスト増となるため、ID管理ソリューションの導入は難しい。そのため、大企業など一部の企業のみ導入が進んだ。最近では、ソフトウェアベンダーの努力の甲斐もあり、稼働しているシステムを改修することなく、ID管理を支援するソリューションも登場し始めている。こういったソリューションを利用することで、企業規模に関わらず、より詳細な情報セキュリティ監査を実現できるようになる。
また、企業が管理していないクライアントPCをネットワークに接続させない「検疫」も注目されている。以前、MSブラスターなどワーム型のウイルスが猛威を振るい、多くの企業や団体に大規模感染を引き起こしたことがあった。日本での被害は企業や団体単位であったが、ネットワークインフラ自体が麻痺した国もあった。その経験から「検疫」ニーズが急速に高まったのである。大企業のみならず、中堅・中小企業や官公庁、文教市場などでも、基幹ネットワークを守りたいという思いは同じだ。「検疫」を導入するには、インフラの再構築やSI費・運用費などが障壁となっていた。専任の管理者を配置できない企業や団体では、とうてい運用しきれるソリューションではなかったのである。最近では、アプライアンスやエージェントレスで利用できるソリューションが拡充され、導入の敷居を一気に下げている。また、Windows Server 2008に「NAP」が標準搭載されたことから、検疫市場を一気に広げることが期待されている。OS、ハードウェア、ソフトウェアなどが全方位で検疫市場のすそ野を広げる活動を行っている。今後、さらなる伸長を遂げることは想像に難くない。
情報セキュリティ対策は、運用・管理面に課題があり、専任の管理者を配置できる企業でしか利用できないものが多かった。しかし最近では、運用・管理負担を大幅に軽減させたソリューションが登場しており、中堅・中小企業で扱えるものも提供されはじめている。もちろん導入コストも大きくダウンされており、市場自体のすそ野も広がっているようだ。
情報セキュリティはネットワークに軸足
すでにネットワークは、企業の基盤になっている。セキュリティに関しても同様だ。そのネットワークとセキュリティは、非常に密接な関係を築きつつある。ネットワークとセキュリティは、融合し始めていると言えるだろう。
現在、多くの企業システムのWeb化が進んでいる。SaaSもそういった流れの1つだ。このような時代の到来とともに、アプリケーションデリバリは大きな課題として横たわりつつある。また、サーバーの信頼性もこれまで以上に重視される。そのため、ロードバランサーはもちろん、サイトの改ざんやデータ盗難に効果的なWebアプリケーションファイアウォールなどのソリューションの導入が進むことが予想される。
セキュリティソリューションは、ネットワークに軸足をおくものが主流となりつつある。以下、最新のセキュリティソリューションをみてみよう。
