Special Issue

<セキュリティソリューション特集>情報システムだけではなくビジネスも守る(上)

2008/08/11 19:56

週刊BCN 2008年08月11日vol.1247掲載

東芝ITサービス
情報セキュリティ監査の重要性が増す
「ホスト型」の『セキュドック』がビジネスチャンスに

外側と内側からの情報セキュリティ監査の必要性

 企業システムの情報化が進み、今やITがなくては業務が成り立たないのが実情だ。一方で、情報漏えい対策やIT統制の構築などの課題も多く、情報セキュリティ対策を施す企業が増加している。情報セキュリティソリューションは、導入すればそれでよいといった性格のものではない。定期的に情報システムを監査し、状況に合わせて見直していくことが重要だ。その中で注目されているのが、サーバのセキュリティ監査に用いられる診断ツールである。

 「情報システムの核であるサーバのセキュリティ監査に用いられる診断ツールには“ネットワーク型”と“ホスト型”があります。従来、提供のしやすさから“ネットワーク型”が利用される傾向がありましたが、“ホスト型”を併用することで、企業システムの内(ホスト型)と外(ネットワーク型)の両側からセキュリティ対策状況の確認ができます」と、企画部・営業企画担当の榎龍一参事は説明する。

マルチOSに対応した「セキュドック」

 東芝ITサービスでは、「ホスト型」のセキュリティ診断ツール「セキュドック」を提供している。「セキュドック」は、Windows、UNIX・LinuxなどのマルチOSに対応しており、OSやアプリケーションの脆弱性や、長期間使われていないアカウントのチェックなどを行う。サーバの内部から管理者の視点で情報セキュリティ監査を行うため、サーバの現状が正しく把握でき、そのレポートを元にして計画的に情報セキュリティ対策を施すことができる。セキュリティマネジメントという観点からも非常に重要なツールと言える。

 「これまでは、“外部からの攻撃に対してどうするのか”といった視点で情報セキュリティを構築してきた企業が多かったと思います。しかし、情報漏えい事故の多くは内部から起きているといった調査結果もあり、ホスト型である“セキュドック”が注目され始めているのでしょう」と榎参事は市場の状況を語る。

多くのパートナーが付加価値として利用できる

 セキュドックのレポートは、グラフなどで視覚的にも分かりやすい。脆弱性についても、「内容」と「考えられるリスク」のほか、「対策」などに分けてレポートされる。さらに診断した項目で、どの領域が最も危険で優先的に対処すべきかなども明示されるため、セキュリティや情報システムに対して深い知識がなくても、適切に対応できる。

 セキュリティなどは担当者任せになりがちだが、「セキュドック」を活用することで、担当者のスキルの高低にかかわらず、一定水準以上の情報セキュリティ対策が施せる。そのため、「セキュドック」は、IT統制を構築するケースはもちろん、ISMSやISO27001、プライバシーマークなどの内部監査にも活用される。また、セキュリティ診断/監査サービスを行っている専業の企業なども活用し始めている。

 「官公庁などは、第三者監査を実施しています。そういった市場に対しても“ホスト型”と“ネットワーク型”での監査を行うことで、総合的な報告ができるようになります。また、これまで入り込めなかった市場に対しても、“セキュドック”を活用することでアプローチすることができます」(榎参事)。

 確かに、「セキュドック」も併せて活用すれば、エンドユーザーの求めに応じた外側と内側の両方から情報セキュリティ監査を提供できるようになり、総合的な提案が可能となる。実際、ホスト型の診断サービスを提供していないシステムインテグレーターからの引き合いが増えている理由はそこにある。「システムインテグレーター様の場合は、サーバの受け入れ/出荷検査用として活用されるケースもあるようです。そうすることで、脆弱性の少ない製品を提供しやすくなります」(榎参事)。

 「セキュドック」は、SIerにとっても新たなビジネスを創出している。セキュリティに対する危機意識がますます高まる中、「ホスト型」をキーワードとした情報セキュリティ監査市場も立ち上がり始めている今こそ、チャンスだ。


東芝ITサービス=http://www.it-serve.co.jp/

[次のページ]

関連記事

<セキュリティソリューション特集>情報システムだけではなくビジネスも守る(下)