SSP(Security Service Provider)

桜井 洋一
劾TT データ新世代情報サービス事業本部
セキュリティビジネス統括部長

<お問い合わせ先>
セキュリティビジネス統括部
企画担当
Tel 03- 5546- 8412

拡大するセキュリティ需要

グローバル化・ボーダレス化、さ らにはスピードアップ化といったビ ジネス環境の変化に伴い、企業経営 の根幹ともいえる情報システムにお けるネットワークコンピューティン グの推進やインターネットを活用し た事業の拡大及び更なるコスト削減 が不可欠になってきている。

インターネットのビジネスへの活 用は急速に拡大してきているが、オ ープンネットワークであるが故に、 さまざまな課題が顕在化してきてい る。例えばセキュリティ面において は、嫌がらせ、悪戯といったものか ら、データの改ざん、盗聴、利用者 ID やクレジットカード番号の不正 入手など、考慮しなければならない 問題が増えてきている。今後も基幹 業務(ミッションクリティカル)で のインターネット利用が増えるに従 い、セキュリティへの関心はますま す高まっていくことが予想される。 これに対応して、政府は99 年8 月 に「不正アクセス行為の禁止等に関 する法律」を制定し罰則規定を設け るとともに、アクセス制御等のセキ ュリティ対策の徹底を「努力規定」 として義務づけている。郵政・通 産・法務の3 省は、今後急成長が期 待されるEC (電子商取引)に関連 して、電子署名・認証の法整備を進 めており、2000 年の通常国会に提 出する方針だ。

また今後は公的部門において、サ ービス効率化・迅速化や、国民・企 業負担軽減の観点から、申請申告手 続や調達をはじめとする様々な行政 手続きをネットワーク上で行うこと が期待されているが、この際にもセ キュリティの確保は重要な課題であ る。

このように、重要度が高まりつつ あるセキュリティ問題について、企 業がどのような視点で取り組むべき か必ずしも明確ではない。また、ど んな手順で取り組み、どのような投 資をするべきかといった疑問も少な くない。セキュリティ対策の難しさ は、部分解だけでは不十分で、すべ てが整って初めて本当の意味でのセ キュアな状態になるという点にあ る。ドアを閉めれば良いというもの ではなく、壁や障子の向こう側にも 注意を払う必要があるし、内部から のアタックにも備える必要がある。 このためには、従来のセキュリティ 関連プロダクトの組み合わせを主体 とするセキュリティ対策では不十分 で、総合的なセキュリティ対策が必 要になる。

NTT データのSSP ビジネス

セキュリティ需要は今後ますます 拡大し、国内のセキュリティ市場は、 2005 年には、1 .3 兆円の市場規模に なると予測されている(富士キメラ 総研の調査)。このセキュリティビ ジネス市場に向け、NTT データ・ 新世代情報サービス事業本部では、 従来ネットワークコンピューティン グ事業の一環として行ってきたネッ トワークセキュリティサービスをよ り拡大するために、セキュリティビ ジネス統括部を創設、99 年11 月に は、総合セキュリティサービスを提 供する合弁会社「NTT データ・セ キュリティ」を設立した。

図1セキュリティの構成要素とその特徴

図1セキュリティの構成要素とその特徴


図1 に示すように、セキュリティ ビジネスは各種セキュリティ・ソリ ューションに応じて、SI 力+技術 力、機動性と専門性、さらには社会 的な信用力が求められる。セキュア AP 、暗号通信、認証、電子公証と いった分野は、アプリケーションと 連動した形で組み込んでいかないと 上手く機能しない。このため、SI 力と技術力の両方を兼ね備えている ことが要求される。一方、ウイルス チェックとか不正侵入の検知、シス テムの監査・診断といった分野では 迅速な対処能力と高度な専門知識も 持っていなくてはならない。

当社は、システムインテグレータ としての豊富な実績・経験と、これ までネットワークセキュリティサー ビスに積極的に取り組んできたノウ ハウを生かしつつ、機動力と専門性 に優れたNTT データ・セキュリテ ィや本特集で紹介している他のxSP ビジネスと連携しながら、SSP (Security Service Provider )とし て積極的なビジネス展開を図ってい く方針だ。具体的な取組みとしては、 不正アクセス等の脅威から企業の情 報システムを“守る”というソリュ ーションに加え、“監査および保証” という観点に立ったサービスを提供 していく。

NTT データの トータルセキュリティサービス −Easy &Safe −

NTT データの「Easy&Safe 」は、 “使いやすく、しかも堅牢に”をコ ンセプトとする、セキュリティポリ シー確立を中核としたトータルセキ ュリティサービスだ。使いやすく、 しかも安全・強固なセキュリティ基 盤を確立するためには、ファイアウ ォールやVPN (Virtual Private Network )装置を使ったシステムの 構築やソフトウェアの導入だけでは 不十分で、セキュリティポリシー (企業におけるセキュリティに対す る考え方)を明確にし、それに基づ いた総合的な取組みが不可欠だ。

Easy&Safe は、 図2 に示すように、 4 つのサービスを 有機的に連携・連 続することによっ て、正当なユーザ にはセキュリティ の煩わしさを意識 させないスピーデ ィなアクセスを実 現し、しかも脅威 から守る堅牢さを 備えたより確かな セキュリティサービスである。コン サルティング、システム設計・構築、 運用・監視、監査・診断といった 個々のサービスの連携と連続によ り、システムサイクル全体の安定し たセキュリティを確立する。

図2 トータルセキュリティサービス-Easy&Safe


図2 トータルセキュリティサービス-Easy&Safe


<コンサルティング>
確かなセキュリティは、問題ごと の個別対応だけでは実現できない。 セキュリティレベルの統一と迅速な 対応のためには、セキュリティの目 的・原則・方針を明確にしたセキュ リティポリシーを制定し、それに基 づいた厳密な運用が求められている。 Easy&Safe では、企業ごとに異 なるセキュリティ環境を明確にし、 ガイドラインの策定や策定支援、セ キュリティポリシーの確立を中核と した総合的・統一的なコンサルティ ングを実施し、最適なセキュリティ ソリューションを提案する。

<監査・診断>
セキュリティを確保するために は、さまざまなリスクを調査し、現 状のシステムにどの程度のセキュリ ティホールがあるかを把握すること が必要だ。そのために擬似的にネッ トワークにアタックしてセキュリテ ィ強度を診断したり、運用管理体制 を診断するための問診も行う。セキ ュリティホールが発見された場合 は、報告と対策案の提示を行う。

<システム設計・構築>
図1 に示したように、セキュリテ ィにはさまざまな構成要素がある。

図1セキュリティの構成要素とその特徴

図1セキュリティの構成要素とその特徴

ファイアウォールをはじめVPN 装 置、PKI (Public Key Infrast-ructure :公開鍵暗号通信基盤)、 さらにはネットワーク管理者のスキ ル、ユーザのモラルや情報リテラシ ーなど、多岐にわたっている。シス テム設計・構築にあたっては、この ような構成要素を総合的に考慮し、 企業のセキュリティポリシーを遵守 しながら、最適なシステム設計・構 築を目指す。

特に今後は、“保証”という観点 から、CA (認証)サービスに加え、 電子商取引やEDI における暗号化 通信・本人認証・署名などを実現す るためのデジタル証明書および公開 鍵暗号技術を用いたPKI ソリュー ション分野に注力していく方針だ。

NTT データでは、暗号メール、 ファイルの暗号化、VPN 、シング ルサインオン、Web 認証など、PKI とその応用アプリケーションについ て、既存アプリケーションと透過的 に融合し、統一的なセキュリティ環 境を提供していく。

<運用・監視>
365 日24 時間体制で、リアルタイ ムの監視を行い、ネットワークへの アタックがあった場合は、ノウハ ウ・スキルを持った専門家が解析 し、システム管理者に通報。不正ア クセスが発生した場合には、再発防 止としてセキュリティ対策を実施す る。

Surety .com 社の技術を利用 した電子文書証明サービス

紙媒体による各種情報のやりとり に替わり、電子データがビジネスに おいて重要な役割を担うようになっ てきている。また、ドキュメントの 保存も、電子媒体化される傾向にあ る。たとえば公文書を保存する際、 紙媒体での保存は倉庫の問題とか非 常にコストがかかるので、電子媒体 化したいといったニーズは強い。電 子データは、加工性・保存性、情報 伝送速度が優れている反面、容易に データの内容や作成日時を改ざんす ることができるという欠点もある。 電子媒体化するということは、中身 を変えることが容易になるというこ とでもある。

また、現在のCA サービスは、誰 がデータを作成したかの保証はでき るが、何時作成されたかは厳密な意 味では保証することができない。

そこで注目されているのが、電子 データが「いつ作成されたか」、ま た「作成されてから内容が改ざんさ れていないか」を証明する電子文書 証明サービスである。NTT データ では、米Surety.com 社の最新技術 を利用した、電子文書証明サービス を提供している。

NTT データの電子文書証明サー ビスは、存在・時刻証明と、原本性 証明の2 つの代表的な機能がある。 存在・時刻証明は、ある時刻に確か にその電子データが存在していたこ とを保証する。また、原本性証明は 電子データが原本データと確かに同 一であることを保証する。内容や証 明日時(タイムスタンプ)が少しで も変更された電子データが原本と同 一物であると認められることは絶対 にない。罫線の太さや、カンマ1 つ でも変更されれば、証明されない仕 組みになっている。

NTT データが提供する電子文書 証明サービスでは、電子商取引のト ランザクション、データベースレコ ード、ワープロ文書、表計算シート、 画像、音声ファイル、動画ファイル など、あらゆる形態の電子データに ついて、検証することができる。

<登録>
・お客様が電子データの存在・時刻 証明、原本性証明の登録を行う場 合「ハッシュ関数」を使用して 「電子指紋」がお客様のコンピュ ータ上に生成される。
・オリジナルデータに代わる電子指 紋がセンターに送られ、証明サー バで登録をうける。お客様のオリ ジナルデータが外部に送信される ことはない。
・タイムスタンプされた証明記録が お客様に送られ、お客様がこの証 明記録とオリジナルデータを保管 する。

<証明>
・お客様がデータの時刻性、原本性 の証明を要求すると、再度オリジ ナルデータから電子指紋が生成さ れる。
・生成した電子指紋と保管していた 証明記録の中の電子指紋とを比較 し、等しい場合にのみ証明記録が NTT データのサーバに送られる。
・オリジナルデータが改ざんされて いなければ、完全性が実証される。 以下に、NTT データの電子文書 証明サービスの主な特長とメリット を列記する。
・あらゆる形態の電子データの存 在・時刻証明が可能 ,BR>・データの日時の改ざんを容易に検 出できる。
・高可用性と冗長性を備えている。
・通信費が低額
・オリジナルデータを預かることが ないので、電子データのプライバ シーが確実に守られる。

NTT データ・セキュリティ とも連携

NTT データは1999 年11 月 に、トレンドマイクロ梶A 日立製作所、日本シスコシス テムズ梶Aエスアンドティー コンサルティング鰍ニ合弁で、 情報システムに関する総合セキュリ ティサービスを提供する新会社とし て「NTT データ・セキュリティ梶v を設立、社長に新世代情報サービス 事業本部ネットワークコンピューテ ィング事業部長の浜崎達彦が就任し た。

新会社は、情報システムセキュリ ティに関する各分野のトップ企業の 合弁により、企業に対してこれまで の製品組み合わせを主体とするサー ビスとは異なり、企業の情報システ ムセキュリティを包括的にサポート するサービスを提供する。各社のも っとも強い力を結集、開発レベルで の協力体制、独自商品の開発、カス タマイズも行う。

NTT データは、図3 に示すよう に、これまでにもセキュリティの各 分野のトップ企業との資本提携を行 ってきている。

図3 NTTデータグループのセキュリティビジネス体制


  図3 NTTデータグループのセキュリティビジネス体制

今回の合弁会社の設 立で、SI 技術・ノウハウをNTT デ ータと、機動性と専門性を特長とす る新会社の連携により、NTT デー タグループとして、セキュリティビ ジネスを積極的に展開していきたい と考えている。(図4 )

図4  グループとしてのビジネス展開


図4  グループとしてのビジネス展開



<お問い合わせ先>
セキュリティビジネス統括部
企画担当
Tel 03- 5546- 8412