●特別企画

NTTコミュニケーションズの
セキュリティサービスへの取組み
 NTTコミュニケーションズ
 ITマネジメントサービス部
 サービスデリバリーグループ
 統括部長
 松尾 直樹
 NTTコミュニケーションズ
 ITマネジメントサービス部
 企画開発グループ統括部長
 与沢 和紀
 NTTコミュニケーションズ
 ソリューション事業部
 プラットフォーム技術
 開発部長
 笠原 久嗣














1.企業におけるネットワークセキュリティ−脅威の現状−

■不正アクセス、ウィルス/ワームなど急増するセキュリティ脅威

 グローバルIPネットワークによる電子商取引、電子行政、外交等、グローバルな環境でのコミュニティ化の流れは加速する一方である。これに伴い、インターネットを利用することによる不正アクセスやウィルス/ワームといったセキュリティの脅威が急増してきている。日々新しい脆弱性や攻撃方法が発見され、毎日のようにセキュリティ被害が発生している。ホームページ改竄は連日発生しているし、セキュリティ管理者の設計ミスや、操作者の操作ミスが原因の個人情報漏洩が急増している。また、内部の人間による犯罪も発生している。

 企業におけるセキュリティに対する意識の高まりとともに、セキュリティ対策は徐々に導入が進められているが、対策度合いは業界ごとにまちまちである。図1-1に示すような企業の情報システムに対する攻撃や脅威から自社のシステムを防御するためには、専門的な知識・経験はもちろん幅広い情報収集と研究が不可欠である。


図1-1 企業の情報システムに対する主な脅威

 また、こうした状況を踏まえたうえで、問題が発生した際の迅速な対応がとれる体制を整えておくことが極めて重要である。セキュリティ事故は企業にとって

・資産の損失:無駄な投資、資産の破壊・漏洩等
・営業機会損失:システム障害による業務の中断等
・生産性の低下:システム・ネットワークの業務外利用の横行
・信用の失墜:機密情報漏洩、情報セキュリティ対策の甘さを露呈
・他社に損害を与える:踏み台、ウィルス、社員の犯行等

といった影響を及ぼすことになり、経営の悪化と同時に、訴訟問題に発展して莫大な損害賠償を負わされることにもなりかねない。また信用を回復するために莫大な時間と労力を費やすことにもなる。このため、企業をあげてセキュリティ対策を講じていく必要があるといえる。

2.セキュリティ対策の現状

■セキュリティ対策は企業にとって重要な経営課題

 企業がインターネットを活用してビジネスを展開していく中で、ウィルスやワームの急激な増加、日常的な企業ネットワークへの不正アクセス等々に対応するセキュリティ対策は、最重要課題であるといっても過言ではない。危機管理能力を高め、企業価値を最大化するコーポレート・ガバナンス(企業統治)の観点からも、セキュリティ対策は企業責任・企業倫理の一つになっている。しかし、現実は、@社員教育不足(意識の低さ)、A莫大なコストがかかる、Bリスク回避のための方針の欠如(セキュリティポリシーがない)、Cトップの理解欠如(問題が発生してから)、D継続的なセキュリティ運用ノウハウの不足、E不十分な組織的サポート(運営組織と現場とのギャップ)、Fネットワーク管理者の技術力不足(スキルとリソース)、G最新動向への対応力欠如(柔軟性)といったことから、なかなか企業にセキュリティ対策が浸透していない状況である。

 インターネットの脅威から自社のシステムを防御するためには、

・脅威の発生を未然に防ぐ、あるいは最小限に抑える
・実際にセキュリティ侵害に伴うシステム障害などの問題が生じた際の迅速な対応、及びシステム復旧

の2点が重要である。その前提になるのがセキュリティポシリシー(企業のセキュリティ指針)であり、それに基づくセキュリティスタンダード(企業のセキュリティ基準)である。

■セキュリティポリシーに基づくトータルセキュリティの実現が重要

 図2-1に示すように、企業にとってセキュリティ問題が発生した場合のリスクが増大していることと相俟って、セキュリティ要件が多様化しており、問題検知も複雑化してきている。しかし、セキュリティはあくまで自己責任・自己管理が原則である。そのためには、まずセキュリティポリシーを策定し、それに基づくトータルセキュリティを実現することが重要である。


図2-1 セキュリティポリシーの必要性

セキュリティ対策のポイントとして、

・抑止:不正行為を牽制し、問題の発生を防ぐ
・予防:不正アクセスや内部犯罪に対する直接的な対策を施し、問題の発生を防ぐ
・検知:問題の発生を速やかに発見し通知することで、問題の拡大、拡散を防ぎ被害を最小限に抑える
・対処:発生した問題に対する、箇所の特定、正常な状態までの回復

の4 つのキーワードに基づく対策のサイクルをスパイラル的に循環させることが必要である。

 図2-2に、図1-1で示した企業情報システムに対する主な脅威に対応したセキュリティ対策を示す。不正アクセスの手法も非常に高度になってきており、Firewallを設置するだけでは、HTTPやFTP偽装コードによる不正アクセスには無力である。セキュリティポリシーに基づき、複合的かつ戦略的なセキュリティシステムを構築することが重要である。


図2-2 企業に求められるセキュリティ対策

3.NTTコミュニケーションズのセキュリティサービス

■レイヤースルーのセキュリティマネジメントサービスを提供

 企業情報システムのセキュリティ対策の重要性が増すのに伴い、セキュリティ対策のアウトソーシングニーズが急速に高まってきている。このようなニーズに対応して、NTTコミュニケーションズ(以下、NTT Com)では、図3-1に示すように最下層のファシリティからネットワーク、サーバやクライアント端末、LAN、さらには上位のアプリケーション、コンテンツ、利用者の個人認証まで、レイヤースルーのセキュリティマネジメントサービスを提供している。


図3-1 レイヤースルーのセキュリティマネジメントサービス

 ビルへの入退室などの設備系や運用管理面のファシリティレイヤーのセキュリティ対策では、セキュリティポリシーをいかにきちんと運用していくかが重要である。そのために例えば、情報セキュリティマネジメントの標準規格である「BS 7799」や情報セキュリティマネジメントシステムの適合性評価制度である「ISMS(Information Security Management System)」の認証取得に向けた取組み及びその継続的運用が必要になる。NTT Comでは、BS7799及びISMSの認証を2002年10月に取得しており、その経験・ノウハウを活かしたBS 7799/ISMS認定取得支援のコンサルティングサービスを提供している。

 ネットワークレイヤーのセキュリティで重要となるのが暗号化であり、IPsec技術や、IPsecを標準装備したIPv6技術である。NTT Comでは、IPv6によるネットワークサービスを提供している。

 その上のレイヤーでは、不正アクセスの防止や、ウィルス/ワームの対策が重要である。NTT Com では、Firewallの設計等セキュリティシステムの構築等を行う「セキュリティインテグレーションサービス」、Firewallのログ管理や不正アクセスの監視を行う「セキュアオペレーションサービス(SOS)」、さらに「ウィルス・ワーム対策サービス」を提供している。

 また、認証サービスとして2種類のサービスを提供しており、主に企業におけるエクストラネットのポータル構築向けで、端末の認証、アクセス制御、シングルサインオンを行う「セキュアコネクトサービス」と、PKI(Public Key Infrastructure;公開鍵基盤)ベースのアプリケーション構築向けで、電子契約やe-Learning等のアプリケーションと認証機能を組み合わせてPKIプラットフォームを提供する「BLADEサービス」がある。

 さらに上位のコンテンツレイヤーのセキュリティサービスとして、Webが改竄されたことを検知して迅速に復旧させる「Webコンテンツチェックサービス」の提供、また利用者に対する個人認証としてバイオ認証などに取り組んでいる。

 これら各レイヤーごとのサービスに加え、セキュリティ対策の基本となるセキュリティポリシーやセキュリティスタンダードを策定したり、セキュリティホールを調査し、問題箇所が見つかればそれを修復する「セキュリティコンサルティングサービス」を提供している。

 NTT Comが提供するレイヤースルーのセキュリティマネジメントサービスのうち、特にお客様設備系のセキュリティサービスを総称して「GuardIT」と呼んでいる。GuardITは図3-2に示すように、お客様の経営資源を、外部からの情報の盗聴/破壊/改竄、システムの運用妨害/不正使用等から守る(ITをGuardする)トータルセキュリティサービスである。セキュリティコンサルティング→セキュリティインテグレーション→セキュリティオペレーションのPDCA サイクルによってお客様の情報通信システムの安全な構築・運用をトータルでサポートする。


図3-2 セキュリティサービス「GuardIT」

 以下、NTT Comが提供するセキュリティサービスを紹介する。

この続きをお読みになりたい方はこちらから雑誌をお買い求めください。
(こちらは2003年2月号になります)

(この続きの内容)
@セキュリティコンサルティングサービス
Aセキュリティインテグレーションサービス
Bセキュアオペレーションサービス(SOS)
Cウィルス/ワーム対策サービス
Dセキュアコネクトサービス
EBLADE(ブレード)サービス
FIPsec
GWebコンテンツチェック
Hバイオメトリクス認証
4.まとめ

 

 


Copyright:(C) 2002 BUSINESS COMMUNICATION All Rights Reserved