|
|
 【NTT 東日本】
セキュリティ対策の考え方 昨今、サイバーテロや情報漏えい、爆破テロや大地震等の大規模災害をビジネスリスクとして捕らえる事が急速に求められている。データセンターやセキュリティ対策等、NTT東日本の提供するソリューションを踏まえつつ、上記対策の方向性について考え方を紹介する。 ■セキュリティの別の一面 セキュリティの基本要素はCIAといわれる。昔はC(Confidentiality:機密性)とI(Integrity:完全性)に重点がおかれていたが、最近ではA(Availability:可用性)が重要な要素として加えられている。今回は、それらのセキュリティの要素に、もうひとつのC(Continuity:継続性)を加えたい。 2001年9月11日の米国ワールドトレードセンター(WTC)テロ攻撃では、ビル内にあったシステムも全て破壊され世界の金融システムが数日止まった。しかし多くのシステムは1993年の地下駐車場での爆破テロを教訓に、WTCから60km離れたデータセンターへ二重化されたシステムを構築していた。それはデータ保管バックアップだけでなく、業務システムが二重に構築されており、9月11日テロの翌日にはオペレータがバックアップセンターに勤務しスタンバイしていたという。この教訓に倣い国内でもシステム全体のバックアップセンターを数十km以上はなれたところに設置しようという考え方がIT業界に浸透しつつある。日本では大規模な爆破テロは起きていないが、9 年前に社会機能を停止させようとした地下鉄サリン事件が発生している。劣化ウラン弾が簡単に手に入る時代ともなっており、無差別テロは偶発的なことでなくインシデントとして捕らえるべきである。また阪神から始まり、東北・東海そして関東と地域全体が壊滅する大地震の発生リスクも高い。データだけでなくシステム全体を離れた場所でスタンバイできるようにすべきであろう。  図1 NTT東日本のnetwork-DataCenters(2004年8月時点) ■ビジネス的なリスク 米国WTCテロの際、遠隔データセンターのバックアップシステムがすぐに稼動したが、一部の企業はバックアップ体制を構築しておらず、勘定データやシステムを修復できず倒産した。昔風にいえば帳簿がすべてなくなってしまっては元も子もない。仮にデータだけ残っていても解読・通常処理ができなくては同じである。 ウイルスやワーム、DOS攻撃など国際的なサイバーテロによってシステムのContinuity が毎日のように脅かされている。自動的に端末内のメールアドレスを盗み取り大量に添付メールを発生させ、「セキュリティ対策を疎かにした被害者が加害者になる」という報道で企業名が露出し企業信用を失墜する事件も多数あった。 最近では「サイバーテロ対策は企業の責任」という慣行と対策が浸透し報道は少なくなったが、情報漏えい事件が毎週のように報道されている。数十万件の情報漏えいでは驚かなくなったが、最近「不正使用1300万円。570件のカード情報漏えい」という報道や「PC紛失。2万件以上の個人情報漏えい」という報道もあった。個人情報保護法では「6 ヶ月以下の懲役か30 万円以下の罰金」とある。情報漏えい賠償において「女性の身体情報などプライバシー情報が含まれると50万円以上」という考え方が浸透しているが、実際には訴訟手続きが面倒で時間がかかる為、そういう行為を嫌う日本人においては全員が訴訟を起こすことは稀有であろう。なにより怖いのは「レピュテーション・リスク(信用失墜)」である。  図2 NTT 東日本が提供するトータル・セキュリティ・ソリューション) ■まとめ セキュリティ事故を報道された企業は、信用失墜によりビジネス存続の危機に陥る。まじめにやってきた企業が一夜にして評判を落とし、お客様や嫌気がさした社員までが逃げてビジネス継続のリスクにさらされる。株価総額が一夜にして数十億円も急落した企業もある。 サイバーテロや情報漏えい、そして爆破テロや大地震などのインシデントに対し、ビジネスシステムのセキュリティを見直していくことを考え続けていく必要がある。
|
