ITの高度化・ブロードバンド化の急速な進展に伴い、情報ネットワークはあらゆる地域・経済活動の中枢的な役割を果たし
ている。しかし、一方では、ウイルスによる被害、外部からの不正アクセスや内部からの故意または過失による情報漏洩などセキュリティを脅かす事件・事故が多発しており、情報セキュリティに対する総合的な対策が不可欠となってきている。
 
NTT西日本では、これまで培ったセキュリティ技術とネットワーク技術のノウハウを駆使し、高度化・複雑化するセキュリティ問題やネットワークトラブルなど、様々な課題解決をサポートし、ユーザの実情に即した高度なトータルセキュリティソリューションを提供している。本稿では、NTT西日本のトータルセキュリティサービスについて、事例を含めて紹介する。



深刻化するセキュリティ問題
NTT西日本 ソリューション営業本部
セキュリティサービス推進室
室長
岡本充由氏


 総務省が発表した本年2月末現在
の「インターネット接続サービスの利用者数等の推移」の速報値によると、NTTのBフレッツに代表される“光”(FTTH)の利用者数が100万を突破。FTTH、DSL、CATVを合わせたブロードバンドサービス利用者数は、前月比41万増の1,449万加入となっている。
 「ITの高度化・ブロードバンド化の急速な進展に伴い、国民や企業の社会経済活動、政府・自治体による行政事務など、様々な分野において、情報ネットワークへの依存度が増大しています。その一方で、情報ネットワークに襲いかかる様々な脅威とも背中合わせの状態にあります。つまり、利便性と同時に、情報セキュリティのリスク増大という“光と影”があり、影の部分を解消するセキュリティ対策が最大の課題となっています。」(NTT西日本 ソリューション営業本部セキュリティサービス推進室 岡本充由室長)実際、成熟化するネットワーク社会に“黒い影”を落とす、不正アクセスやコンピュータウィルスなどによるセキュリティ被害、故意または過失による情報漏洩など、社会経済活動に不可欠な情報セキュリティや安全性を脅かす事件・事故が多発している。昨年3月のインターネットカフェにキーロガーソフトを仕掛け、他人のインターネットバンクのパスワードを入手し、他人になりすまして1600万円を不正に振り込んだ事件や、昨年8月に米国で発生した新種のコンピュータウィルスが、全世界のコンピュータを渦中に陥れた「MSBlast(Blaster)事件」、さらには今年に入ってから相次いで発覚した顧客情報の流出事件は記憶に新しいところだ。
 セキュリティ被害は、不正アクセスによる「情報の盗聴」「データの改ざん・破壊」やコンピュータウィルスによる「ネットワーク停止」「情報資産の損失」など多岐にわたり、その被害規模は、インターネットの急速な普及に伴って、日本でも拡大の一途をたどっている。不正アクセスによるホームページの改ざんや、インターネット・オークションに関する不正操作などの行為による検挙数の推移からも、今後さらに、被害の増加が見られると考えられる(図1参照)。


            図1 ハイテク犯罪の検挙状況

 また、独立行政法人情報処理振興機構(IPA)によると、コンピュータウィルス感染の届出件数も2002年には2万件を超えている。2003年の年間ウィルス届出件数は17,425件で2002年の20,352件から約15%減少したものの、世界中にネット障害を引き起こした「Nimda」や、瞬く間に世界中に被害を拡大した「MSBlaster」といった、インターネットに接続しているだけで感染するネットワーク型のウィルス/ワームが出現し、猛威を振るった1年であった(図2参照)。


         図2 ウイルス感染届出の年別推移

 なお、ここであげた件数はあくまでIPAにウィルスを発見(または感染)したことを届け出た件数であり、実際はこの数倍のウィルスに遭遇していると考えられる。実際、ウィルス対策ソフトの専門会社であるトレンドマイクロ社が2003年1月〜12月までの1年間の「ウィルス感染被害年間レポート」を発表しているが、ここでは47,607件(2002年は52,172件)と2.7倍の被害(発見のみを含む)があったと報告している。また、世界的なウィルス/ワームによる被害額も大きくなっている(図3参照)。


        図3 ウイルス/ワームによる被害

 このようなセキュリティ脅威の増加傾向を示すように、セキュリティツール・機器の販売、コンサルティングをはじめとするセキュリティ専門サービス、セキュリティシステムの設計・構築といった情報セキュリティ市場も急速に拡大してきている。「平成15年版情報通信白書」では、情報セキュリティ市場は2002年度の4,629億円から2007年には1.9兆円規模に成長。また、民間調査会社の富士キメラ総研は、2002年の5,561億円から2009 年には1.8兆円規模になると予測している。

注目を集める情報漏洩問題

 このように急拡大するセキュリテ
ィ脅威の中でも、最近特に注目を集めているのが、相次ぐ顧客情報流出事件だ。本年1月25日には、大手サービスプロバイダにおける451万人分の顧客情報流出が報道され、3月9日には、大手通販業者の顧客情報流出(30万人の可能性あり)が明るみになった。さらに、大手酒造メーカのモニタ応募者7万5,000人の個人情報流出など、数件の顧客情報流出が発覚しており、情報漏洩問題がクローズアップされてきている。
 このような顧客情報をはじめとする企業が管理する機密情報の漏洩は、外部からの不正アクセスに起因するものより、内部関係者から漏洩するケースが多く見られる。しかも、企業の知的財産である機密情報の漏洩は、事後対応処理や賠償金といった直接的な費用だけでなく、株価の下落、企業イメージのダウンなど、計り知れない損失につながる。事実、米CSI/FBIによる「2001 Computer Crime and Security Survey」によると、セキュリティ侵害事象(インシデント)のうち、外部からの不正アクセスやウィルスによる被害は、件数は多くても被害額はそれほどでもない。一方、機密情報漏洩や詐欺行為、内部でのコンピュータの不正利用による被害は、件数は少ないものの一度起こると、その被害額は計り知れないほど大きなものとなっている(図4参照)。機密情報が外部に漏洩するケースの80%以上は、故意・過失を含めて内部関係者によるものと言われている。正規利用者以外は使用できないようにするアクセス制御などの既存のセキュリティ対策は、正規利用者の悪意ある不正行為やケアレスミスがないことを前提としているため、多くの抜け道が存在する。例えば、正規利用者がノートPCを社外に持ち出し置き忘れたとか、持ち出し中にファイルをコピーされるといったことは起こり得る。
 このような状況下、情報漏洩を防止するためには、性悪説にたった網羅的な対策が不可欠との指摘もあり、情報管理のあり方が改めて問われている。


   図4 セキュリティ侵害事象(インシデント)と被害額の実態




セキュリティ関連基準・法整備など政府も本格的な対策をスタート

 セキュリティ被害の拡大に歯止めをかけるため、政府もセキュリティ関連の各種基準や法律の制定に積極的に乗り出している。
 企業や政府などの情報セキュリティ対策について客観的な評価を行う「情報セキュリティ監査制度(2003年4月)」、個人情報の適正な取扱いに関する基本理念である「個人情報保護法(2003年5月)、官民が協調した日本初の総合的な情報セキュリティ戦略である「情報セキュリティ総合戦略の策定(2003年10月)」などの法整備が進んでいる。
 このように、ネットワークに襲いかかる様々な脅威から、地域・経済活動の中核となる「情報資産」を守るための本格的な取組みが、今、国を挙げて動き始めている。

遅れている日本のセキュリティ対策。早期の取組みが急務

 しかしながら、欧米に比べると、日本のセキュリティ対策は大きく遅れているといわれている。「情報セキュリティ総合戦略」の策定に当たった経済産業省は、日本のセキュリティ対策の現状について、「国や自治体の取組みが遅れているうえ、企業や個人の多くは(問題が発生してから対応する)対処療法的対応しか行ってこなかった」と指摘している。
 前述したように、企業にとってセキュリティ被害は、単に直接的な損失だけでなく、社会的信用の失墜や損害賠償責任などの事態を招き、経営そのものを揺るがしかねない大きな危険性をはらんでいる。そのような危機感を抱えながらも、これまで的確な対策をとることができなかったというのが実情である。(図5参照)。


    図5 企業の情報通信ネットワーク利用における問題点

 また、セキュリティ技術は、脅威の観点から「侵入防止、検知技術」「認証・暗号技術」「マネジメント技術」に大別される。これらの技術を活用してセキュリティ対策を講じるためには、専門的な知識や多種多様なシステムの導入が不可欠の条件となる。例えば、不正侵入行為やウィルス感染を防止するためには、ファイアウォールや侵入検知システム( IDS ; Intrusion Detection System)、アンチウイルスソフトなどの導入が必要になり、また、第三者が社員になりすまして無断で侵入する“なりすまし”や盗聴などへの対策には「認証・暗号技術」が必要である。しかも、構築したシステムを、適切に運用・監視し、定期的にその状態を監査・診断し新たな対策を講じていくと同時に、運用規程や業務管理規程などで、きちんとやるべきこと、やってはいけないこと、処理手順などを明確にしておくことで、はじめて様々な脅威から自らの「情報資産」を守ることができるのである。

情報漏洩問題など、ソーシャルエンジニアリングへの対応も不可欠に

 また、前述したように、企業の情報管理体制を問われる情報漏洩事件が多発していることから、情報セキュリティに対する社内での厳しい管理に加え、「ソーシャルエンジニアリング」対策が注目を集めている。ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの情報を、コンピュータを使用せずに盗み出す方法である。
 例えば、ネットワークの管理者や利用者などから、巧みな話術によってパスワードなどのセキュリティ上重要な情報を入手したり、パスワードを入力するところを後ろから盗み見たりするなど様々な方法がある。
 組織内部での機密情報の管理ルールが不完全だと、この手法によって容易に機密が漏洩してしまう。ネットワークから個人端末(デスクトップ/ノートPC)等にいたる網羅的な情報漏洩防止対策システムの導入に加え、組織全体の情報セキュリティレベルを低下させないためにも、すべての利用者にソーシャルエンジニアリングに対する適切な対策を心がけるように指導することが重要である。




「安心・安全・信頼」のトータルセキュリティサービスを展開

 近年の複雑、多様化するセキュリティ問題に対応する「セキュリティ対策の確立」には、やはり専門家のサポートが必要である。NTT西日本は、1980年代から取り組んできた暗号技術の研究開発などを通して培ったセキュリティ技術と、蓄積してきたネットワーク技術を駆使して、高度化、複雑化するセキュリティ問題やネットワークトラブルなど、様々なユーザの課題解決をサポートし、実情に即した高度なトータルセキュリティソリューションを提供している。
 NTT西日本は2003年に、社内におけるセキュリティレベルの向上を目指して、情報セキュリティシステムの国際標準規格「BS7799」及び国内標準規格「ISMS適合性評価制度」の認証を、西日本最大級の規模で取得している(2004年3月現在、同社ソリューション営業本部及び14支店で認証を取得済み。2004年度上期には全支店で取得予定)。社内のセキュリティ対策への取組みが、認証取得により、国内及び国際的な基準を満たしていることが証明されたといえる。次に、同社ソリューション営業本部が取り組んでいる内容を紹介する。

◆システムにおける取組み

・認証LANの導入によるネットワークへの端末接続制限

・個人端末と検証サーバの接続ネットワークの分離

・クライアント端末におけるウィルス対策ソフトの常駐

・資産管理ツールの導入による個人端末へのアプリケーション導入状況の管理

・メールの同報発信先の制限による情報漏洩対策の実施

・コンテンツフィルタリングソフトによるWeb閲覧先の制限

◆運用における取組み

・重要なサーバ(インターネット公開サーバ等)に対するセキュリティ診断の実施(四半期毎)

・セキュリティポリシーに基づく定期的な自主点検の実施

 こうした実績と経験を活かして、NTT西日本では、現在、「安心・安全・信頼」を基盤とする情報セキュリティ関連ビジネスを積極的に展開している。
 NTT西日本は、セキュリティレベルを最善の状態に維持するために、セキュリティポリシーの策定からシステム構築、運用・監視、監査・診断、そして新たな対策実施までの一貫した流れである「セキュリティマネジメントサイクル」(図6参照)をコンセプトに掲げ、トータルセキュリティサービスを展開している。サービス提供にあたっては、NTT西日本、NTTマーケティングアクト、NTTネオメイトのグループ3社の総力を結集し、ユーザの実情に即した高度なトータルセキュリティソリューションをワンストップで提供している。


      図6 「セキュリティマネジメントサイクル」の流れ

グループの総力を結集、地域密着型の体制できめ細かな対応を実施

 セキュリティ対策は、セキュリティポリシー策定やセキュリティ監査、社員教育などのソフト的な対策から、データの暗号化や電子認証などのシステムの構築を中心としたハード的な対策まで、一貫した「セキュリティマネジメントサイクル」を構築・維持し、日々タイムリーなセキュリティ対策を実施していくことが必要である。このためNTT西日本では、表1に示すようなセキュリティサービス提供戦略に基づいて、2003年11月にNTT西日本、NTTマーケティングアクト、NTTネオメイトの3社内に「セキュリティサービス推進室」をそれぞれに新設し、2004年4月現在でNTT西日本グループの総力を結集した1,200人規模の体制を確立している。「何かあればすぐ駆けつける」地域密着の体制で、専任の技術者や販売担当者が企業や自治体を直接訪問して課題解決に向けたきめ細かな対応を実施している。


     表1 NTT 西日本のセキュリティサービス提供戦略

 NTT西日本グループのトータルセキュリティサービス提供体制を以下に示す(図7参照)。

1. NTT西日本

 NTT西日本は、本社ソリューション営業本部に約30 名体制の「セキュリティサービス推進室」を設置し、NTT西日本グループのセキュリティビジネスを統括・推進している。さらに、「セキュリティサービス推進室」を全支店で約270名の体制で設置し、セキュリティポリシー策定などのコンサルティング活動を含む、高度なセキュリティサービスを提供できるよう地域密着型の営業体制を強化している。

2. NTTマーケティングアクト

 NTTマーケティングアクト及び地域NTTマーケティングアクト各社は、総勢で約300名の人員からなる「セキュリティサービス推進室」を設置し、中堅・中小規模のユーザに対し、きめ細やかにセキュリティサービスを提供できるよう営業体制の強化を図っている。

3. NTTネオメイト

 NTTネオメイト及び地域NTTネオメイト各社は、総勢で約600名の人員からなる「セキュリティサービス推進室」を設置し、セキュリティシステムの構築、セキュリティ診断などの保守・運用業務をNTT西日本と連携して実施している。具体的には、各地域の「お得意様サービスセンタ」にセキュリティの運用・監視系サービスのお客様窓口などを設置し、地域密着型でセキュリティサービスを提供している。さらに、今後需要の拡大が見込まれる高度なセキュリティの運用・監視系サービスを西日本全域で提供するため、NTT ネオメイト関西に「セキュリティサービスセンタ(SSC)」を新設し、体制強化を図っている。


  図7 NTT 西日グループのトータルセキュリティサービス提供体制

 こういったサービス提供体制によるきめ細かな活動は、NTTグループならではの高度な技術力に裏付けられている。認証技術や暗号方式の研究では世界でも最高レベルにあるNTT研究所や、さまざまな事業を展開するグループ各社とも密接な連携を図り、ユーザ個々の課題に応じた高度なトータルセキュリティサービスの開発・提供に努めているというのが大きな強みだ。
 さらに、NTT西日本のもう1つの強みは、企業系列を問わない中立的な立場で、専門的な技術やノウハウを有するグループ以外の企業の資源を有効に活用するといったマルチベンダー性にある。セキュリティベンダーやメーカーなど最適なパートナーとのアライアンスにより、高度化・多様化するお客様ニーズに的確に対応している。すでに、2003年7月には、セキュリティ監視分野におけるサービスの拡充を目指し、情報セキュリティ分野で高度な技術を有する(株)ラック、世界規模でセキュリティ関連機器を幅広く取り扱う住友商事(株)と業務提携し、「総合セキュリティ監視」「セキュリティ情報提供」「セキュリティホールチェック」の3つのサービスを提供。また本年1月より、綜合警備保障?との協業による先進のITとフィジカルセキュリティを組み合わせた「ビル施設向けセキュリティソリューション」を共同で展開している。
 このようにNTT西日本は、充実した営業体制と高度な技術力をベースに、企業アライアンスによるソリューション展開も含め、セキュリティマネジメントサイクルに基づくトータルなセキュリティビジネスを積極的に推進している。

NTT 西日本グループのセキュリティソリューション

 NTT西日本グループでは、情報システムに必要なセキュリティを8つのセキュリティソリューションに体系化し、あらゆるセキュリティの脅威に対応するラインアップとしている。(図8参照)


   図8 NTT 西日本グループのセキュリティソリューション体系

 「安心・安全・信頼」な企業活動を全面的にサポートするため、ウィルス防止や不正アクセス対策など電子的なセキュリティ対策、情報リテラシー低下による情報漏えい対策だけではなく、メディアの盗難や建物侵入などのオフィスレベルでの対策、そして、ネットワークの品質低下による業務効率の低下対策までをセキュリティソリューションの範囲として体系化していることに特徴がある。

・ウィルス対策ソリューション

 コンピュータウィルスによる被害を受けないための事前対策(最新セキュリティパッチの適用等)、監視・事後対策(アンチウィルスソフトにて検知・駆除等)をユーザのシステム環境にあわせて提供。

・不正アクセス対策ソリューション

 外部からの不正なデータアクセスやシステムダウンを狙った攻撃に対応するため、ファイアウォール、IDSの導入や運用監視、現状のセキュリティ状況を把握する診断などを提供。

・ポリシー策定ソリューション

 組織全体のセキュリティ対策方針の策定や、システム全体のセキュリティ監査を提供。

・セキュリティ教育ソリューション

 社員育成のためのユーザ向け出張セミナーやWebを利用したセキュリティeラーニングを提供。

・認証ソリューション

 本人認証の強度を高める認証VLAN、バイオメトリクスによる端末認証などを提供。

・IT資産管理ソリューション

 社内の個人端末の管理を行うシステム構築、PCの廃棄時などで情報漏えいを防ぐハードディスクの内容消去を提供。

・ビルセキュリティソリューション

 ICカードや指紋認証などによる入退室の管理や、ネットワークを利用した映像監視を提供。

・ネットワーク品質改善ソリューション

 ユーザネットワークの安定運用のための、トラフィック診断やサーバ等への負荷試験を提供。




6町合併に向けた情報基盤となる地域イントラネットを構築

 2004年度に、合併により兵庫県内で新たな市に生まれ変わるA自治体。複数町合併に向けた新たな市の行政や防災システムなどの事業運営基盤が、高速大容量の光ファイバでネットワーク化した「地域イントラネット」である。これは、NTT西日本が、A自治体に対し、ネットワークの信頼性や安全性に重点を置いた地域イントラネットの構築を提案し、採用されたのを受けて、市内教育委員会と共同で構築したもの。
 本年2月に完成した地域イントラネットは、行政の基幹系ネットワークと職員が利用するインターネットや市民への行政サービスを提供するための情報ネットワークの2系統からなり、バックアップルートの確保、NTT西日本ビルへの通信設備のハウジングなど、セキュアなネットワークとなっている。この4月からは、この地域イントラネットを活用し、図書蔵書検索や公共施設予約、小・中学校でのeラーニングなどの新たなサービスが町共同で稼動開始している。

組織全体でのセキュリティ対応に向け、ポリシー策定・運用を支援

 地域イントラネットの構築は、安
全なネットワーク活用環境で、住民サービス向上や行政事務の効率化を図ることが目的である。このためNTT西日本では、ネットワーク構築と併せて町職員のセキュリティ意識の向上を図るとともに、LGWANへの接続や、県全域を網羅する兵庫県情報ハイウェイを経由した霞ヶ関WANへの接続要件をクリアするセキュリティポリシーの策定に力を入れて取り組んだ。
 NTT西日本では、A自治体と共同でセキュリティポリシーを策定するとともに職員へのセキュリティ教育や安全マニュアルの作成など、職員一人ひとりのセキュリティ意識の向上に取り組んでいる。
 合併後の新しい市の情報基盤として、今回NTT 西日本が構築した地域イントラネットの果たす役割は極めて大きいといえる。




 セキュリティの脅威は絶えず複雑
化・巧妙化しており、今日有効な対策が明日も有効である保証はどこにもない。セキュリティ対策に終わりはなく、常にリスクを最小化するための取組みの見直しを図っていくことが重要だ。NTT西日本のトータルセキュリティビジネスの今後の展開について、セキュリティサービス推進室の岡本充由室長は次のように述べている。
 「西日本各地に設置した推進室を中心として、きめ細やかなface to face での対応を実施していきます。
 お客様のサポートを通じ、お客様への企業価値を高め、さらには豊かな社会の実現に向けたセキュリティサービスへの取組みは、NTT西日本グループに課せられた使命と受け止め、今後も『安心・安全・信頼』のトータルセキュリティソリューションの提供にグループを挙げて取り組んでいきます。」
 企業経営をセキュリティ面からも支えるNTT西日本グループの活動に注目が集まる。


 

 


Copyright:(C) 2004 BUSINESS COMMUNICATION All Rights Reserved