今日、「ESA(エンタープライズセキュリティアーキテクチャー)」というものを知った。企業の情報セキュリティを考えるときの、技術的な設計図だ。セキュリティで何をするべきか(What to do)ではなく、どんなふうにするべきか(How to do)という点に注目しているらしい。
と、いうわけで、このESAを理解し、春から取り組んできたセキュリティのいろいろな知識や考え方を1つに結びつけていきたいと思う。セキュリティ担当・美咲、今日、新しく生まれ変わります。
今回の企画部長のミッションは、会社全体のセキュリティを構築するための指針となるべきものをつかめ、というものなの。
私としては、セキュリティの技術とか、仕組みとか、G社の情報セキュリティ対策を実現するために多数のテーマを1つ1つ理解してきたつもりなんだけど、どういうことなのかしら。
美咲が第1回から取り組んできたのは、どれもG社のセキュリティ実現のための重要項目で、1つとして欠かせないのは確か。
でもね、企画部長は「企業全体」とか「技術的な基本方針」という言葉を使って話してなかった?
そうね。「大きな視点」や「投資効率」、「実装指針」などの言葉も口にしていたわ。
だったら、これまでとは違う視点からもセキュリティを見てみないか、と問いかけているのじゃないかな。
これまでとは違う視点? それって、どういうこと?
つまり、これまで学んできたセキュリティ対策は、言わば1つの“課題”に対する1つの“解答”みたいなものだったでしょ。
経営にかかわるマル秘文書だから、強度の高い暗号(第5回)を導入しようとか、会社の重要ゾーンへの入退室を監視・管理する必要が出てきたからフィジカルセキュリティ(第9回)を採用しよう、というものだよね。
それだといけないの? どれもビジネスに必要なセキュリティでしょう。
もちろん、それぞれの対策は企業セキュリティに必須の大事なものだよ。
だけど、そうした対症療法的な取り組みだと、別の問題が引き起こされるおそれもあるんだ・・・。
たとえば、どんな問題?
1つ例をあげると、セキュリティ対策の製品/サービスには、次から次に新機能や新技術のものが出てくるけど、それらすべてに対応するとしたら、どうなる?
情報システム部門の担当者だったら「いったいどこまでセキュリティ対策を行なえばいいんだ!」なんて思わず言いたくなると思うんだけど・・・。
すべてを取り入れていったら・・・、現場はたいへんでしょうね。トオル先輩やIT部門の人たちの睡眠時間は今以上に削られるかも(笑)。
かんべんしてね(笑)。それに、担当者の負担も大きいけど、お金もかかるでしょ。もう1つは、そのコストの問題かな。
企業のセキュリティ対策にかける費用には限りがあるから、当然、投資効果を考えた対策が求められる。
だけど、その場その場の対症療法だと費用の予測がつかないので、結果的に予算がオーバーしたり、逆に、スピーディな対応を必要とする事柄なのに「コストがかかりすぎる」という理由で却下される、といったことがあるんだ。
「トップの理解が得られない」のはツライし、「投資効果が見えない」ときは悩むよね。
それと、もう1つ加えると・・・。
まだ、あるの?
うん。もう1つは、システムのあれこれに対症療法的にセキュリティ対策を講じていくと、今はオープンシステムのケースが多いこともあって、以前に構築した製品とうまく連携できなかったり、そのために別のものを新たに導入する羽目に陥ったりするんだ。ホントはできるだけ共有したり、集約したいのに・・・。
システムや投資の重複というか、無駄でしょう。それから・・・。
了解。了解。すっごく認識して、理解して、納得しました(笑)。つまり、企業セキュリティは対症療法的ではなくて、全社的な視点から取り組むべき、ということだよね。うん!
アラ、最初の頃に「部分最適」や「全体最適」などの言葉を使って、似た話をしたような・・・。私が「セキュリティの魔法の杖がほしい(笑)」とか、「企業セキュリティの考え方の基準、設計図があったらいいのに(第1回)」と言ったのを覚えている?
それを、今は「セキュリティアーキテクチャー」という言葉で表現しているみたいだね。
「アーキテクチャー」というのは建築用語で、「建築様式」や「建築術」、「構造」などの意味だから、セキュリティアーキテクチャーだと「セキュリティの構築術」とか「セキュリティの設計方針」といったところになるかな。美咲の「セキュリティの設計図」もアリだね。
つまり、企業セキュリティには全社的な視点が不可欠なんだけど、その際の技術的な設計方針や方法をセキュリティアーキテクチャーと名づけて、それを、会社として確立しようと呼びかけているんだよ。
セキュリティの設計図か・・・。そうか。それが今回、企画部長が強調していた、企業セキュリティに対して、大きな視点や考え方の基準を持つということなのね。
今までの対症療法的なセキュリティ対策より、ホント、視野が一回り広い。うーん、なんか、新しい窓が開いたような感じ。
そうだね。セキュリティの魔法の杖だもの(笑)!
最初の頃に比べると、・・・成長したよ。
もう! ハイハイ。トオル先生のおかげです。トオル・さま・さまです(笑)。
ところで、セキュリティアーキテクチャーというのは、内容はどういうものなの? 具体的には、どうするの?
結論みたいなことを言えば、要するに、セキュリティの設計図、実装指針だから、それにあわせて企業セキュリティを導入・構築することで、統一的で整合性のとれたものになる。
それに、重複することもなく、企業に必要なセキュリティ要素を全部カバーするから、有効的なセキュリティ対策で、しかも効率的なセキュリティ投資ができる、ということだね。
セキュリティを上手に実装できたら、ムダなコストが少なくなって、投資効率が上がるというのが面白いわね。当たり前のような話なんだけど、そのための設計図って、なんか目からウロコの気分(笑)。
大きな視点から見るって、ここも含まれている?
正解! 花マルをあげましょう(笑)。
ありがとう。ウレシイ。
じゃあ、実際のセキュリティアーキテクチャーも見てみたいな。そういうのはないの?
「富士通のエンタープライズセキュリティアーキテクチャー(ESA)」という文書があるよ。企業セキュリティアーキテクチャーの集大成とも言えるもので、Webで公開されているよ。
内容的には、企業全体の視点から「認証」や「アイデンティティマネジメント」、「アクセスコントロール」などのセキュリティの基本要件をまず整理・標準化して、それぞれをどう選択するのか、どのような観点で組み合わせるのかといった設計方針から、セキュリティ機能実装のためのモデル、さらに運用や評価まで言及しているね。
ちょっと待って、富士通のESAサイトにアクセスするから・・・。
・・・ほんとだ。PDF版のダウンロードファイル【注】には、これまで勉強してきた項目がきれいに配置されている。
「セキュリティダッシュボード」なんて、知らない項目もある・・・。
あくまでも、実践的な技術指針を提供する、というところをベースにまとめられているから、セキュリティに関連する事柄すべてに目を配っているんだ。
今までにない、新しいタイプの企業セキュリティのガイドブックだよね。
私、しばらくこのESAをバイブルとか、教科書にしてみようかな。
なにか新しい発見が、私にもありそうな気がする・・・。
お問い合わせ
情報セキュリティに関するお問い合わせ
情報セキュリティに関する ご質問、ご相談、資料請求
