| 4.情報セキュリティ・コンサルティング
多くの企業は、情報セキュリティ手続の一環として、各種の技術製品やツールだけでなく、第三者機関のコンサルティング・サービスも利用している。コンサルティング・サービスを提供する機関には、情報セキュリティを専門とする小規模の企業から、多国籍級のコンサルティング機関やシステム・インテグレータのセキュリティ部門まで、様々な種類がある。実施されるサービスの種類は、各社ごとにそれぞれであるが、一般には、次のようなサービスが代表的である。
◆ IT資産アセスメント(保護する必要のあるIT資産の現状を整理し、それぞれのビジネス価値を評価することで、適切なセキュリティ対策が立てられるようにする。)
◆ 既存の情報セキュリティ技術アセスメント(企業が現在使用しているセキュリティ・メカニズムを技術的見地から分析し、有効性を判定する。)
◆ セキュリティ・ポリシー作成(顧客企業のスタッフと連携しながら、適切な情報セキュリティ・ポリシーを作成する。)
◆ セキュリティ手続決定(企業にとっての効果的なセキュリティ対策の全体像と、利用するツールやメカニズムを決定する。)
◆ エンタープライズ・セキュリティ・システム構築(上記で定めたセキュリティ手続に即して必要なメカニズムを設置し、全体的なセキュリティ・システムを構築する。)
◆ 非常事態対応(ITシステムへの不正アクセスなどの事態に直面した企業に出向き、調査・復旧などの対応を行う。)
◆ バルネラビリティ・テスト(顧客企業のITシステムに関する予備知識を特に持たない技術者がハッカーを模した攻撃をかけ、現行のセキュリティ体制の有効性・問題点を検証する。)
ほとんどのコンサルティング機関は、いくつかのサービスに的を絞っている。例えば、中小企業向けコンサルティングを専門とするルーアク(Luhrq)は、ファイアウォール、セキュリティ・ポリシー作成、バルネラビリティ・テストなどを得意としているほか、顧客企業ネットワークの遠隔モニターも手がけている。また、DECのセキュリティ・サービス部門は、インターネットに関するセキュリティ評価やセキュリティ・システム設計などを請け負っている。石油エンジニアリング企業のシュラムバーガー(Schlumberger)は、子会社オムネス(Omnes)を通じてセキュリティ監査サービスを提供している。
V.情報セキュリティに関するリソースと教育機関
米国にはこれまでに述べてきた中にもあるように、コンピュータ・セキュリティ問題の解決支援などに取り組む、コンピュータ危機対応チームなど多くの団体・組織が存在する。ここでは、主要な第三者機関の概略を紹介する。
CERT/ CC(Computer Emergency Response Team Coordination
Center:コンピュータ危機対応チーム・コーディネーション・センター)(www.cert.org)
コンピュータ・セキュリティ攻撃に悩む産業界に保護のための専門技術を提供し、支援する緊急問題対応チーム。現在、コンピュータ・セキュリティ業界で次々に結成されつつある各種セキュリティ対応チームのモデル的存在。88年に国防先端研究所(DARPA)によってカーネギーメロン大学内に設置され、現在も政府の助成により運営されている。
COAST(Computer Operations Audit and Security Technology:コンピュータ作業検査安全技術チーム)(www.cs.purdue.edu/coast/)
インディアナ州のパーデュー大学が92年に始めた、コンピュータ・セキュリティ保護のための長期研究プログラム。セキュリティ保護のための新技術開発とセキュリティ問題への啓蒙に力を入れている。民間のスポンサーなどが資金提供を行っている。
CSI(Computer Security Institute:コンピュータ・セキュリティ研究所)(www.gocsi.com)
74年設立で、今年25周年を迎えるコンピュータ・セキュリティ問題の専門研究機関と最も歴史ある国際的な会員制機関。コンピュータ・セキュリティ問題に関する調査研究に加え、セキュリティ保護のためのコスト効率が良く信頼度が高い各種アプリケーションの啓蒙のための各種セミナーやワークショップの開催、各種出版物の提供等を行っている。前号にも述べたように、FBIの委託を受けて毎年行っている「コンピュータ犯罪とセキュリティ調査」は既に3回を数えている。
FedCIRC(Federal Computer Incident Response Capability:連邦コンピュータ問題対応能力チーム)(fedcirc.llnl.gov)
連邦政府各機関を対象にコンピュータシステムやネットワーク・セキュリティなどの各種問題を取り扱う問題対応チーム。96年、NIST、CERT/CC、CIAC(Computer
Incident Advisory Capability;エネルギー省のセキュリティ問題対応チーム)の3機関が協力し、NIST内に設置され、政府予算にて運営されている。
FIRST(Forum of Incident Response and Security Teams:問題対応フォーラムとセキュリティチーム)(www.first.org)
コンピュータ・セキュリティ関連問題に対して共通の関心を持つ、セキュリティ問題対応チームの国際コンソーシアム。FIRSTの主な目的は、実際にセキュリティ問題に携わる担当者らの議論を助け、情報セキュリティ対策の質を向上させる点である。88年に設立され、当初は米国機関中心だったが、現在は世界各国からの参加が増え、会員数は約70となっている。
ICSA(International Computer Security Association:国際コンピュータ・セキュリティ協会)(www.ncsa.com)(旧NCSA)
独自開発の「ICSAリスクフレームワークモデル」を通じて、セキュリティ・プロダクトの認証を行うことを中心とするサービス提供機関。クライアントの会員数は3万以上であり、フォーラムやセミナーなどの開催を通じ、情報セキュリティ問題や傾向などの情報を提供している。
MCA(Manhattan Cyber Project:マンハッタン・サイバー計画)
(www.warroomreserch.com/MCP/)
上院の政府活動委員会継続調査小委員会が96年に行った公聴会をきっかけに、ウォールーム・リサーチ社が委託を受けスタートした、コンピュータ犯罪への対応策について啓蒙するアウトリーチ活動。この活動を継続するため、非営利団体のサイバースペース研究教育センター(Cyberspace
Research & Education Center)が97年末に設立され、既にセキュリティ問題についての講演会開催などの活動を始めている。
終わりに
以上、2回に亘って、米国の情報セキュリティの現状について、特に不正アクセス問題への対応を中心に述べてきた。米国もまだ取組みの途上であるが、サイバーテロリズムに対する真剣な取組みについては、日本も見習うべきところがあろう。東京は世界一安全な都市かもしれないが、サイバーテロリストから見れば、世界一狙い易い都市なのかもしれないのだから。情報セキュリティ問題の範囲は広く、エレクトロニック・コマースの促進を考えるとき、認証やプライバシー保護なども緊急に解決すべき課題となっている。これらについての米国の取組みについては、また別の機会に報告することとしたい。
|
