2016年07月14日 08時00分 UPDATE
特集/連載

Computer Weekly製品ガイドリスクと生産性のバランスを保つアクセスコントロールの実現

最高情報セキュリティ責任者は、流動性の増大という状況に直面している。ITシステムの管理に、このダイナミズムを反映する必要がある。

[Cliff Saran,Computer Weekly]
Computer Weekly

 現代のビジネス環境はもはや、物理的にもロジック的にも切り離された静的で自己完結型の領域ではなくなった。

Computer Weekly日本語版 7月6日号無料ダウンロード

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 かつては、増え続けるサーバやアプリケーションへのログインは単一のドメインを通じて処理された。いったん認証が完了すれば、ユーザーは自分が許可されたどのシステムやアプリケーションにでもアクセスできた。だがThe Security Instituteのサイバー研究・セキュリティ担当ディレクター、マイク・ギルスピー氏によると、このやり方はもはや適切ではなくなったという。

 「数年前から労働者の多様化とモバイル化が進んだ。われわれはそうした変化に伴う新たなニーズに対応するため、柔軟性が高いITシステムを採用してきた。それがモバイル端末であろうと、オンラインやクラウドサービスであろうと、バックエンドサービスへのリモートアクセスであろうと、アクセスコントロールに関する限り、そうした全てが一層困難な課題を突き付けている」(ギルスピー氏)

 つまり最高情報セキュリティ責任者(CISO)にとって新たな課題が浮上する。「どこに情報を保存しようと、その情報にアクセスするニーズがどこにあろうと、その資産が適切に理解され、評価され、必要性に応じてアクセスされるよう、情報資産保有者(IAO)がアクセス制御ポリシーの策定にかかわることが肝心だ」とギルスピー氏。アクセスに使う端末が適切なレベルのセキュリティを提供できるかどうかをIT部門が把握することも大切だと同氏は言う。

 「人とその行動はセキュリティに重大なリスクをもたらす。アクセスも例外ではない。ユーザーは何かが不便だと見なすと、自分がリスクを増大させていることを理解しないまま、それを迂回(うかい)する方法を探そうとする。リスクに関するユーザー教育は非常に重要だ」とギルスピー氏。

弱いパスワード

 Information Security Forum(ISF)の主席アナリスト、マキシン・ホルト氏が指摘する通り、ITセキュリティ機能は相当数の人やシステムに対応しなければならない。ITシステムが社内のみで関係することはまれで、対象は従業員だけでなく、パートナーやサプライヤー、顧客が含まれることもある。CISOはまた、ビジネスが使うクラウドサービスに求められるアクセスや認証条件についても考慮する必要がある。だが単純にパスワードのみに依存するという選択肢はない。

 ホルト氏は言う。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news116.jpg

セブン&アイ・ホールディングス社長 井阪隆一氏らが語る「顧客の時代」
本稿では「Salesforce World Tour Tokyo 2017」から セブン&アイ・ホールディングス 代...

news091.jpg

グランドデザインの「Gotcha!mall」がDMA国際エコー賞を受賞
グランドデザインは、同社のスマートフォンオムニチャネルプラットフォーム「Gotcha!mall...

news088.jpg

コムニコマーケティングスイート、Instagramアカウント分析機能を拡張
コムニコは、ソーシャルメディア運営支援ツール「コムニコマーケティングスイート」のIns...