ITインフラの複雑化を乗り越えるには

2016年2月4日

情報システムを開発する際の主な目標は、シンプルさ、効率性、セキュリティであるべきだと思いますか?答えが「はい」ならば、複数の調査(英語資料)が示すとおり、大半の企業ユーザーがあなたに賛同することでしょう。実際、先日実施された情報リスクに対する考え方の調査では、ITスペシャリストの4人に1人(24%)が、ITインフラが徐々に複雑さを増していることを懸念し、この傾向をセキュリティに対する脅威と見なしていました。回答者は、インフラが複雑になればなるほど管理が難しくなり、サイバー犯罪者が企業ネットワークの境界線を突破する可能性が高まると考えています。

1000

複雑化を増すITインフラ

企業の成長に伴い、新しい要素が取り入れられ、企業ITインフラも拡大します。たとえば、モバイル技術の導入によって、社員はオフィス以外の場所で働けるようになり、ビジネスの柔軟性が高まりましたが、その一方で、インフラにはさらなる負担がかかるようになりました。新入社員が個人所有のデバイスを職場に持ち込んだら、企業側はそのモバイルデバイスを企業ネットワークに組み入れ、セキュリティを確保しなければなりません。デバイスを暗号化し、セキュリティ証明書付きの専門的なメールアプリケーションを用意する必要があるでしょう。さらに、セキュリティエージェントを配備して、セキュリティソフトウェアを定期的に更新するためのリモートアクセスを準備し、セキュリティポリシーを強化し、万が一デバイスの紛失や盗難が発生した場合にはデバイスをブロック、または機密データを消去できるようにしておかなければなりません。

仮想システムを使用する場合にも、セキュリティを考慮する必要があります。物理コンピューターに依存しないワークスペースを確保することにはさまざまな利点があり、たとえばハードウェアの不具合に対する防御が強化される、更新を迅速に行える、管理が簡略化される、などが挙げられます。しかし、サイバー攻撃は増加の一途をたどっていますし、仮想環境は物理的なマシンと同様に、メールの添付ファイル(「スピアフィッシング攻撃」など)やドライブバイダウンロードを通じて入ってくるマルウェアや、ボットネットを構成するトロイの木馬やワームに対して脆弱です。したがって、仮想インフラも保護する必要があります。

新しいものが導入され、情報システム内に要素が増えるにつれて、脆弱性も増加します。そのため、ビジネスプロセスの複雑化に合わせて、ITインフラ管理の中にセキュリティツールを組み込んでいかねばなりません。中堅・中小企業のITスペシャリストは概して日常的な業務や要求事項への対応に追われ、情報セキュリティの管理にかけられる時間は1週間に15分程度である、とKaspersky Labでは見ています。言うまでもないことですが、セキュリティには組織的に取り組まなければ、影響を和らげるのに何日もかかるようなインシデントが発生するのは時間の問題です。

では、こんな堂々巡りをやめて組織的な取り組みを始めるには、どうすればいいでしょうか?まず、信頼性が高い包括的なソリューションを選んで、ITインフラを保護しやすくする必要があります。市場では多種多様なセキュリティソリューションが提供されているので、自社のニーズに適したものが見つかることでしょう。適切なセキュリティソリューションとは、各種オペレーティングシステムに対応したデバイスセキュリティ、トラフィックフィルター、ソフトウェア更新などのツールが用意されているものです。使用するソリューションを決定したら、次にスペシャリストと共に取り組みを開始します。インフラが複雑になればなるほど、セキュリティの管理には高いレベルの専門知識が必要になります。情報システムを管理するために、適切なスキルを持った専門家をチームに加えるか、ITに関する深い専門知識を持ち、緊急対応が可能なサードパーティーパートナーと契約しましょう。また、緊急時の対応を常に計画しておくことも重要です。

ITインフラの管理

ITインフラの管理には2つの方法があります。1つは、管理作業をすべて社内で行う方法です。ITのプロの中には、これが事業のプロセスを完全に自動化し、適切なセキュリティを確保する唯一の方法であると信じている人もいます。しかし、ここで気をつけたいのは、ITを自社で管理することにした場合、必ず人件費が発生するということです。多くの場合、インフラを日常的に運用し、リスクや変更の管理を実施するために、高度な専門知識を持つITエキスパートのチームを使うことになります。

もう1つは、専門業者に作業を委託するという方法です。外部のIT管理のプロは通常、タスクの実行に優れた能力を発揮しますが、このようなプロを直接雇用するにはおそらくかなりの費用が掛かるでしょう。

どちらの方法が効果的かは、事業の性質に左右されます。たとえば、個人経営の自動車販売代理店なら、ITインフラの大半を第三者に外注し、自分で行うのは日々の業務について前もって決められた多少の作業だけにしたいと考えることでしょう。この場合、社内でインフラ全体を管理するのには相当な費用が掛かりますが、管理会社に外注すれば、有利な取引条件と質の高い専門知識が得られます。

一方、複数の支店を抱える商業銀行は、社内に組織したエキスパートのチームか、またはITアウトソーシングに特化した外部組織を通じて、自社のインフラを維持すると良いでしょう。インフラを直接管理すれば、銀行内部と外部の境界線のコントロールを強化し、サイバーインシデントのリスクを軽減しやすくなるかもしれません。しかし、外部のプロに管理を委託することにより、銀行の支店ネットワーク全体に広がる大規模なITインフラの維持管理にかかる費用を節約できる可能性もあります。

自社でITを管理すると決めた場合は、高度に専門的なITのエキスパートのチームを雇用し、インフラの日常的な管理だけでなくリスクや変更の管理を実施させるには人件費がかかる、という点に留意しましょう。

どちらの場合も、IT管理のニーズの観点だけで決定すべきではありません。どんな企業でも、企業としての価値と顧客データベース所有者としての価値があることから、サイバー攻撃の標的となる可能性があります。サイバーセキュリティを考慮することは、管理を考慮することと同様に重要です。

企業が所有するITインフラの情報セキュリティ

自社独自のITインフラを持つことを選択した場合は、円滑な運用を維持する能力を持つスペシャリストチームを編成することが肝要です。社内の人員で構成されるチームでも構いませんし、外注チームにこのタスクを割り当てる選択もあります。このチームに、次の点を盛り込んだインフラのセキュリティプランを立ててもらいます。

  • 社有コンピューターへのアクセスをどのように保護するか
  • データをどうやって暗号化するか
  • 社員が退職したときには、どのようにそのアカウントを無効にするか
  • 通信チャネルと仮想ワークステーションをどう保護するか
  • デバイスの紛失や盗難が発生した場合に、機密データがサイバー犯罪者の手に落ちないよう、社員のモバイルデバイスを保護することは可能か

これらの点が網羅されれば、企業ITシステムは複数の側面からしっかりと保護されていると考えてよいでしょう。

外注ITインフラの情報セキュリティ

インフラの外注先を決める前に、その会社のセキュリティプロトコルおよび以前のプロジェクトの結果をチェックしましょう。次に、上記同様、外注先候補へITセキュリティについて以下のポイントを確認します。

  • インフラの保護にはどのようなITセキュリティツールを使っているか
  • ネットワークのステータスをリモートで監視することはできるか
  • 通信チャネルはどのように保護されているか
  • データのバックアップはどのような手順で行われるか
  • バックアップコピーからのデータ復元はどのような手順で行われるか
  • 基本的なデータとバックアップデータのストレージは、それぞれどのように保護されているか
  • 社員にはどのようにITセキュリティ教育を行っているか。ソーシャルエンジニアリングを侵入手段に使用するサイバー攻撃を阻止するために、非常に重要なポイントです

また、スタッフにITコンサルタントが1人でもいれば、外注業者と同じテクニカルな言語を話せるので、技術的な問題をより速く伝えることができます。これらの確認ポイントに対する外注先業者候補の回答から、その業者がインフラの効率的なパフォーマンスとサイバー犯罪者からのデータの保護の両方を確実に行う準備があるかどうかがわかります。

ITインフラは組織の原動力ですが、モバイル、ビッグデータ、BYOD、クラウド、顧客中心主義などのトレンドにより、システムにかかる負担はますます大きくなります。多くの企業はこれに対応するため、コンピューティング、ネットワーク、データストレージのさまざまな面を1点に集中し、インフラをクラウドに移動するか、または外注しています。新しいものが1つ開発されるたびに、対応が必要なセキュリティ上の脆弱性が新たに生まれます。今のうちにITインフラのセキュリティを整えて、将来に備えましょう。