企業のITセキュリティ未来像

情報システム室に席を置いている者です。
会社のインフラの再構築を（物理的、技術的対策）検討しています。
ネットワーク、サーバまた、入退管理等の最新技術への対応を行っても
次から次に新しい技術がでてきます。
対策をしてもなかなか追いつかない気がしますが、
今後も使えるセキュリティ対策を施したシステムにするように
命令が下ってます。

セキュリティ対策として、間違ったプロダクツを選択してしまうと
今後システムインフラの全面変更を余儀なくされる等をなくし、無駄を
省くのが狙いです。

企業が進むべき（？）または、参考とすべきセキュリティ対策の未来像（５年後位）を紹介している雑誌、HPなど等どのようなものでも結構です。ご存知でしたら、教えてください。

No.4 回答者： nickn123 回答日時： 2007/02/19 23:43

#2です。

ご苦労さまです。
そうですね。情報セキュリティEXPOに連れて行くのは一つの手だと思います。
いろんなシステムが展示されているので、選べない事が分かるのでは？
（対象を限定できていなければ、何でもかんでも導入するしかないと言う事が分かるのでは？）

実際にセキュリティシステムを導入する際には、#1さんのおっしゃる通り、「守るべきモノ」を明確にする事が最初の一歩ですので、その様な事を言ってくれる講演なりセミナ－なりに上司を連れて行くのが良いかと。。

ついでに１つ。何らかのシステムを導入するのであれば、対象となる情報が生成されてから削除されるまでの全ての期間に対応したシステムが良いかと思います。

No.3 回答者： noname#25230 回答日時： 2007/02/19 18:02

No.1です。

なるほどねぇ。ご苦労なさっているようですね。

一度、セキュリティ関連の展示会などに、その上司の方もつれて言ってみられてはどうでしょうか？そこで、専門の業者に同じ質問を「その上司にぶつけさせる」のです。

あなたが疑問に思ったり、今ひとつ自信が無くて言えないようなことも、その場でズバッと言ってくれると思いますし、具体的なソリューションの場合だと、金額や導入コスト、長期的なメンテナンスなどの視点からもアドバイスをくれると思います。
近いところだと、たしか5月にソフトウェア開発環境展と一緒に、情報セキュリティEXPOがあります。
http://www.ist-expo.jp/
これなどに行ってみられてはどうですか？

No.2 回答者： nickn123 回答日時： 2007/02/16 21:40

＃１さんの意見には、すごく賛同します。

技術的な面で言えば、今後も新技術は続々と出るでしょうし、未来像を明確に予想できる人もいないと思います。したがって、答えはないのですが。。
ただし、将来に対する有効な投資としては、体制の確立や社員教育などがあります。
何もモノを導入することだけが、セキュリティ対策ではありません。個人的には、セキュリティに対する意識・知識を会社全体でUPすることが一番だと思ってます。

この回答への補足

回答ありがとうございます。

まったくその通りだと思います・・・。
上記のような説明で頑固じいさんを納得させられれば最高ですが。
また、納得させるように説明することも仕事だと思いますけどね。

セキュリティ概論は抜きにしてインフラやそれらに
対するセキュリティの空想や理想図を紹介しているものって
ないですか？（もちろん納得できるレベルで）

今、考えているのはどっかのベンダーの
「○○の考えるXXの最新ソリューション」みたいなのに
参加して、とりあえず資料を片っ端から集めてみようかな
と思ってます。

補足日時：2007/02/16 22:57

No.1 回答者： noname#25230 回答日時： 2007/02/16 18:01

うーん、とりあえず、「情報セキュリティアドミニストレータ」とか「テクニカルエンジニア(情報セキュリティ)」等の資格参考書を1冊読んでみられてはどうですか？そういった本の序盤に書いてあることですが、「何から何を守ろうとしたいのか？」ということなくして、情報セキュリティについて動き始めるのは無意味です。

たとえば、あなたが守るべきモノが「広大な畑の作物」であった場合(極端な例ですが)と、「重要書類の入ったキャビネット1つ」であった場合と、どちらにも対応できる「最新技術」は無いと思います。

新しい技術を用いた「守るべきモノ」が新規に導入されれば、それに合わせた「守る手段」を検討する必要がありますが、通常の職場であれば、そうそう簡単に「今まであるモノ」を最新のものに置きかえることは有りません。

いわば生命保険と同じです。「家を買った」「結婚した」「子供が生まれた」など、守るべきモノや必要なお金の量が変わったときに保険を見直すのは良くあることですが、「新しい保険が出た」というイベントで保険を見直すのはばかげていますよね。新技術が出たからといって、それをむやみに導入するのがベストかといえば、そうではありません。

セキュリティも同じで、まずはあなたの会社が脅威と考える対象と、それから守る「情報資産」を明確にし、過剰なインフラ投資をしなくてよいように範囲を絞りましょう。その中で、最新のものを使うか、むしろ「長年使われて安定している」ものを使うか、といったことを考えるべきです。

というわけで、求められている回答とは違うかもしれませんが、私の答えは「まずはセキュリティの基本を。そのためには判りやすい入門書がお勧めです。そして、あなたの会社がどこを目指しているのかを見極めた上で、もう一度同じ疑問について考えてみませんか？」です。

この回答への補足

丁寧な回答をありがとうございます。
セキュリティの考え方は大変よくわかりました。

しかし、今回求めているものは、伝わりにくかったと
思いますが、
何でもかんでもセキュリティのトップレベルを目指すべく、
その絵を描く為の材料です。

さんざん局地的な対策をやってきた反省として、
今回の命令が下りました。

「理想の図」が描けていれば今後大きなシステムの後戻りや
再構築しなくてよくなるはずで、無駄が省けるのではないか？
というのが根拠らしいです。

「どこに」行きたいのか「何を」守るのかもない状態ですので
大変辛いのです。

ですから、ある人の妄想？や理想論だけでもいいので、
参考になるものがあるとうれしいなと思い投稿した次第です。

補足日時：2007/02/16 22:20