大きな予算を組んで堅牢なSecure Networkを構築しても、設計時のちょっとしたミスや試験の不足、運用時の見過ごし、慣れ等で、一点破壊が簡単に発生するのがネットワークセキュリティーの恐さです。設計者の腕の良さ、経験、視点、センスに大きく左右されます。社内の担当者や外部業者の選択をよほど慎重に行わなければならない所以です。
私たちがお客様のネットワーク・アセスメントを進めますと、例えば、InternetのパブリックIPアドレスをそのまま社内ネットワークで使用しているもの、ルーティングプロトコルの必要性が希薄なところにEIGRPがインプリメントされているもの、IPベースのWindows Networkを作りこんでいるのにNetBEUIやIPXが飛び交っている等々、どうにも首を傾げざるを得ないネットワークに直面することがしばしばあります。
IPの概念を実は掴んでおらず無駄なルーティングを放置するCCNA技術者、携帯PCのダイアルアップ接続にNetBIOSをバインドしたまま平気なMCP技術者、パスワード無しで個人所有のノートPCの社内ネットワーク接続を許してしまうシステム・インテグレーター、PCの管理者権限が与えられないのは不当だと主張する社員、自分の会社には不運は起きないだろうと思い込んでいる企業経営者が多数存在しているのが現実です。
今日、情報セキュリティーは企業に対する社会的な要求(CSR: Corporate Social Responsibility)となっています。ポリシーの策定、事故時の対策計画、定期的な試験・診断、運用マニュアルの作成から始まり、技術者達のちょっとした気配りの集合を企業のセキュリティーポリシー細論に取り組み、文書化、全社員に周知徹底させることが要求されます。
BS7799というイギリスのスタンダードがあります。企業の情報セキュリティーを高く保持するためのガイドラインとなるものですが、”PDCA” という4フェーズの基本アプローチを推奨します。まず計画・設計し(Plan)、実際に行動・インプリメントを行い(Do)、結果を分析し(Check)、誤りや弱い所を強化・訂正し(Act)、かつ次のPlanフェーズに繋げる。この繰り返しです。
企業のセキュリティーの大きな部分と技術的な細部、両者をバランス良くコンサルティングし、デザイン、導入、運用までお手伝い致します。