モダンを極める: IBM i セキュリティは、1度設定したら放置しておける時代ではなくなった
業務用アプリケーションの開発や保守に忙しく、慢性的な人員不足だけでなく構造的な人員不足にも悩まされているほとんどのIBM i のショップにとっては、セキュリティに関して行うことができる最も賢明なことは、諦めることです。
驚かれたでしょうか。両手を上げて、無条件に全面降伏する必要があるのです。
そうは言っても、サーバーのすべてのポートを開放し、ファイアウォールをオフにし、ランサムウェアやマルウェアの侵入を許してハッカーやフィッシャーにやりたい放題にさせるというわけではありません。「降伏」と言ったのは、これまでの考えを捨てる必要があるということです。ほとんどのIBM i のショップでは、こう考えていたのではないでしょうか。手持ちのツールもあるし、それなりに専門知識もある。それらをきちんと活用しさえすれば、ますます敵意が高まりつつあるこのITの世界においても、マシンのセキュリティは確保できる、と。こうした考えは捨てなければなりません。彼らは、支援が必要であることを認める必要があります。また、セキュリティをIT予算の欠かせない部分として捉える必要もあります。
平均的なランサムウェア侵害に伴うコストは460万ドルと言われ、そうした侵害からの復旧に伴うダウンタイムは数日から数週、場合によっては復旧できないこともあることから(セキュリティ侵害によって業務がまさしく機能停止に追い込まれた企業が何社もありました)、IBM i プラットフォームのセキュリティ(およびIBM i プラットフォームとやり取りを行うあらゆるクリティカルなシステムのセキュリティ)は最優先事項でなければなりません。そして、最優先事項であるからには、今すぐに着手する必要があります。
ここまでの道のり
様々な理由から、多くの人はセキュリティについては辟易しているようです。一定の対策は施されてあり、それらも機能しているため、何かをいじろうとすることに臆病になっているのです。IBM i オペレーティング システム内部で、Db2 for iデータベースで、あるいはセキュリティ境界(ファイアウォール、侵入検知システムなど)で、セキュリティの設定値に対して何か変更を加えた場合にどうなるかという専門知識がないためです。セキュリティは 1番の 懸念事項であるかもしれませんが、アクション リストの優先順位では、低い順位になっています。この新たな、セキュアでなくなっているコンピューティング、ネットワーク、およびインターネット環境では、何から手を付けたらよいか分からなくなってしまっているためです。人は、自分ができることを行い、できないことは先送りしておいて最善の結果を期待するものです。
これが、健全な戦略でないことは明らかです。セキュリティに関しては、特にそうです。そして、それは誰もが分かっていることでもあります。
しかし、いずれも恐怖の環境を煽ろうとしているわけではありません。それは、間違いなく、このコラムの趣旨に反することだからです。実のところ、セキュリティ分野のベンダーは、長年にわたって顧客の恐怖心を煽る戦略を取ってきたのですが、顧客に行動を起こさせる手段としては、あまり効果がなかったようです。OS/400およびIBM i プラットフォーム向けに出口点セキュリティを提供してきて20年以上になりますが、このテクノロジーを採用してもらえたのは、顧客ベースの10%未満でした。こうした戦略は機能しないのです。
では、どのようなことを行えるでしょうか。まずは、このコラムの冒頭で述べたことに戻ります。できる以上のことをやろうとしていることを認めて、支援を求めることです。それぞれの特有の状況で何を行うべきか正確に把握している専門家がいるのです。彼らは、システムのセキュリティ構築の支援を行いますが、(ここが重要なところです)協働してシステムのセキュリティの保守の支援も行うことができます。したがって、潔く諦めて、あとは専門家に任せるだけなのです。現在の環境では、誰が Target社のような目に遭ってもおかしくないということを、会社のオーナー、社長、または経営陣に納得させる必要があります。ハッカー脅威の指数関数的な増加を考えると、損害額は、2013年末にデータ漏洩の被害に遭ったこの小売りチェーン企業が被ったのと同じくらいの額になる可能性もあります。Target社の事件では、4,100万件のクレジット カード アカウントと1億1千万件の個人情報アカウントが盗み取られました。これにより、Target社のIT部門にとってだけでなく、フォーチュン500企業としての評価にも傷が付くこととなり、集団訴訟の和解金として1,850万ドル支払い、1年分の監視ソフトウェア データの開示を求められました。 2016年末までのデータ漏洩のコストの総額は2億9,200万ドルに上り、 CEOのGregg Steinhafel氏は辞任を余儀なくされました。そうしたコストの一部はサイバーセキュリティ保険でカバーされましたが、カバーされない部分もありました(そのような保険に入っていない場合は、すぐに入ることをお勧めします)。
不安を煽ろうとしているわけではなく、データを紹介しているだけです。そして、アプリケーションの出口点でセキュリティが設定されていない場合、IFS(統合ファイル システム)でセキュリティが設定されていない場合、サイバーセキュリティ保険に入っていない場合は、一刻も早い対処が必要だということをお分かりいただけたでしょうか。IBM i のショップは、プレミアムなシステムにはプレミアムな費用を厭わないと承知しています。そして、そうしたプレミアムなシステムの一部として(おそらくはサービスとして)、そろそろプレミアムなセキュリティもご入用ではないでしょうか。出費を抑えることができる対象は様々なものがあります(IBM i の顧客は倹約家でもあることはよく知られています)が、セキュリティは、もはや費用を出し惜しんでよいものではなくなっているのです。他のビジネスクリティカルなソフトウェアやサービスと同様に(ハイ アベイラビリティ クラスタリングが分かりやすい例です)、セキュリティ ソフトウェアのコストを大幅に節減できる、セキュリティの新たなライセンシング モデルが登場しています。それは、つい先日、Trinity Guard社およびセキュリティ コンプライアンス ソフトウェアのTGSuiteを買収したばかりのFresche社が発表したサブスクリプション モデルです。
では、何から始めたらよいのでしょうか。リスクに晒されている可能性があるシステムの領域を指摘してもらえる、セキュリティ リスク診断サービスを、無償で、最小限の投資で利用できます。セキュリティというのは、1度何かをすればそれで終わるというものではありません。診断を受けた後は、修正を行い、防御策を講じます。世界最大で、最先端の最もセキュアなIBM i のショップでも、モニタリングを実施し、最少の特権アクセス管理を適用しています(必要に応じて権限設定の調節も行っています)。こうした管理操作をより簡単に行える、様々なベンダー製のツールを利用することもできます。ただし、1度そうしたツールを使用して設定を行っても、やりっ放しにしてしまってはなりません。油断は大敵であり、セキュリティの監視および管理は継続して行うことが重要だからです。
以下の点は、非常に重要な点です。肝に銘じておく必要があります。様々なセキュリティ規制(GDPR、SOX、JSOX、PCI-DSS、HIPAAなど。アルファベット スープ ボウルはどんどん大きくなり続けるようです)に準拠しているからといって、必ずしもシステムとそのアプリケーションおよびデータがセキュアであるとは限りません。システムが規制に準拠していることが監査で確認されたからといって、必ずしもシステムがセキュアであると限りません。
まずは、 セキュリティ リスク診断を受ける ことです。これにより、現状を把握し、潜在的な脅威を確認できます。診断結果を基にして、セキュリティ計画を策定し、すぐに修正できる領域から取り掛かります。セキュリティ侵害やハッキングは、想定するだけでもひどく動揺させられるものがありますが、実施できる非常に多くの対策があり、それらの対策を実施することを通じて、現在の状況に可能な限り最善の結果をもたらすことができます。 これこそが、Fresche社のような専門家が力を発揮できるところです。
専門家からの支援を得ることで、本来の業務に集中することができるようになります。また、ビジネスクリティカルなシステムおよびデータを、信頼できる専門家に委ねていることから心配事やストレスも減り、夜中にトラブルで叩き起こされることもなくなります。翌日からは安定して充実した毎日を送れるようになるはずです。
