富士通エフサス

PROFESSIONAL 02
プロフェッショナルから紐解く技術力

高島 昌志 Masashi Takashima

サービスビジネス本部
インターネットセキュリティ推進部
1997年入社

安全・安心を司る門番の立場で、セキュリティ意識の向上を先導する。

prologue

インターネットを経由して行われる情報システムへの不正アクセスの脅威が、日増しに高まっている。近年は特定の組織内の情報を狙う標的型攻撃が蔓延し、企業や官公庁は重要な情報の漏えいを防ぐ対策に追われているような状況だ。顧客の情報システムの更改、運用、保守を担うエフサスも、安全・安心なICTを提供していく立場から、不正アクセス対策には以前からかなりの力を入れてきた。高島は、2003年からセキュリティ関連の専門部署を歴任。社内における第一人者としてプロフェッショナル認定を受け、頑丈なICTの提供に向けて社内のボトムアップを図っている。

ICTを提供する側に生じる、セキュリティに対する責任を背負う。

ネットワークエンジニアからキャリアをスタートし、ネットワーク導入の商談で現場への技術支援や、社内/社外のサーバーの運用管理業務などを担ってきた高島。転機は2003年に訪れた。サービスビジネス本部のセキュリティサービス部に異動し、社会問題となっていた情報システムへの不正アクセス対策に、本格的に取り組むことになったのである。
2005年からは現在のインターネットセキュリティ推進室に所属し、今も続くエフサスが顧客企業に納入するインターネットシステムのセキュリティ監査を担当するようになる。つまり、納入するシステムがセキュリティの面で安全かどうかを最新の技術でチェックし、お墨付きを与える役割だと言う。
「エフサスのICTに関するサポートサービスを評価するお客様は、当然のごとく安定して稼働する情報システムを期待します。外部の脅威にさらされる脆弱なICTを納入するわけにはいきません。セキュアなICT をお客様に提供することは、エフサスの使命でもあるのです」

不完全なシステムは通さない。安全への最後の砦となる監査業務。

監査業務の基本的な進め方は、最初に現場のSEへのヒアリングを行い、ネットワークの構成図や仕様書を見ながら、確認すべきポイントを共有。サーバーにはデフォルト(標準)で様々な機能が備わっているが、そのどれもが侵入に利用される可能性があるため、使用目的に不必要な機能を外すように指示する。次に、納入前のシステムにツールを用いて所定のテストを行ってもらい、その解析データを提出してもらう。テストとは、擬似アタックをかけ、脆弱性を評価するものだ。その過程でセキュリティホール(不正アクセスの侵入ポイント)が見つかれば、必ず対処するように指示を出し、安全性が確認できるまで納入を許可しないという厳しい取り決めになっているそうだ。
「もし、納入された後に不正アクセスで大きな損害を被ることにでもなれば、それまで築いてきたエフサスの信用が失われてしまいます。また、営業やSEも安心してICTを納入したいはず。その想いに応える仕事でもあるのです」

厳しい監査が理解を得て、現在では頼られる存在に。

セキュリティの監査では、セキュリティレベルの設定が状況やニーズによって変わるという難しさがある。不審と思われるアクセスをことごとく弾くような設定にすると、正規のアクセス権を持つユーザーまでブロックしかねない。また、脆弱性に完璧に対処しようとすると、新たな設備投資になったり、必要な機能を諦めなければならなかったりする場合がある。その際は、クライアント側にリスクを理解してもらった上で運用していくこともあり得る。肝心なのは、現場のSEにリスクの所在を正確に教え、それをクライアント側に認識してもらうことだと言う。
そんな高島を頼るSEは社内に多い。「既存のシステムに少しだけ変更を加えたのだが、セキュリティ監査は必要か」といったような相談は日常茶飯事だ。
「少しでも迷ったら、気軽に相談して欲しいと現場のSEに普段から言っています。そうしたやり取りの中から重大なセキュリティ上の欠陥が見つかり、トラブルを未然に防げることもあるからです」

誰もが安心してアクセスできるネットワーク社会を追求し続ける。

プロフェッショナルとして、高度なセキュリティ技術を後進に指導する高島。彼自身もスキルアップに余念がないようだ。
「社外の様々なセキュリティフォーラムへの参加や、主要なセキュリティベンダーとの交流で、最新情報を入手しています。この分野には、同業他社と競い合うよりも互いに協業し、不正な脅威に対抗しようとする動きがあるのです。その中でエフサスの存在感を増していくために、対外的な情報発信を積極的に行っています」
高島は、この10年で現場のSEや顧客のセキュリティに対する意識が、面倒なものと思う雰囲気から重要な対策だと考えるように変化するなど、大きく遷移したと感じている。
「今ではセキュリティ上の提案が、新たな商談に発展することも少なくありません。セキュリティ対策の意義を強く訴えてきた成果だと考えています。それでも世界中で不正アクセスの脅威は一向に無くならない。私たちの挑戦はまだまだ続きます」

OTHER PROFESSIONALS

PAGE TOP