PROFESSIONAL 02
プロフェッショナルから紐解く技術力

高島 昌志 Masashi Takashima

サービスビジネス本部
インターネットセキュリティ推進部
シニアサービスプロ
1997年入社

安全・安心を司る門番の立場で、セキュリティ意識の向上を先導する。

prologue

インターネットを経由して行われる情報システムへのサイバー攻撃の脅威が、日増しに高まっている。近年は特定の組織内の情報を狙う標的型攻撃が蔓延し、企業や官公庁は重要な情報の漏えいを防ぐ対策に追われているような状況だ。お客様の情報システムの更改、運用、保守を担う富士通エフサスも、安全・安心なICTを提供していく立場から、不正アクセス対策には以前からかなりの力を入れてきた。高島は、2003年からセキュリティ関連の専門部署を歴任。社内における第一人者としてプロフェッショナル認定を受け、頑丈なICTの提供に向けて社内のボトムアップを図っている。

ICTを提供する側に生じる、セキュリティに対する責任を背負う。

ネットワークエンジニアからキャリアをスタートし、ネットワーク導入の商談で現場への技術支援や、社内/社外のサーバーの運用管理業務などを担ってきた高島。転機は2003年に訪れた。サービスビジネス本部のセキュリティサービス部に異動し、社会問題となっていた情報システムへの不正アクセス対策に、本格的に取り組むことになったのである。 2005年からは現在のインターネットセキュリティ推進室に所属し、富士通エフサスがお客様企業に納入するインターネットシステムのセキュリティ監査を担当するようになる。つまり、納入するシステムがセキュリティの面で安全かどうか最終的なチェックを行う役割だと言う。
「富士通エフサスのICTに関するサポートサービスを評価するお客様は、当然のごとく安定して稼働する情報システムを期待します。外部の脅威にさらされる脆弱なICTを納入するわけにはいきません。セキュアなICT をお客様に提供することは、富士通エフサスの使命でもあるのです」

不完全なシステムは通さない。安全への最後の砦となる監査業務。

監査業務の基本的な進め方は、最初に現場のSEへのヒアリングを行い、ネットワークの構成図や仕様書を見ながら、システム全体のセキュリティリスクの有無を確認。各サーバーの機能や通信の流れを精査し、侵入に利用される可能性があるポイントについては現場のSEに対して是正を指示する。次に、納入前のシステムにツールを用いて所定のテストを行ってもらい、その解析データを提出してもらう。テストとは、擬似アタックをかけ、セキュリティホール(不正アクセスの侵入ポイント)の有無を確認するものだ。その過程でセキュリティホールが見つかれば、必ず対処するよう指示し、安全性が確認できるまで納入を許可しないという厳しい取り決めになっているそうだ。
「もし、納入された後に不正アクセスで大きな損害を被れば、それまで築いてきたお客様からの信用が失われてしまいます。また、営業やSEも安心してICTを納入したいはず。その想いに応える仕事でもあるのです」

厳しい監査が理解を得て、現在では頼られる存在に。

セキュリティに”絶対“は無いため、状況やニーズによって柔軟に対応しなければならない難しさがある。不審と思われるアクセスをことごとく弾くような設定にすると、正規のアクセス権を持つユーザーまでブロックしかねない。また、脆弱性を完璧に対処しようとすると、新たな設備投資になったり、必要な機能を諦めなければならなかったりする場合がある。その際は、お客様にリスクを理解してもらった上で運用していくこともあり得る。肝心なのは、現場のSEがリスクを正確に認識し、お客様への説明を通し、合意の上でシステム導入や運用を行なっていってもらうことだと言う。
そんな高島を頼るSEは社内に多い。「既存のシステムに少しだけ変更を加えたいのだが、セキュリティ上の問題は無いか」といったような相談は日常茶飯事だ。
「少しでも迷ったら、気軽に相談して欲しいと現場のSEに普段から言っています。そうしたやり取りの中から重大なセキュリティ上の欠陥が見つかり、トラブルを未然に防げることもあるからです」

誰もが安心してアクセスできるネットワーク社会を追求し続ける。

プロフェッショナルとして、高度なセキュリティ技術を後進に指導する高島。彼自身もスキルアップに余念がないようだ。
「社外の様々なセキュリティフォーラムへの参加や、主要なセキュリティベンダーとの交流で、最新情報を入手しています。この分野には、同業他社と競い合うよりも互いに協業し、不正な脅威に対抗しようとする動きがあるのです。その中でエフサスの存在感を増していくために、対外的な情報発信を積極的に行っています」
高島は、この10年で現場のSEやお客様のセキュリティに対する意識が、面倒なものと思う意識から重要な対策だと考えるように変化するなど、大きく遷移したと感じている。
「今ではセキュリティ対策の提案が、新たな商談に発展することも少なくありません。セキュリティ対策の意義を強く訴えてきた成果だと考えています。それでも世界中で不正アクセスの脅威は一向に無くならない。私たちの挑戦はまだまだ続きます」

PAGE TOP