調査会社の米IDCがデジタル情報についての調査を発表した。それによると、2006年の1年間に161エクサバイトのデジタル情報が生成されている。非常に大きな情報量だが、それ以上に驚くのは今後4年間にデジタル情報は年平均57％という勢いで拡大・成長を続け、2010年には988エクサバイトのデジタル情報が生成・複製されるという予測だ。この情報量は現在の6倍に当たる。2010年の1年間で生成される情報量は、2006年の1年間に生成される情報量の6倍になるということだ。

　おそらく988エクサバイトの情報量と聞いても、イメージがわかないかもしれない。そこで、日本の国土すべてに隙間なく書籍を並べるとしよう。988エクサバイトのデジタル情報を収容するには、日本の全土に積み重ねた書籍の高さは7.6メートルに達してしまう。それが2010年の1年間に生成されてしまう情報の量である。

　情報量が膨大になるだけではない。2010年までに、デジタル情報の約70%は個人によって生成されるようになる。矛盾するように聞こえるかもしれないが、少なくともその85%については、企業、あるいは関連する組織がセキュリティ、プライバシ、信頼性、コンプライアンスの責任を負わなければならなくなる。

　データ量の級数的な増加とともに、非構造化のデータが今後増大していくことにも目を向けるべきだ。現在のデジタル情報のうち、デジタル画像やビデオ、音声に加え、医療やオンライントレーニング、電子商取引などの新しい情報源から生成されているデータは25％を占めているが、その95％は非構造化データである。これまでIT業界はデータセンターに目を向け、効果的な運用を支援してきたが、そこで保護されているデータの大半が構造化されたデータである。その一方で、今日の企業・組織にあるデータの8割は非構造化データであるといわれているため、さまざまな課題が生じている。

非構造化データの保護が重要に

　その1つがセキュリティ対策だ。今日生成される情報の30％はセキュリティの対象となっている。企業はセキュアな環境の中でデータを保護しなければならず、データのセキュリティ対策に400億ドル以上を投下している。これが2010年には650億ドルに膨らむと予測されている。また、今日の情報のうち25％は法令順守の対象となっている。日本でもJ-SOX法の成立に伴って、コンプライアンス対応に200億ドルに及ぶ金額が投じられている。

　もう１つは、格納しなければならない情報と利用可能なストレージとの間のギャップがいっそう拡大していくことだ。生成されるデジタル情報の量は、2007年に利用可能なストレージの量を上回ると見込まれている。ただし、今のところデジタルテレビやデジタル電話、Webページのすべてがストレージに格納されておらず、それが救いだ。しかし、状況が変わり、情報に対するニーズが変わると、現在格納していない情報をストレージに格納・保護しなければならなくなるだろう。ストレージの成長予測は年率60％と見られているが、それでは収容できなくなる。

　現在の手法で今後生成される大量のデータを格納・保護することには限界がある。そのため、現在よりも高度な手法で情報を格納・管理しなければならない。年間400億ドルがデータのセキュリティ対策に使われているが、それでも満足している企業・組織が18％にすぎないことは現在のセキュリティ対策の限界を如実に示す。

　セキュリティ対策は世界の企業・組織が力を入れていくべき課題の1つであるため、企業はアンチウイルス、アンチスパイウエアのソフトを用いてLANに対するアクセスの保護を行っている。また、ファイアウオールを構築し、デジタル権利管理（DRM）も導入している。さらに、暗号化テクノロジを用いてセキュリティ対策を実施している。

　にもかかわらず、世界の82％の企業・組織がこのシステムではセキュリティが不足していると感じるのは、現在のセキュリティ対策ツールが情報インフラの周辺、境界を防衛するにすぎないからだ。比喩的にいうならば、堀を深く掘るとともに塀を高くし、悪者が侵入できないようにすることで城内を守る16世紀後半の江戸城の防衛と同じである。だが、この防御方法は重大なことを見落としている。徳川将軍が城の外に出て歩き始めたら堀や塀で守られていないために防御は弱くなるのと同様、データも防御線の外に出ると脆弱になる。

　セキュリティ対策として実行しなければならないのは、情報そのものに目を向け、情報を保護することだ。境界を防衛することは必要だが、それだけではセキュリティ対策が十分だとはいえない。

「情報中心型の防御」が必須

　今後、必要となるセキュリティ対策は、情報中心型の防御である。情報中心型セキュリティの目標は、情報の管理と保護を実施することだ。管理できていない情報を保護することはできない。また、データの重要な部分を認識しなければセキュリティの確保は難しい。さらに、データにアクセスできる人を管理していなければ高いセキュリティ環境の構築は不可能である。

図●EMCが考える脅威に対する必須の防御法

　情報中心型セキュリティを実現するアプローチの基本は、人とデータを高いセキュリティ環境に置くことだ。人の面からセキュリティを確保するのに必要なのは本人確認と認識技術である。それによって、リソースに対するアクセスをコントロールできる。一方、データのセキュリティを確保するには、データそのものに対する保護が必要となる。そこでは、鍵の管理、暗号化、権利を管理する技術が重要な役割を果たす。

　このような情報中心型のセキュリティソリューションを導入する際に重要となるのはポリシーである。ポリシーがあることによって、どの情報が重要かを明確にできるし、その情報に対するアクセスニーズを持っている人を明らかにすることが可能となるからだ。

　セキュリティは、（1）ビジネスリスクを理解する、（2）人間のID、認証・アクセスを管理する、（3）セキュアな情報インフラを整備する、（4）データそのものを保護する、（5）情報セキュリティ環境を監査して、ポリシー準拠を確保する――という5つのステップによって管理することが大切になる。そのためには、5つのステップすべてに対応できるITベンダーが求められる。EMCはその1社である。当社はさらに先を見据えており、今後、共通のセキュリティプラットフォーム「CSP（Common Security Platform）」の提供を考えている。

　情報を管理できる能力があるかどうか。それによって、企業の競争力が決まる時代を迎えている。