by Gartner
Joseph Feiman VP兼ガートナー フェロー
John Pescatore VP兼最上級アナリスト
石橋 正彦 リサーチ・ディレクター
従業員が新しいWeb 2.0の技術やサービスにアクセスすることを,企業はまず禁止したほうがよいのではないかと読者は思っているかもしれない。しかし,それは違う。Web 2.0は,大きな創造性を解き放つものであり,企業は,それによって大きな利益を得ることができる。
Web 2.0のグローバルなエコシステム(*1)へのアクセスを禁止するのではなく,情報システム部門はそうしたアプリケーションを開発し,展開するための安全な方法を提供しなければならない。実際に多くの情報システム部門が,Web 2.0への要求に応えようとしている。ガートナーが世界の1500人のCIOを対象に調査したところ,回答者の半数が2008年に初めてWeb 2.0技術に投資する予定だと答えた。ビジネス・アプリケーションにまでWeb 2.0が広がり,オープンソース・ソフトウエアやSOA(サービス指向アーキテクチャ)の導入が進んだことで,アプリケーションの開発手法が変わりつつある。
Web 2.0により,従業員がアプリケー ションとコンテンツの開発者になり,自らのビジネス・ルールと実践方法を実装したWeb 2.0アプリケーションを公開するようになった。これはリスクを生み出すと同時に,多大なビジネス上の価値も引き出す。ビジネス上の利益と潜在的なリスクを組み合わせて考えれば,企業内のWeb 2.0の利用に関して,最も効果的な利用が期待できる。
マッシュアップやAjaxなどのWeb 2.0技術はすでに広く利用されており,Web 2.0エコシステムを拒否することは徐々にあり得ない選択肢になってきている。企業は,Web 2.0技術を安全に使えるようにセキュリティ・プロセスを拡張しなければならない。情報システム部門において,ぜい弱性の評価方法を拡張し,マッシュアップにより自社のコンテンツを外部に利用されたり,Web 2.0技術で機密性の高いデータが自社から漏れたりしていないか検知できるようにするのだ。新技術を取り込んで安全にすることは結局のところ,完全にブロックするよりも最終的に高い効果を生む。
インターネット上には,危険なツールが無料で出回っている。コードやAPIを分析して,悪用可能なぜい弱性を探し出すテスト・ツールなどである。アプリケーション・ロジックを分析して,知的財産権を入手し,実行プログラムのリバース・エンジニアリングやデバッグによって,ライセンスを違法利用するのに役立つツールもある。
Web 2.0技術の登場により,技術力のない従業員でもそうしたツールを活用しやすくなった。Web 2.0によって大きく広がったWebのオープン性により,企業のコンテンツやアプリケーション・スクリプトは広く配布され,悪意を持ったユーザーにも利用可能になってしまう。
また,マッシュアップなどの技術で連携するコンテンツ/サービス提供者との間では,SLA(サービス・レベル契約)を結ぶことが重要である。これは,自社サービスの停止を回避,または最小化するためだ。外部のサービス提供者やオープンソース・ソフトウエア・コミュニティ,取引先が開発したアプリケーションを受け入れるときには,セキュリティ上のぜい弱性のチェックを怠れない。Web 2.0では,他のWebサイトのコンテンツや便利なアプリケーション,デザイン・テンプレートなどを簡単に取り込んでアプリケーションを構築できる。そのため,セキュリティには無頓着になりがちだ。
以上のように今後企業は,セキュアなアプリケーション環境を構築したうえで,Web 2.0に積極的に取り組むべきである。
