米EMCのセキュリティ部門であるRSAセキュリティは、「企業は情報中心型セキュリティに着手すべきだ」とのメッセージを発信し始めた。従来のセキュリティとは何が異なるのか、来日したRSAセキュリティ エグゼクティブ・バイス・プレジデントであるアート・コビエロ氏に聞いた。
 写真●米RSAセキュリティのアート・コビエロ エグゼクティブ・バイス・プレジデント [画像のクリックで拡大表示] |
情報中心型セキュリティとは何か。従来のセキュリティとは異なる考え方なのか。
少し古い比喩を使って説明しよう。企業が守るべき情報を、王様だとしよう。王様は普段、侵入が難しい城の奥で守られている。城の周りには、堀が巡らされていて、王様を誘拐するのは至難の業だ。
しかし、それで本当に王様を守れるかというとそうは言い切れない。王様は常に城の中にいるとは限らないからだ。城の外に出た時にどう守るかが重要になってくる。
城壁は、いわば今のセキュリティ対策だ。社内に情報があるうちはファイアウォールやウイルス対策ソフトに守られている。しかし、社外に情報を持ち出す必要性はどうしても出てくる。その場合にいかに情報を守るかを真剣に考える時期に来ている。それが、情報中心型セキュリティだ。
これまでも、企業は情報の持ち出しを制限するなどの対策を採ってきたはずだ。
確かにそうだ。しかし、ルールを設けるだけでは追いつかなくなる。企業が管理すべき情報量は今後爆発的に増えていくからだ。しかも、王様に親戚や子供がいるように、情報はさまざまな形に加工されたり、引用されたりする。抜本的な対策が必要だと考えている。
ユーザーからは、また異なるセキュリティ対策への投資が必要になるのか、という声が出そうだ。
コスト効果を高めるなら、情報の管理やインフラの整備と併せて対策を実施するべきだろう。
あるメガバンクのCIO(最高情報責任者)と話をしたときのことだ。セキュリティ対策としてデータを暗号化したいというので、何のデータを暗号化するのかと聞いた。
すると、そのCIOはテープに記録したデータすべてを暗号化したいという。「すべてとなると高いコストがかかるが、いいのか」と指摘すると、テープのどこに重要なデータを記録しているかがわからない、という返事が返ってきた。
つまりこのメガバンクは、情報の管理に問題があるのだ。情報中心型セキュリティ対策を実践する上で、情報を管理するインフラとの連携は不可欠だ。重要な情報は、文書管理サーバーなどで保管すると同時に、暗号化などのセキュリティ対策を実現する仕組みが必要になるだろう。EMCが、DRM(電子著作権管理)技術を使って文書ファイルをコントロールするソフト「Documentum IRM Services」を手掛けているが、ユーザーは増えていないようだ。
この分野の製品は、同様の機能を持つマイクロソフトやアドビ システムズの製品と互換性がないため、市場自体が大きくなっていない。標準化を進める必要があるだろう。
