米EMCのエグゼクティブ・バイス・プレジデントで,同社のセキュリティ部門であるRSAのプレジデントを務めるアート・コビエロ氏は,企業の重要情報を保護するために「考えるセキュリティ(Thinking Security)」の必要性を訴えている。Thinking Securityの具体的な内容や企業が抱える情報セキュリティの課題などについて,コビエロ氏とRSAセキュリティ日本法人の山野修社長に話を聞いた。

(聞き手は中井 奨=日経コミュニケーション


「考えるセキュリティ(Thinking Security)」とは。

写真1●米EMC エグゼクティブ・バイス・プレジデント 兼 同社セキュリティ部門 RSA プレジデントのアート・コビエロ氏
写真1●米EMC エグゼクティブ・バイス・プレジデント 兼 同社セキュリティ部門 RSA プレジデントのアート・コビエロ氏
[画像のクリックで拡大表示]
コビエロ IT部門のスタッフと同様に“考える”機能を持つのがThinking Securityである。Thinking Securityは,最近言い始めたのではなく,実は以前から温めていた考えだ。

 Thinking Securityは,約60年前に英国の数学者であるアラン・チューリングが研究していた人工知能からひらめいた。情報を中心としたセキュリティを追求する場合,保護対象のデータは常に動き回って変化し続ける。このため,挙動やコンテンツを,人工知能を使って判断するような,動的な保護が必要となる。

Thinking Securityを実現するための具体的な動きは。

コビエロ Thinking Securityのシステムでは,ビジネス上のリスクを軽減するために,セキュリティ・ポリシーを策定して実行する。これは,人,プロセス,テクノロジの三つのエリアから実装することになる。こうしたポリシーの執行,統括,プロセス自動化のための技術を現在開発しているところだ。さらに,さまざまな挙動やコンテンツに基づいて,ポリシーがしっかりと守られているかどうかを監視したり,ポリシーの執行を支援したりする。

 たとえば,人の挙動を監視して,不審な行動を特定した場合には,アクセス管理ツールなどのテクノロジを活用して,コンピュータへのアクセスを制限する。こうしたテクノロジは,ユーザーの知識や技術面で追いつけないといった問題を解決してくれる。

 また,昨夏買収したTablusというセキュリティ・ベンダーが持つDLP(data loss prevention)技術は,データの流れを見てそれに対してどう対応するかを決定できる。これはある意味では,人間がデータをチェックするのに似ている。「このデータとこのデータを組み合わせるとまずい情報になるのではないか」,という人間的な判断をすることができるからだ。TablusのDLPの製品は,「RSA Data Loss Prevention(DLP) Suite」として米国で提供している。

DLP Suiteの日本でのリリース予定は。

写真2●RSAセキュリティ日本法人の山野修社長
写真2●RSAセキュリティ日本法人の山野修社長
[画像のクリックで拡大表示]
山野 日本では来年リリースする予定だ。DLP Suiteは,人工知能的な要素が入っており,パソコンやファイル・サーバー,ネットワーク上のデータをスキャニングして,個人情報や企業秘密にかかわる情報などをあらかじめ定義した文字列やパターンに基づいて自動的に判別できる。日本でのリリースに時間がかかるのは,単にダブルバイトの日本語対応の問題だけではなく,日本語に特有な情報や文化をパターンとして定義しなければならないからだ。

DLPは,なぜ今必要とされるのか。

コビエロ 現在はかつてないほど情報がオープンかつ過多となっている。自分の持っている情報をコントロールしきれなくなっているうえに,データに対するアクセス・ポイントが多すぎる。このため,情報漏えいが起こりやすくなっているからだ。

 情報をダイナミックに保護することも必要だが,もっと細かいレベルで「具体的にこの情報を守る」という具合にコントロールできるような形で保護することが重要だ。

山野 すべての情報に対して保護するのはもはや不可能だし,実行しようとしてもコストが非常に高くなる。それよりも,情報を判別し重要な情報に対しては必要なセキュリティ対策を講じるべきだ。