米マカフィーのイェン-ミン・チェン シニア プリンシパル コンサルタント
[画像のクリックで拡大表示]
「企業が抱えるセキュリティのリスクは、日々変化している。定期的にリスクを見直すべきだ」。米マカフィーでリスク管理のコンサルタント部門を統括するイェン-ミン・チェン シニア プリンシパル コンサルタント(写真)は、継続的なリスク管理の重要性を強調する。
セキュリティのリスクが絶えず変化するのは、新たな脆弱性や攻撃手法が毎日のように発見されているから。「リスクに応じて、社会的なインパクトも変化する。半年に1回、あるいは四半期に1回、リスク管理の体制を見直す必要がある」と、チェン氏は主張する。
同氏によれば、リスク管理の第一ステップは「企業内LANにどのような機器が接続されているかを洗い出し、それぞれに対してセキュリティ対策に関する優先順位を付けること」。順位は、各機器が保持するデータの重要度を基に決めていく。
この作業を支援するために、マカフィーは2005年5月からソフトウエア製品「Foundstone」を販売している。Foundstoneはネットワーク内をスキャンし、サーバーやクライアント・パソコンを見つけ出す。それらに対してユーザーが重要度を定義すると、現在明らかになっている脆弱性情報をもとにリスクを算出する。
チェン氏はマカフィーに所属する以前は、同社が2004年10月に買収したセキュリティ関連ソフト・ベンダーの米ファウンドストーンに在籍していた。その頃から多くの企業のセキュリティ対策を支援してきた経験を基に、「ソフトウエアの脆弱性管理に加えて、データの重要度や業務プロセスを把握し、ユーザー企業が効率よくリスク管理を実施する方法を立案する」のが、同氏のミッションという。
