「重要な情報を守るためには,従来型のセキュリティ・ソリューションだけでは不十分。リスク管理のためのデータ・マネジメント・ソリューションが必要だ」。米シマンテック会長兼CEO(最高経営責任者)のジョン・トンプソン氏は米国時間4月8日,米サンフランシスコで開催中の「RSA Conference 2008」で基調講演に立ち,企業の情報漏えい対策についてこう語った。
講演のテーマは,重要情報を重点的に保護するための「インフォメーション・セントリック・セキュリティ」。トンプソン氏はまず,この10年間で情報システムやセキュリティを取り巻く環境が激変したことを指摘する。「複合的なウイルスは,個人のコンピュータ1台1台をターゲットにしており,被害は深刻化している」(トンプソン氏)。こうしたウイルスは,個人情報や財務データなど企業が抱える重要情報を狙う。
重要情報を危険にさらしているのはウイルスだけではないと,トンプソン氏は強調。「企業が所有するぼう大なデータは年々増え続けている。従業員は,USBメモリーやメール,メッセージング・ツールなどを使って簡単に情報を持ち出せるようになった」と,情報漏えいのリスクが以前にも増して高まっている現状を指摘する。このまま放っておけば,企業はいつ重要情報を漏えいしてもおかしくはない。これに対してトンプソン氏は「セキュリティの在り方について,見直さなければならない」と警告する。
コンテンツの中身を意識したソフトウエアが必要
重要情報の漏えいリスクを回避する手段として,トンプソン氏は「インフォメーション・セントリック・セキュリティ」を強調する。これは,自社の重要情報がさらされているリスクを分析した上で,適切なセキュリティ・ポリシーを策定して,必要な情報を確実に保護するというセキュリティ対策手法を指す。
トンプソン氏はリスクを分析する上で,次の3点を再確認するように提案する。「まず,どのような重要情報を所有しているのか。次に,それらの重要情報をどこで保管しているのか。最後に重要情報がエンド・ポイントまたはネットワーク上でどのように使われているのかを把握しなければならない」(トンプソン氏)。
トンプソン氏は,インフォメーション・セントリック・セキュリティを実現するためには,セキュリティ技術のさらなる進歩が必要だと語る。トンプソン氏は今後のセキュリティ技術は「CONTENT AWARE」であるべきだと語る。データを,データベースやファイルといった漠然とした単位で管理するのではなく,中身(CONTENT)に基づいて確実に管理できる「CONTENT AWARE」なソフトウエアをセキュリティ業界で開発する必要があると,トンプソン氏は訴えた。
