「IT部門のスタッフと同様に機能する“考えるセキュリティ(Thinking Security)”のシステム開発を,ITベンダーにお願いしたい」。米EMCのセキュリティ部門,RSA SecurityのPresidentであるArt Coviello氏(写真)は2008年4月23日,東京都内で開催された「RSA Conference Japan 2008」の基調講演で,「考えるセキュリティ」の重要性を強調した。
「事業革新におけるセキュリティの役割:悪役からヒーローへの変貌」をテーマに講演したCoviello氏は,セキュリティの役割が「ビジネスにとって必要な摩擦だと見られている」と指摘する。つまり,セキュリティ対策が,企業の成長を促進するのではなく,安全性が疑われる場合にはビジネスを阻害する存在と見なされているというのだ。Coviello氏はこの状況を問題視する。セキュリティのあり方を変えるためにも,「それはセキュアではないと判断を下すのではなく,リスクによってもたらされる危険性の確率と結果の重要性を評価するべきだ」と主張する。
また,Coviello氏はセキュリティ対策ツールについても,次のような疑問を投げかける。「現在のツールは,ユーザーの考え方とはかけ離れている。ツールの望む方向にユーザーが合わせなければならない」。
こうした問題を解決する手段として,Coviello氏は,自律的にリスクをとらえて,重要なデータを優先度をつけて守ることができる「考えるセキュリティ」を提唱する。「考えるセキュリティ」の役割は,企業内のデータを誰がどのように使っているのかを把握することやファイル・サーバーに保存されているデータが重要なデータかどうかを認識してポリシーを作成・運用することだと,Coviello氏は説明する。「考えるセキュリティは,自律的に変化する環境に自ら適応できる。これによって,人間の上司に助けを求めるのは最後の手段となる」(Coviello氏)。
Coviello氏は,「考えるセキュリティ」のシステムは,単独のツールとしてではなく,「情報システムのインフラと相互に動き,インフラの一要素であるべきだ」と主張した。そのために,「ITインフラのベンダーがセキュリティを考えるべき。セキュリティ・ツールは,最初は一つの製品として登場しても,最終的にはITインフラの要素になる。独立したセキュリティ産業はいらない」と強調し,ITインフラの一部にセキュリティを取り込むためにも,ベンダー同士の協業の必要性などを訴えた。
