「企業のセキュリティは複雑でダメだ」---。こう挑発して見せたのは,米McAfeeでGroup Solution Marketing Managerを務めるChris Parkerson氏。同氏は2008年4月23日から開催中の「RSA Conference Japan 2008」で講演し,ポイント・ツールによるパッチワークとなってしまっているユーザー企業のセキュリティ対策の現状を批判した。
世界のパソコン台数は2008年末には10億台に達し,2015年にはその2倍になると見られている。こうした状況下で,セキュリティの脅威もまた増加する。ところが,エンドユーザーのほとんどはセキュリティの脅威に対して安心してしまっているとParkerson氏は指摘する。実際には「半分のユーザーはウイルス対策ソフトの有効期限が切れている」(Parkerson氏)のが現状であるにもかかわらずだ。
エンドユーザーを取り巻く大きな脅威の1つは,IDの盗難である。クレジットカードの番号などが分かりやすい例だ。こうしたIDは,犯罪者ネットワークの内部で売買される。IDの価値に応じてプライス・リストが出来上がっているのだという。こうした情報漏えいを引き起こす主な原因には,ノートPCやPDAの紛失やポータブル・メモリーなどへのデータ・コピーによる持ち出しなどがある。Parkerson氏自身もまた,過去に6回も携帯電話端末を落として紛失したとしている。
情報セキュリティへの投資は決して無駄にはならないという。まず,企業のセキュリティ対策の達成度合いの状態には4段階あるとした。(1)「Secure」(安全),(2)「Compliance」(法令遵守),(3)「Proactive」(事前策),(4)「Optimized」(最適化)である。段階を経るごとにセキュリティは成熟していく。ここで,第2段階の法令遵守くらいまでは投資コストもまたセキュリティの達成度合いに比例して増えてしまうが,第3段階の事前策や最適化の段階まで成熟すると,投資コストはそれ以上には増えることがなく,むしろ減るという。
セキュリティ対策に取り組むユーザー企業がよくやる過ちとしてChris氏は,マルチ・ベンダーのポイント・ツールの購入を挙げる。こうしたポイント・ツールでは製品間の通信や機能連携などの運用管理面でのコストが増大し,セキュリティそのものも危うくなり,破綻する,というのだ。こうした問題点を解決するためには企業のセキュリティ要件のすべてをトータルで満たす製品群が必要になると締め,同社製品をアピールした。
