脆弱性評価をはじめとするデータベース・セキュリティ対策で重要情報の漏洩・損失を防ぐ

坂本 明男 氏
IPLock, Inc.
アイピーロックス ジャパン株式会社
プレジデント 兼 CEO
坂本 明男 氏
「データベース・セキュリティ」という新たな分野を切り拓いたIPLocks, Inc.は、データベースの「脆弱性の評価」「監視」「監査と分析」を総合的に行うセキュリティ・ソリューション「IPLocks」を提供している。ソリューションの概要について、日本の経営者に求められるセキュリティ対策へのアプローチと合わせて、同社プレジデント兼CEOの坂本明男氏に聞いた。
>> データベース・セキュリティの3つの対策をセットで提供
>> 人間社会の対応策から足りない部分が見えてくる
>> 経営者自らがリスクを考えセキュリティ対策を実施する
データベース・セキュリティの3つの対策をセットで提供
-データベース・セキュリティのビジネスを始めた経緯をお聞かせください。


坂本 以前私は、NECの米国法人で勤務していたことがあるのですが、優秀な人たちが時間を惜しんで働くシリコンバレーのビジネスを目の当たりにして、日本企業との違いを実感しました。そこで、米国でビジネスをしようと独立したのです。いくつかベンチャー企業を立ち上げた後に、データベースを監視するソフトウエアがないことがわかり、2002年にIPLocks, Inc.を設立しました。
IPLocks, inc.の本社
米国シリコンバレーの一等地に居を構えるIPLocks, inc.の本社。

 ネットワークからの侵入を防ぐファイアウォールやVPNなどの仕組みはありますが、これでは企業にとって一番重要なデータベースを守るには完全ではありません。企業にとって重要な情報の80%以上が蓄積されているデータベースは、IDとパスワードのふたつで守られているだけなのです。

-どんな仕組みでデータベースのセキュリティを強化するのでしょうか。

坂本 データベースの弱点を分析して評価する「脆弱性評価」、疑わしいアクセス行動を検知して、データベースへのアクセスを監視する「継続的な監視」、過去の監査ログを分析して、誰が、いつ、どこから、どんな問題を起こしたかを特定する「監査と分析」の3つです。

 火事対策にたとえると、「脆弱性評価」は、火事に強い家を作るために、弱点を見つけること。「継続的な監視」は、ガードマンや監視カメラにより、火種を感知して、小火の段階で見つけて被害の広がりを防ぐことであり、「監査と分析」は、監視カメラが記録したビデオを再生することで、火事の原因は何であったか、誰が、いつ、どのようにして火事が起きたか、火事で失った資産は何かなどの原因と被害を特定することです。

 データベース・セキュリティには、この3つの対策がセットで必要になりますが、こうした対策を人手でリアルタイムに行うことは不可能ですから、人間のアルゴリズムをソフトウエアに組み込みました。

人間社会の対応策から足りない部分が見えてくる
-不正侵入を完全に防ぐことは難しいのでしょうか。

坂本 手法が次々に変化していますから、100%防ぐことは困難でしょう。これは人間社会も同じです。ただ、人間社会は何百年もかけてセキュリティの仕組みを築いてきました。それに比べて、ITの世界、特にインターネットはまだ十数年の歴史しかありません。ですから、人間社会になぞらえてセキュリティのあり方を考えればよいのです。

 例えば、企業のデータベースのように、銀行にとって最も大事なのは、現金を納めている金庫です。そこで金庫には鍵をかけます。これがIDとパスワードです。しかし、金庫の鍵は破られることも考えられますから、金庫の前にガードマンを立てます。これだけでは、ガードマンが犯行を見逃す恐れがあるので、監視用のビデオカメラを設置しています。さらに、支店を開設する前には、対象となる建物を調査して、弱点を補強しておくはずです。そう考えていくと、どんな対策が必要なのかが見えてきます。

-様々なセキュリティ対策がある中で、どれを導入していくべきなのでしょうか。

坂本 個人情報保護法が施行され、日本では個人情報に注目が集まりがちですが、企業にとっては、人事情報や経理データなども重要な情報ですし、製品の開発情報や部品の調達情報などの知財情報は、企業の競争力を左右します。こうした情報が蓄積されているデータベースが不正にアクセスされ、データが盗み出されたり、書き換えられることは、企業の存亡にもかかわってきます。

 大事なことは、自社にとって守るべき情報が何なのかを認識して、リスクも含めてどう守るのかを決めることです。それがリスク・マネジメントです。一気にセキュリティ対策を実施することはできませんから、自社を自ら評価し、プライオリティを付けて、徐々に進めていくしかありません。

データベース・リスク・マネジメントのプロセス

経営者自らがリスクを考えセキュリティ対策を実施する
-経営者は、セキュリティに関してどのような心構えを持つべきでしょう。

坂本 100%のセキュリティが理想的なのはもちろんですが、完全を求めると、ROI上で勘定が合わなくなります。人間系と機械系の組み合わせで、経済上一番適した投資計画は何かを考えるべきでしょう。また事故などによる損失額と投資額とを予想して、経済上適切な投資計画を立てるべきだと思います。

-最後に、今後の日本でのビジネス展開をお聞かせください。

坂本 日本国内のみならず全世界のデータベース・セキュリティ・ソフトウエアの分野で当社のソリューションは、シェアとともに他の追随を許さないものです。現在、大手ITベンダーを中心に国内に13社のビジネス・パートナーがいますが、ユーザーから当社のソリューションが逆指名されるケースも増えてきています。様々なデータベースの構造を熟知しているからこそ実現できた当社のソリューションをぜひお試しください。   


【IPLocksからのお知らせ】
データベース・セキュリティの世界動向
坂本明男講演
10月13日(FIT2005 金融国際情報技術展 会場にて)  詳しくは http://www.iplocks.co.jp

お問い合わせ先
アイピーロックス ジャパン株式会社 アイピーロックス ジャパン株式会社
〒100-0011 東京都千代田区内幸町1-1-1 帝国ホテルタワー15F
TEL:03-3507-5805(代表) FAX:03-3507-5932
E-mail:marketing-japan@iplocks.co.jp
URL:http://www.iplocks.co.jp


日経BP社

Copyright (C) 2000-2005 Nikkei Business Publications, Inc. All rights reserved.
記事中の情報は,記事執筆時点または雑誌掲載時点のものです。
このサイトに掲載されている記事,写真,図表などの無断転載を禁じます。
詳しくはこちらをご覧ください。