「現在,CISO(情報セキュリティ管理責任者)といった企業のセキュリティ担当者を苦しめているのが,3つの“C”---Cost,Complexity,Compliance---だ。特に,Complexity(複雑性)に苦労しているようだ。さまざまなベンダーのOSや製品が入り混じったネットワーク環境でセキュリティを維持するのは容易ではない」---。米Symantecの会長兼CEOであるJohn Thompson氏は米国時間2月15日,米国で開催中の「RSA Conference 2005」の基調講演において解説した。
同氏によると,Cost(コスト)のほかに,ComplexityやCompliance(法令順守)がセキュリティ担当者にとって大きな“チャレンジ”になっているという。まず,複数ベンダーのソフトやハードが同じネットワークに接続されている環境ではセキュリティ管理が容易ではない。また,米国では「HIPAA(Health Insurance Portability and Accountability Act)」などにより,セキュリティの確保が法律で要求されているので,Complianceが重要課題になっているという(関連記事)。
特に,Complexityが問題だと強調する。「例えば,Windowsだけしか使っていない大企業はほどんどない。このため,米Microsoftは同社製品にさまざまなセキュリティ対策を施しているものの---もちろん,そういった取り組みは不可欠だが---,それだけでは企業ユーザーのセキュリティは守られない。“ヘテロジニアス(heterogenious)”な環境に対応したセキュリティ製品を導入する必要がある。その際考えるべきは『管理の容易さ』である。ヘテロジニアスな環境でも,統合管理が容易なセキュリティ製品群が望ましい」(Thompson氏)
さらに,セキュリティ製品だけに注目した統合管理ではなく,ネットワーク・システムとの統合管理が可能な製品群を選択することが重要だと強調した。「そういった製品群を選択すれば,セキュリティと可用性(availability)の相乗効果が期待できる」(同氏)
(勝村 幸博=IT Pro)
