「セキュリティ戦略は,あくまでも企業のビジネス戦略に沿って立案すべきだ。ただ,単に技術にとらわれてはいけない」。こう警告を発するのは,世界最大の旅行予約サービス会社である米セイバーでセキュリティ担当のディレクタを務めるジョージ・ピケット氏だ。同氏が,こう語るのには理由がある。「以前の会社で構築した電子認証局システムは,さんざん苦労した挙げ句に,まったく使われなくなってしまった。導入の決定者が,認証局という技術に目を奪われて,何に認証局を利用するかをまったく考えていなかったからだ」とピケット氏は打ち明ける。
この時の経験を生かして,ピケット氏は,セイバーに米エントラストのセキュリティ製品「Secure E-mail Solution」を導入した。この製品は,電子メールのセキュリティに特化したもので,認証局の機能も含む。セイバーは,社内外の情報伝達手段を電子メールに一本化しているため,特に強固なセキュリティ対策を施した。「当社では電子メールを使って,顧客や取引先といった社外の人々と,機密性の高い案件について議論することが多い。そのため,認証局を導入して,通信先の人物を特定する必要があった」とピケット氏は言う。
この認証局は社員だけでなく,取引先の企業担当者なども認証している。セイバーは2001年1月には,経営幹部や部長など,社外との取引が約1000人を対象に認証を始める。2002年までには約5000名の全従業員の電子メールを対象にする。
(西村 崇=日経コンピュータ)
