面倒なだけのITセキュリティは、発想の転換と人間主導の基盤作りでビジネスチャンス創造の原動力となる。「RSA Conference」の基調講演では、ITセキュリティが抱える課題と今後の在り方について語られた。
ウイルスやスパムの排除、メールセキュリティ、不正アクセスの防止に情報漏えい対策――。ITに絡むセキュリティ対策は、やるべきことがひたすらに多い。しかも、最近は関連する法規制が次々と制定されており、コンプライアンス対応も必須課題となった。これでは、膨れ上がるITセキュリティ課題を足かせととらえ、事業拡大の「阻害要因」と疎む経営者がいても仕方がない。
4月23日に東京都内で開催されたRSAセキュリティの年次カンファレンス「RSA Conference 2008」の基調講演で、米EMC副社長のアーサー・コビエロ氏は、80%以上のITエグゼクティブがITセキュリティの課題から事業改革の機会を見送っているというIDCの調査結果を紹介した。クリックするだけで個人情報が危険にさらされる現在、企業はリスク軽減に必死になるあまり、過剰なまでの防御策を取っている。コビエロ氏も、セキュリティ対策は重要だが、何かを実行しようとするたびに「本当に実行しますか?」というメッセージが表示されては、前進する意欲がそがれると指摘した。
だが、セキュリティは本来、正しい事業経営を支えながら事業を躍進へと導く存在であるべきだ。そのためにも、まずはセキュリティリスクがあるからと何もかも「ノー」と拒否するのではなく、「どうすれば解決できるか」という発想に転換する必要があるとコビエロ氏は言う。「これは安全ではないと守りに入るのではなく、例えば情報漏えいした場合の影響を検証し、それに応じた対策とリスク削減方法を考える」(コビエロ氏)。それだけでも、ビジネスを停滞させるような過剰防衛を回避でき、さらには事業目標に合わせたリスク対策を構築できる。
コンプライアンス対応についても、同様のことが当てはまる。コビエロ氏は、事業推進や利益向上を抑制してでも、法令に対して厳格に準拠しなければならないという思い込みが見られると指摘した。正しい業務評価を実践し、それに伴うリスクを明確化すれば、必要な対策だけを講じることができる。そのためにも、セキュリティ担当者は事業経営の観点からリスク分析を行い、実際の対策として導入するという発想を持ってほしいと強調した。
発想の転換の次は、それを実現する基盤をベンダーが作る番だ。そのヒントとして、コビエロ氏は人工知能の父であるアラン・チューリングを取り上げた。チューリングは、脳の機能をコンピュータで模倣することにより、人間と変わらない「考える機械」を構築できると考えた。
チューリングが今、「考えるセキュリティ」システムを構築するとすれば、どうするだろうか。コビエロ氏は、「きっと、人間がセキュリティをどう考えるかを模倣するシステムを構築するだろう」と言う。現在のセキュリティツールは、人間が考えるように動作するのではなく、ツールが実施できることを人間に強いている。複雑で静的、かつ柔軟性のないセキュリティシステムが出来上がるのは当然だ。
では、人間はセキュリティをどう考え、実践しているのか。最初は相手を信頼するところから始まるだろう。「知人が紹介した人物である」「職場の同僚である」「不審な言動がない」などの情報を材料に、これから交渉する相手が信頼できるか判断する。
ITでもこうした原理を実現できるはずだ。「パスワードではなく、相手の行動を理解してリスク管理を行えば、より柔軟なセキュリティが実践できる」(コビエロ氏)
また、人間はアクセス制御リストではなく、情報のコンテンツ(中身)を見てから対処法を考える。システム上でも同様の対応ができるはずだ。「例えば、クレジットカード番号が含まれるファイルを検知したとき、その利用方法を確認してから、それに適したポリシーを管理者に提案し、適切に保護しながら業務でも柔軟に活用できるようにするファイルサービスは、どうだろうか」(コビエロ氏)。
これを踏まえ、コビエロ氏は2008年のITセキュリティについて予測を明らかにした。1つは、セキュリティの考え方がITインフラ構築と切り離されて進化する時代に終止符が打たれることだ。「既に始まっているが、セキュリティ製品はコンポーネントとしてITインフラの一機能に組み込まれ、インフラ全体を通した最適化が図られるようになる」(コビエロ氏)。もう1つの予測は、セキュリティの標準化が一層進むことである。考えるセキュリティのエコシステムを構築する上で、標準化は促進の鍵となる。
「わたしが作りたいのは、最強の脳ではない。平凡な脳だ」。コビエロ氏は、講演の最後にチューリングの言葉を引用した。人間の経営活動を阻害するほど強力なセキュリティインフラは必要ない。人間の考えを予測しながら動作し、必要に応じて人間の判断をあおぐ柔軟性。そんなセキュリティインフラを目指し、ベンダーと企業、ともに取り組んで行こうとメッセージを発信し、同氏は講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。
セキュリティ強化を目指す企業が増える中、ゼロトラスト推進の難しさが浮き彫りになってきた。テレワーク対応などをゴールにするのでなく、「なぜゼロトラストが必要なのか」という原点に立ち返ることで、成功への筋道が見えてくる。
クラウド活用の進展と働き方の多様化に伴い、従来の境界型防御モデルでは対処しきれないセキュリティ課題が浮上している。本資料では、国内環境に最適化されたセキュリティ基盤を活用し、これらの課題に対応する方法を紹介する。
情報セキュリティにおいて、ランサムウェアは最大級の脅威だ。バックアップはランサムウェア対策の最後の砦ともいえるが、昨今はバックアップデータへの攻撃も目立ってきた。そこで、ストレージによる対策のアプローチを紹介する。
データの増大やサイロ化に伴い、セキュリティ対策の重要性が高まっている一方、サイバー脅威の高度化もとどまるところを知らない。こうした中、エッジからクラウドまで網羅するデータセキュリティは、どうすれば実現できるのか。
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
ユーザー任せの「PCセキュリティ」はもう限界 “誰が使っても安全”な方法とは (2025/4/21)
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
米EMCの副社長、アーサー・コビエロ氏
コビエロ氏はチューリングを引用して「考えるセキュリティ」を説いた
イベントの展示会場は多くの来場者でにぎわった
