IM禁止から活用への転換を進める金融機関:鍵はポリシー強化
IMは個人ユースからビジネスユースへと用途が広がる一方で、「成長の痛み」を抱えてきた。だが、安全なコミュニケーションを実現するアプローチが登場してきている。
インスタントメッセージング(IM)が90年代半ばに登場して一躍脚光を浴びると、金融サービス業界の従業員は無料で使えるこのリアルタイムコミュニケーションアプリケーションにすぐに飛びついた。電子メールや電話よりも手っ取り早いコミュニケーションツールとして、多くの大手金融機関、とりわけ証券会社のデスクトップでAOL、Yahoo!、MSNのIMウィンドウがポップアップするようになっていった。
だが、規制順守の観点に加え、メッセージを瞬時にやりとりするIMでは、インサイダー取引の疑いを掛けられた場合に備えるための書面の記録が残らないことから、たちまち締め付けが行われた。多くの企業がIMアプリケーションの使用を全面的に禁止し、ほかの企業もその使用を特定の従業員やプラットフォーム、コンテンツなどに限定した。
しかしGartnerは、2010年までに企業の間で、これまで電子メールサーバが普及してきたように、ユニファイドコミュニケーションプラットフォームの導入が進むと予測している。「金融サービス会社のセキュリティ責任者やコンプライアンス責任者にとっては、悩みの種が増えるだろう」と、IMセキュリティベンダーのFaceTime Communicationsのカイラシュ・アンブワニ社長兼CEOは語る。
IMは個人ユースからビジネスユースへと用途が広がる一方で、「成長の痛み」を抱えてきた。だが、専門ソリューションや新しいプロトコル、ポリシーの強化などによって安全なリアルタイムコミュニケーションを実現する効果的なアプローチが登場しており、IMは、広く受け入れられるコミュニケーション形態へと成熟してきている。
専門ソリューション
ここ10年で商用およびオープンソースのさまざまなIM製品が広く提供されるようになった。例えば以下のようなものがある。
- Akonix、FaceTime、Jabberなどのベストオブブリードソリューション
- Microsoftの「Office Communications Server 2007」(OCS)やIBMの「Lotus Sametime」といったIMが統合されたユニファイドコミュニケーションプラットフォーム
- SymantecやBarracuda Networksのようなベンダーが提供する、ネットワークトラフィックの監視や管理を行うファイアウォールやウイルス対策などのセキュリティアプライアンスやアプリケーション
また、IM市場ではユーザーのネットワークアイデンティティーにIM認証情報を追加する製品から、公開されているIMクライアントをプライベートネットワーク上で管理する製品まで、多数の柔軟な製品が生まれている。
さらに、既存および新規の規制の要件がますます詳細に規定されるようになっていることから、これらの要件への対応を支援する目的で、メッセージの保存、集積、探索といったコンプライアンス関連機能がIM製品に統合されてきている。
一方、ウイルスやハッカーの攻撃で、IMを使うことでネットワーク境界のセキュリティ対策をすり抜けて悪意あるペイロードを送り込む手口が非常に一般化している。だが幸い、商用IMベンダーやセキュリティ製品ベンダーはこれに対抗して、適切なエンタープライズクラスの保護を提供している。
新しいプロトコル
AOL、MSN、Yahoo!などの初期のIMアプリケーションは、いずれもSIP(Session Initiation Protocol)をベースに開発された。XMLベースのプロトコルXMPP(Extensible Messaging and Presence Protocol)はSIPとは異なり、相互運用性、安全性、永続性、アーカイブ性が高く、金融サービス業界の厳しい要求を満たしている。
コミュニケーションを専門とする教育・コンサルティング会社Conversantのビジネス開発担当副社長、ジェフ・ランバート氏は、XMPPを有効なソリューションの基盤の1つと考えている。「社内のIMを機密化しようとする動きが広がっている。例えば、Goldman Sachsのような金融企業はXMPPサーバを買い、ほかのサーバとのやりとりについてさまざまなレベルの認証、セキュリティ、アーカイビングを設定できる」
ポリシーの強化
強力なポリシーを実施することは、金融サービス会社がIM利用を管理し、法令違反を防止するもう1つの方法だ。
「ポリシーや監視、アーカイビングに関する妥当な施策を講じていることを証明できれば、その企業は潔白ということになる」とアンブワニ氏は語った。さらに同氏は、ある証券会社の株式ブローカーがIMを使って市場のニュースを事前に入手して取引を行った事件を引き合いに出した。
「その証券会社はSEC(米証券取引委員会)に目を付けられ、調査を受けた。だが、IMの社内ポリシーとIMの会話記録を証拠として提出できた。そのおかげで、ブローカー個人は免許を失ったものの会社は処分を免れた」(アンブワニ氏)
ランバート氏は、今では金融サービス業界はどの業界よりもうまくIMを管理していると考えている。一方、アンブワニ氏はその先に目を向けている。
「われわれは、現在のIMのコントロール、アーカイビング、セキュリティ確保には対応できている。だが、Web会議やVoIPといったこれからの機能についても考えている」(同氏)
本稿筆者のサンドラ・ケイ・ミラー氏は、「Information Security」誌のテクニカルエディター。石油、製造、高級リゾート、ソフトウェアの各業界で最新技術の開発と導入を15年にわたって経験した。エンタープライズクラス製品を担当するアナリストを10年務めている。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.