業界のビッグネームたちが語る、情報セキュリティ対策の“勘所”
対策のカギは「情報中心型セキュリティ」のアプローチにありITセキュリティ業界最大のコンファレンス&展示会「RSA Conference 2008」が4月7日から11日までの5日間にわたり、米国サンフランシスコのモスコーニ・センターで開催された。ネットワークや暗号、認証技術や標準規格、実装、法律、政策などあらゆる方面からセキュリティを扱う同コンファレンスでは、15の基調講演、19種類のトラックからなる220以上のセッションが繰り広げられた。また、展示会場には350社以上のセキュリティ関連ベンダーが一堂に会し、各社製品のデモやサービスのプレゼンテーションなどを行った。以下、同コンファレンスで注目を集めた最新のトピックなどを紹介しよう。
企業は今こそ自社のセキュリティを見直す時期
「完璧なセキュリティを目指すのは時間とコストの無駄である。これからはリスクを分析しながら保護すべきデータを見定める、インフォメーション・セントリック(情報中心型)セキュリティのアプローチが求められるようになる」──そう主張するのは、米国RSA Security社長、アート・コヴィエロ(Art Coviello)氏(写真1)だ。同氏は4月8日に行われたRSA Conference 2008の基調講演に登壇し、企業が講じるべきセキュリティ対策のポイントについて語った。
Coviello氏は、RSAで社長を務める傍ら、親会社の米国EMCではセキュリティ・ディビジョン兼エグゼクティブ・バイスプレジデントという肩書きも持つ、セキュリティ業界のキーマンの1人である。同氏によると、企業を襲うセキュリティ上の脅威は多様化が進む一方であり、専業ベンダーが提供するセキュリティ製品でも単一ではほとんど役に立たなくなっているという。また、セキュリティに対する闇雲な投資と、それに伴う管理の複雑化が、かえってビジネス・リスクを高めており、「企業は今こそ、守るべき情報の範囲を定め、ビジネス・リスクの観点から自社のセキュリティを見直す時期にある」と語った。
どのようなセキュリティ対策を行うかを検討する際には、「人、プロセス、技術」の3つの要素を考慮することが重要とCoviello氏は指摘する。「セキュリティ・システムは技術だけで成り立つものではない。人やプロセスが互いに関与し合って初めて実現するものだ」(同氏)
またCoviello氏は、特に重点的に取り組むべき施策として、(1)リスクの明確化、(2)データの集中と分析、(3)ナレッジ・ギャップの解消、(4)ITインフラの見直し、の4つを挙げた。同氏は、「これら4つの施策は、インフォメーション・セントリック・セキュリティを展開していくうえで欠かせない。自社の情報システムにどのような脅威があるのかを洗い出し、自社においてどのような脆弱性があるかを知ったうえで、適切な対策を考えていかなければならない」と強調した。
