［米国］【RSA Conference 2008】
業界のビッグネームたちが語る、情報セキュリティ対策の“勘所”

RSAのCoviello社長「今後、求められるのは情報中心型のセキュリティ」

（2008年04月10日）

　「完璧なセキュリティを目指すのは時間とコストの無駄である。これからはリスクを分析しながら保護すべきデータを見定める、インフォメーション・セントリック（情報中心型）セキュリティのアプローチが求められるようになる」──そう主張するのは、米国RSA Security社長、アーサー・コヴィエロ・ジュニア（Arthur W.Coviello, Jr.）氏だ。同氏は4月8日、米国サンフランシスコで開催された世界最大規模の情報セキュリティ関連イベント「RSA Conference 2008」（4月7日～11日開催）の基調講演に登壇し、企業が講じるべきセキュリティ対策のポイントについて語った。

米国EMCではセキュリティ・ディビジョン担当エグゼクティブ・バイスプレジデントを努める、米国RSA Security社長のArthur W.Coviello,Jr.氏

　Coviello氏は、RSA Securityで社長を務める傍ら、親会社の米国EMCではセキュリティ・ディビジョン兼エグゼクティブ・バイスプレジデントという肩書きも持つ、セキュリティ業界のキーマンの1人である。同氏によると、企業を襲うセキュリティ上の脅威は多様化が進む一方であり、専業ベンダーが提供するセキュリティ製品でも単一ではほとんど役に立たなくなっているという。また、セキュリティに対する闇雲な投資と、それに伴う管理の複雑化が、かえってビジネス・リスクを高めており、「企業は今こそ、守るべき情報の範囲を定め、ビジネス・リスクの観点から自社のセキュリティを見直す時期にある」と語った。

　どのようなセキュリティ対策を行うかを検討する際には、「人、プロセス、技術」の3つの要素を考慮することが重要とCoviello氏は指摘する。「セキュリティ・システムは技術だけで成り立つものではない。人やプロセスが互いに関与し合って初めて実現するものだ」（同氏）

　またCoviello氏は、特に重点的に取り組むべき施策として、(1)リスクの明確化、(2)データの集中と分析、(3)ナレッジ・ギャップの解消、(4)ITインフラの見直し、の4つを挙げた。同氏は、「これら4つの施策は、インフォメーション・セントリック・セキュリティを展開していくうえで欠かせない。自社の情報システムにどのような脅威があるのかを洗い出し、自社においてどのような脆弱性があるかを知ったうえで、適切な対策を考えていかなければならない」と強調した。

セキュリティ業界のビッグネームが続々登場

　基調講演には、RSA Securityのパートナーである米国Symantecの会長兼CEO、ジョン・トンプソン（John W.Thompson）氏も登場し、Coviello氏と同じく、インフォメーション・セントリックのセキュリティ・アプローチの重要性を訴えた。

米国Symantec会長兼CEOのJohn W.Thompson氏

　Thompson氏は、金銭の詐取や情報の不正取得などを目的としたサイバー犯罪の増加が深刻化するなか、企業におけるセキュリティ対策は、「IT部門だけでなく、経営層を含む複数のスタッフがかかわりながら、自社のビジネス・モデルを考慮したうえで講じていく必要がある」と強調した。また、社内のすべての情報を保護するのではなく、ビジネス・リスクを分析したうえで重要な情報のみを保護することが、ポリシー主導のセキュリティ対策を講じるうえでポイントになると説明した。

　また、Thompson氏に続いて登壇した米国Microsoftのリサーチおよび戦略担当責任者、クレイグ・マンディ（Craig Mundie）氏は、同社のセキュリティ戦略の概要を説明したほか、パネル・ディスカッションでは、Diffie-Hellman公開鍵暗号の開発者である米国Sun Microsystemsのバイスプレジデント兼CSO（最高情報責任者）ホイットフィールド・ディフィー（Whitfield Diffie）氏とStanford大学教授のマーチン・ハルマン（Martin E. Hellman）氏、RSA公開鍵暗号の開発者であるMIT教授のロナルド・リベスト（Ronald Rivest）氏とイスラエルのWeizmann Institute of Science大学教授のアディ・シャミル（Adi Shamir）氏が参加し、暗号化技術関連の最新動向について熱のこもった議論を交わした。