【 ここから本文 】
- TOP
- > Topics : システム脆弱性
- >
システム脆弱性
ソーシャルブックマークに登録 :
印刷用ページの表示
【インタビュー】
“元ホワイトハウスCSO”ハワード・シュミット氏が語る「今、ここにあるセキュリティ危機」
プライバシーとセキュリティのバランス/RFIDパスポートの問題点/企業によるITワーカーの素行調査……
(2008年06月09日)
米国R&H Security ConsultingのCEO、ハワード・シュミット(Howard Schmidt)氏については、現職よりも31年間務めたホワイトハウス時代の経歴のほうが広く知られているだろう。Computerworld米国版は先ごろSchmidt氏へのインタビューを行い、プライバシーとセキュリティのバランス、RFIDパスポートの問題点、企業によるITワーカーの素行調査などについて同氏の意見を聞いた。
Sharon Gaudin
Computerworld米国版
 |
| Profile
【氏名】Howard Schmidt 【現職】米国R&H Security Consulting CEO 【企業所在地】ワシントン州イサクア 【印象に残っている仕事】「アリゾナの警察署に6年間勤務したころ、素晴らしい人々との出会いがあった」 【いつかチャレンジしてみたい仕事】「民間航空会社のパイロット、またはプロのバス釣り 【趣味】「釣り。よくアラスカでボート釣りをしている」 【どんな高校生だったか】「ダンスに明け暮れていた。だれも踊っていないときも、アルコールの力を借りることなく気にせず踊りまくった。今でもそうだ」 |
米国R&H Security ConsultingのCEO、ハワード・シュミット(Howard Schmidt)氏については、現職よりも31年間務めたホワイトハウス時代の経歴のほうが広く知られているだろう。2001年9月11日の同時多発テロのわずか3カ月後、ブッシュ大統領からサイバースペース・セキュリティ担当特別顧問に任命された人物だ。
同氏のセキュリティ分野における職歴は実に多彩である。まず民間企業での経歴の一部を挙げるなら、eBayでバイスプレジデント兼CISO(最高情報セキュリティ責任者)とCSS(最高セキュリティ・ストラテジスト)、MicrosoftではCSO(最高セキュリティ責任者)職に就いた。軍事機関では、米国空軍特別捜査局(AFOSI)のコンピュータ・フォレンジック研究所およびコンピュータ犯罪/情報戦争部門でディレクターを務めた経歴を持つ。
Computerworldは先ごろSchmidt氏へのインタビューを行い、プライバシーとセキュリティのバランス、RFIDパスポートの問題点、企業によるITワーカーの素行調査などについて同氏の意見を聞いた。
──セキュリティ分野で今起こっている、最も恐ろしいことは何か。
Schmidt氏:モバイル・デバイスと、われわれがそれに求める機能だろう。これらのセキュリティに関して十分に注意が払われていないのが実情だ。現在ではあらゆるアプリケーションをモバイル・デバイスにダウンロードし、インストールできるようになった。携帯電話は通話以外の用途に使われることが多くなっている。私自身、携帯電話を使ってPayPalアカウントから送金したり、銀行口座を確認したりしている。だが最近は、これらのメカニズムを悪用するケースが発生している。かつてデスクトップを攻撃していた犯罪者は今、“ポケットに携行するPC”に進化したモバイル・デバイスに目を向けているのだ。このまま何の手も打たずにいたら、5年も経たないうちに深刻な事態が起きるだろう。とにかく今すぐに何らかの対策を講じる必要がある。
──現在、CSOたちが最も憂慮している問題とは何か。
Schmidt氏:職場環境で最も懸念されていることの1つが、リスク管理とコンプライアンスに関する問題全般だ。私が話をするCSOのほとんどは、最良のテクノロジーといった前向きな話題よりも、ガバナンス、リスク管理、コンプライアンスに対する自分たちの取り組みが正しいかどうかについて不安を訴えてくる。企業が抱えるリスクを確かに最小化できているのかどうか、事業運営が連邦法、州法、国際法のすべてを順守していることをどのように確認すればいいのか――こうした声がよく聞かれる。
──企業はどのようにしてセキュリティとプライバシーの均衡を図ればよいのか。
Schmidt氏:「セキュリティが欲しいならプライバシーはないと思え」という考え方が昔から主流のようだが、私自身はこの2つの関係を「セキュリティがなければプライバシーは保障されない」と見ている。プライバシーを2つの問題に分けて考えてみよう。1つは、データ保護に直接関係するものだ。自分たちのデータを保護するにはどうしたらいいか。すぐれたセキュリティ技術を使えばいいのだ。だが、2つ目が非常に難しい。自分のデータがだれにどのように使われるのか、それを自分でコントロールできるのか、(悪用された場合は)無効にできるのか──。残念ながら、現実問題としてわれわれは自分のデータをコントロールできていない。
私自身の体験談を話そう。息子がウィスコンシン州の医学部に通っているのだが、学生寮に入って食費を支払うよりも家を買おうということになった。契約の際、(不動産業者は)私の社会保障番号が必要だと言った。断っておくが私が資金を出したわけではない。その理由を尋ねると、相手は「理由はわかりませんが、うちの会社の方針なんです」と言うではないか。そこで私はこう返してやった。「私のID、パスポート、運転免許証をすべて見せたんだ。身元は確認できたはずだ。その上にまだ社会保障番号が必要とはどういうことだ。だれかに悪用されたらどうしてくれるのか」。もちろん、社会保障番号は書かなかった。私はこの1件において自分の権利を一貫して主張し、コントロールできたと考えている。先に挙げた2つ目の問題に戻ろう。現時点で必要な対策は、プライベート・データに関する権利をもっと増やすことだ。情報プライバシーに関する権利法がぜひとも必要だ。
【解説】「オンライン・セキュリティ新法」でサイバー犯罪の芽を摘む
セキュリティ専門家がSNSでの犯罪や情報プライバシー危機への対策を提言
【解説】米国連邦政府のセキュリティ対策、2007年の総合評価は「C」
評価プロセスの形骸化を批判する声が専門家の間で高まる
ブルース・シュナイアー氏が語る「セキュリティ・シアター」の功罪
実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり
[米国]【CompTIA調査】ITスタッフにセキュリティ・スキルを強く求めるも、十分なレベルに達せず
スキル不足の原因を半数以上が「技術進化のペースが速すぎるから」と回答
