セキュリティ・マネジメント

移行のタイミングは？ 本格導入の前に知っておくべきこと

企業向けには2006年11月にリリースされたWindows Vistaであるが、企業の多くは、この新しいクライアントOSの導入に慎重になっている。Windows Aeroやフリップ3Dなどの興味深い新機能がクローズアップされる一方で、Vistaが要求する非常に厳しいハードウェア・スペックにも注目が集まっているためだ。しかし、Vistaに備わる多くの機能は企業向けに設計されたものであり、現在の企業が抱えるさまざまな課題を解決に導く能力を備えている。本稿では、 Windows Server 2008との連携で見えてくるVistaの真価や、Vistaを実際に導入する前に知っておきたい注意点について探った。（2007年10月11日）

製品出荷の最終段階に入った次期サーバOSのベータ3を徹底検証

Windows Server 2008は、これまでWindows Server "Longhorn"という開発コード名で呼ばれていた、Windows Server 2003 R2の後継バージョンである。2007年4月26日には日本語版ベータ3がパブリック・ベータとして公開され、6月26日にはCTP（Community Technology Preview）版も発表された。ベータ3では主要機能がほぼフィックスしており、企業は実際の導入に向けた評価を行うことが可能になった。そこで本稿では、Windows Server 2008の新機能や強化、改善機能の中から特に注目したい9つの機能を取り上げ、評価に役立つ情報と併せて解説する。（2007年10月09日）

エンタープライズ市場に注力するマカフィーの新CEOが言明

　ストック・オプションを巡るスキャンダルを払拭するべく経営陣の刷新を図る米国マカフィーは、EMCでエグゼクティブ・バイスプレジデント兼顧客事業部門担当社長を務めていたデイブ・デウォルト氏を、今年4月、CEOに迎えた（関連記事）。レスリングで全米代表に選出された経歴を持つほか、熱心なトライアスリートとしても知られる同氏は、マカフィーにおいてここ6年間で実に4人目のCEOとなるが、持ち前のバイタリティとスポーツマンシップでこの難局を乗り切ることが期待される。Computerworldオンライン米国版は、先ごろ同氏を訪ね、セキュリティ市場の状況や競合会社の動向、さらにはマカフィーがエンタープライズ市場で図ろうとしているイメージ・チェンジの方向性などについてインタビューを行った。（2007年10月03日）

担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために

エンタープライズ・データの保護はきわめて重大な課題であり、米国企業もここにきてこの問題に本腰を入れて取り組み始めた。本稿では、社内に潜む脆弱性をあぶり出し、エンタープライズ・データを保護する方法を、米国のユーザー／ベンダーから学びたい。（2007年10月02日）

「TwC（信頼できるコンピューティング）」担当副社長、セキュリティ強化戦略の“今”を語る

米国マイクロソフトのTrustworthy Computing（TwC：信頼できるコンピューティング）担当副社長、スコット・チャーニー氏と言えば、ここ数年来同社が特に力を入れているセキュリティ製品強化計画の指揮官として活躍している人物だ。マイクロソフトに入社する前は、ハイテク犯罪担当連邦検察官、（ニューヨーク州）ブロンクスの地方検事補などとしても名をはせた経験を持つ同氏が、このほど、Computerworldオンライン米国版のインタビューに応じ、TwCの成果、進化するセキュリティ脅威の実態、同氏が現在不安に感じていること、などについて語ってくれた。（2007年10月01日）

風説の流布による株価操作といった犯罪化が顕著な傾向

スパム・メールは一向に減る気配がない。スパマーたちは、スパム対策をすり抜ける新たな手法を次々と“発明”し続けているからだ。特にここ1年ぐらいの間で、急増した画像スパムは、多くの読者に送りつけられてきたことだろう。本稿では、画像スパムに関する話題を中心に、スパム・メールの最近の動向やその対策手法などについて解説する。（2007年09月11日）

ベストプラクティスを実践し、仮想マシン・プラットフォームをマルウェアから守れ

仮想化技術が企業に本格的に普及するにつれて、仮想環境においてもセキュリティの重要性がクローズアップされるようになってきた。本稿では、仮想環境におけるセキュリティのベストプラクティスを紹介するとともに、この分野の最新技術動向をお伝えすることにしたい。（2007年09月07日）

「いま、セキュリティのパラダイム・シフトが起きている」

　米国シマンテックは2004年末、ストレージ・ソフトウェア・ベンダー大手の米国ベリタス・ソフトウェアを135億ドルで買収した。当時、IT業界における最大規模の買収劇として話題を呼んだこの取り引きの陣頭指揮を執ったのは、同社の会長兼CEO、ジョン・トンプソン氏であった。Computerworldオンライン米国版では、このほど同氏にインタビューを行い、ベリタス買収の最終的な評価とセキュリティ技術／市場の今後の方向性について聞いた。 （2007年09月03日）

UAC、BitLockerなど主要強化点の実用度をチェック

マイクロソフトが当初から宣言していたとおり、Vistaには同社の歴代OSの中で最も強固なセキュリティ機能が備えられている。だが、それが企業利用に耐えうるものであるかどうかは、また別の問題だ。本稿では、ブログ界やセキュリティ・ベンダーなど、反マイクロソフト派の人々が指摘する「Vistaのセキュリティ欠陥」の真偽について検証する。（2007年08月23日）

「スパム、ウイルス／ワーム対策の仮想アプライアンスが今年後半から伸びる」

仮想化技術への注目度は日増しに高まっている。その適用領域は広がりつつあり、メール・セキュリティに関しても仮想化技術のメリットを生かそうとする動きがある。その1つがプルーフポイントが昨年発表したメール・セキュリティの仮想アプライアンスだ。本稿では、米国プルーフポイントのCEO、ゲイリー・スティール氏と同社プロダクトマネジメント・ディレクター、スティーブ・ゴットウォルズ氏に、今日のセキュリティ脅威の傾向や同社製品の特徴などについて話を聞いた。（2007年08月17日）

ログ収集から構成管理まで包括的にカバーする製品群が差別化ポイント

アークサイトは、内部統制／コンプライアンスの支援にフォーカスした統合セキュリティ・マネジメント製品を開発／販売するベンダーである。同社は今年7月、日本版SOX法対応のための新製品をリリースした。編集部は、米国アークサイトでアジアパシフィック／日本担当のバイスプレジデント／ジェネラル・マネジャーを務めるロバート・ラウ氏に、同社製品の特徴や差別化ポイントなどについて聞いた。（2007年08月15日）

顧客ニーズを反映した機能追加のほか、サーバ仮想化に向けた検証も進行中

米国ラリタンは、KVMスイッチの開発を手がけるベンダーである（日本法人は日本ラリタン・コンピュータ）。遠隔地のデータセンター運用管理を支援するためのKVMスイッチは現在、セキュリティ確保の仕組みとしても注目されているという。本稿では、同社会長兼CEO（最高経営責任者）のチンイ・シュウ氏に、KVM市場の現状や同社のビジネス、新製品などについて話を聞いた。（2007年08月07日）

職場のPCに接続可能な“ガジェット”がリスク要因に

最近、PDAやUSBフラッシュ・ドライブ、デジタルカメラ、携帯音楽プレーヤーなどの小型デバイスが、機密情報漏洩やウイルス／ワーム感染などを引き起こす要因になるとして、社内への持ち込みや使用を禁じる企業が増えている。本稿では、小型デバイスに起因するセキュリティ・リスクを最小限に食い止めるために企業がとるべき対策を詳しく紹介する。（2007年07月31日）

気軽なコミュニケーション・ツール。だが気軽に運用してはいけない

インスタント・メッセージング（IM）は、米国の多くのビジネスパーソンにとって、日常の業務連絡に欠かせないツールとなりつつある。しかし、いくらIMが気軽に利用できるからといっても、ポリシーやルールを定めることのない“野放し”の状態にしていては、いつか深刻なセキュリティ被害の憂き目にあうことになる。本稿では、企業・組織でIMを利用することによって発生するリスクと、その対処方法について検討する。（2007年07月26日）

ブログ、Wiki、SNS、ビデオ共有……便利だが危険と隣り合わせのWeb 2.0

ここ1、2年ですっかりおなじみの存在になった、ブログやWiki、SNS（ソーシャル・ネットワーキング・サービス）、ビデオ共有サービスなどのソーシャル・メディア。複数のユーザーによる情報共有、協調作業が容易な点が評価され、これらを企業で活用する動きも活発化している。だが、ソーシャル・メディアの多くは便利で、革新的でもあるが、企業のITマネジャーや情報セキュリティ担当者にとっては悩みの種の1つにもなっている。本稿では、これらのツールが抱えるセキュリティ・リスクをいかにして最小限に抑えるかについて考えてみたい。（2007年07月24日）

Windowsファイル共有やIP電話に対応可能な方式も登場

リモート・アクセスの手法として広く普及したSSL-VPN。当初はアクセスできる対象がWebアプリケーションに限られていたが、現在はその実現方式が多様化し、アクセス対象が広がっている。ただし、それぞれの方式に特徴があり、導入を考える際には自社のニーズに最適なものを見極めることが必要だ。本稿では、SSL-VPNの各方式と製品選定のポイントについて解説する。（2007年07月19日）

セキュリティ責任者が実践すべきこと、すべきでないこと

情報漏洩を引き起こした企業が受けるダメージは大きい。しかし、事件発生直後の対処のしかたによっては、そのダメージを最小限に抑えることができる。ここでは、情報漏洩発覚時の事後処理において、セキュリティ責任者が実践すべきこと、および実践すべきでないことを紹介する。（2007年07月12日）

データセンターでもオープンソースの導入が進行中

オープンソース技術はすでにほとんどのデータセンターに浸透し、急速にその影響を拡大しつつある。だが、新しいLinuxサーバをラックに放り込むことには躊躇しないデータセンターの管理者たちも、自社のネットワークを魑魅魍魎（ちみもうりょう）の世界と隔てるためのファイアウォールの構築となると、途端に、オープンソース技術の利用に臆病になる。その裏には、セキュリティだけはオープンソースでは安全性、安心性が保証されないとの思い込みがいまだにあるようだが、もはやそうした考えは捨て去るべきであろう。（2007年06月25日）

進む主要ディストリビューションでの対応、機能拡張、認定取得

セキュアOSの特徴を押さえたところで、本稿では、製品選びの参考になる情報を示そう。商用のセキュアOSとオープンソースのセキュアOSの特徴について解説したのち、Linuxコンソーシアムによる「セキュアOS評価項目Ver1.0」、LinuxディストリビューターによるセキュアOSへの対応状況（2006年4月時点）などについて説明する。（2007年06月14日）

なぜ注目されている？ 普通のOSと何が違う?

WindowsのAdministrators権限やUNIX系OSのroot権限は、何でも実行できるという点で便利な一方、悪用されたらOS全体を乗っ取られてしまうというリスクを抱えている。また、Administrator権限やroot権限にはアクセス制御をかけることができない。こうしたOSにおけるアクセス制御の弱点を補うのがセキュアOSである。本稿では、セキュアOSが登場した背景と、セキュアOSの基本機能である強制アクセス制御と最小特権の仕組みについて説明する。（2007年06月12日）