「Unbreakableなエンタープライズは実現可能か」――オラクル担当者らがディスカッション
| 【国内記事】 | 2002.2.25 |
「Unbreakable(無敵)なエンタープライズシステム構築は可能か」――米サンノゼで先週開催されたRSA Conference 2002の会期中に,この非常に難しいテーマについて話し合うディスカッションが行われた。
ディスカッションを主催したのは米エヌサイファ。パネラーとして,昨年末のOracel OpenWorld 2001 San Francisco以来「Unbreakable」キャンペーンを展開している米オラクルのチーフ・セキュリティ・オフィサー(最高セキュリティ担当者),メアリ・アン・デビッドソン氏のほか,米ベリサインのCTO(最高技術責任者),ウォービック・フォード氏,暗号の専門家として知られるブルース・シュナイアー氏らが参加した。
 |
| オラクルのデビッドソン氏(左から2人目),ブルース・シュナイアー氏(右端)らが参加したディスカッション |
この中でオラクルのデビッドソン氏は,「オラクルの製品は現在“Unbreakable”だ。われわれは,製品サイクルにセキュリティ評価を組み込んでおり,デザインの段階からセキュリティを考慮している。よりよいソフトウェア提供のためのプロセスを進めている」と述べた。
では,Unbreakableなエンタープライズ実現のために重要なことは何か,という司会者の問いに対しては,「製品のセキュリティを高めることもそうだが,人々を組織化し,製品をより透過的に利用できるようにすること」(フォード氏),「ポリシーや管理の面も含め,製品をより使いやすくすること。アプリケーションにセキュリティをさらに統合していくこと」(米F5ネットワークスの開発マネージャ,ライアン・カーニー氏),「レイヤーごとにセキュリティを加えていくこと。また,新しいサービスには暗号化などの手段が必要だし,高いパフォーマンスや信頼性も必要だ」(米ブロードコムのマーク・バウアー氏)といった,興味深い指摘がなされた。
特にバウアー氏は「ネットワークをインフラとして構築していくにつれ,それを破壊しようとする新たな挑戦に直面することになる」と,無敵のエンタープライズ環境を実現する難しさに触れた。
シュナイアー氏は一連の発言を受けて,「皆さんがおっしゃるポイントは,すべて頷ける点がある」とした上で,「サイバースペース上のセキュリティは,現実世界におけるセキュリティと同じだ」と語っている。
「不正システムからシステムを防御すべく,堅牢なセキュリティを構築することも重要だが,攻撃の検知と対処のプロセスも同じくらい価値のあることだ。残念ながらこれらのプロセスは見逃されることが多い。しかし考えてみてほしい。ハイジャックを防止するようさまざまな手を打つのも重要だが,万一ハイジャックが起きたときには,すばやいレスポンスが有効だ。Unbreakableなエンタープライズもこれと同じで,いかにレスポンスを早くするかが鍵を握る」(シュナイアー氏)
また企業のセキュリティポリシーについては,デビッドソン氏が「アプリケーションなどに対するアクセス権限を定めるポリシーだけではなく,何を守るべきなのかを定めたポリシーが必要だ。技術的なポリシーだけではなく,物理的なポリシーも欠かせない」と発言。
さらに話題は,セキュアなアプリケーション開発のプロセスにも広がり,「今現在は実現されていないことだが,開発者に対する一定のセキュリティ教育が必要」(デビッドソン氏),「システムが複雑化している現在,よりシンプルなインタフェース,シンプルな実装が重要になる」(バウアー氏)など,示唆に富んだ発言が繰り広げられた。
関連リンク
[高橋睦美 ,ITmedia]
