 |
|
|
|
||||||
新春インタビュー2003 >>
関連リンク |
|
|
 |
| 山野氏は「ユーザーが気づかなくてもセキュリティが確保されることが大事だ」と語る |
ZDNet 個人が証明書を持つ時代も来るのでしょうか。
山野 一般向けのパソコンを購入すると証明書が入っている、といったケースがあるとも思いますが、たとえば今後普及すると言われている「情報家電」の分野で利用されることが多いかもしれません。証明の信頼度はあまり高くならないとは思いますが、デバイスを特定するためには使えます。情報家電を買うと、どこのメーカーのどの製品といった証明書が入っているわけです。これは模造品の排除という点でも重要になってくるでしょう。製品を作って半年後にはコピーされた製品が出てくるという実態もあるようですので、「ファクトリーCA」というか、出荷する際に製品に秘密鍵を入れて、公開鍵をメーカーが管理すれば、製品にアイデンティティを持たせることができます。VPNやIP電話などで、製品に入っている証明書を利用して通信すれば、ユーザーが意識しなくても安全な通信が可能となります。
ZDNet これも「エンドユーザーに意識させないセキュリティ」ということですね
山野 そうですね。通信したときには知らないうちにSSLやIPSecを使っているといったように、通信時にはデバイスに対してのサーバ認証がいつの間にか行われることで、安全が確保されるわけです。
証明書以外にも、2003年は「個人情報保護」という観点が非常に重要になってくるでしょう。先ほども述べたように、これまではセキュリティポリシーやファイアウォールなどで外から来る攻撃を防ぐことに力点が置かれていましたが、内部から情報が漏れるほうがよっぽど危険です。また「個人情報の保護に関する法律」(いわゆる個人情報保護法案)が可決成立すれば、情報を外に漏らした時点で処罰されるようになります。企業としては、個人情報を外に漏らさないための仕組みが重要になってきます。OS、アプリケーション、データベースをはじめとして情報をまとめて保護するという気運が高まっていくことは間違いありません。こうなってくると、万が一個人情報が外に漏れた場合、ログといいますか、誰が何時何分にこの情報にアクセスした、という履歴が取れてないと、あとでトラッキングできなくなります。危機管理という面では個人情報の保護が注目されるでしょう。
もうひとつはWebアプリケーションですね。まだ本格的に普及していないし、充実していないという声も聞かれますが、遅かれ早かれWebを利用したアプリケーションサービスに移行することは間違いありません。Webアプリケーションほどセキュリティが重要なものはありません。Webアプリケーションでは、情報処理を第三者にアウトソーシングするわけですから、相手は信頼のおける機関で、しかも実在するということが証明されないと使えません。また通信路の安全性も重要です。情報を流すときにも、何時何分に作成した情報が間違いなく相手に届いているか、というトランザクションの部分での保証も必要になります。
Webサービスで心配しているのは、セキュリティがちゃんと確保されていないと、どこかで事故が起きて、いつかは頓挫してしまうということです。閉じられた企業内でWebサービスを利用する分には問題は少ないと思いますが、第三者にWebサービスを任せることが多くなれば、契約書などの重要文書がインターネットを介してやりとりされることになるので、セキュリティを確保しなければならないシーンは多いと思います。これは技術論だけでは解決できない問題です。まずは小規模なアウトソーシングから始まるとは思いますが、規模が大きくなっていけばいくほど標準化は重要だと思っています。
このため、Webサービスがらみのセキュリティについては海外でも大きく論じられていますし、「Liberty Alliance」や「WS-Security」といったものができているわけです。ここで決めなければならないことは多くのレイヤーに別れていますので、まだまだ時間がかかるでしょう。
ZDNet この1年はセキュリティがらみの事件が多く、企業そのものの信頼が揺るいでいるように思えます。広範な意味でのリスク管理にも関連するかと思いますが、万が一の時の備えがこれからはより一層求められますね。
山野 企業にしろエンドユーザーにしろ、皆さん不安になっていますよね。これまでは「ウイルスに感染した」、「サーバに進入された」など、被害者の立場で考えることだけで済みました。でもいまは、ウイルスに感染したと同時にほかの人にウイルスメールを送信してしまうといったように、加害者になる危険性も大きくなっているわけです。企業が意図しているわけではないのに、顧客情報がWebサイトから流れてしまう事件もありました。顧客情報を勝手に取られてしまった企業はある意味被害者ですが、情報が漏洩した瞬間に社会的には加害者と見なされてしまうし、管理責任が問われて社会的なダメージ受けます。これほど怖いことはありません。これを防ぐためにはセキュリティポリシーの策定や、セキュリティ意識を高めるための社員教育を徹底することしかないですね。でもこういった事故、事件を予見することはできないし、100%の保証はないと思います。地道に意識を変えていくしかないでしょう。
ZDNet ところで、日本がいまの不況から抜け出すためには、どうしたらよいとお考えですか。
山野 日本は製造業が強いので、それが立ち上がらないと景気は上向いていかないでしょうね。でもアメリカは違って、携帯電話やパソコン、情報家電も含めて、いろいろなデバイスがネットワークにつながっていく速度が、日本は割と早いと思います。ユビキタスを一番早く実現できるのは日本ではないでしょうか。するとこれまで以上にWebサイトやネットワークを使った進化が起きてくるでしょうね。これまで以上にWebをベースとしたビジネス革新が起きていくでしょうから、そこがポイントになってくると思います。
ただそうなると、ネットワークに簡単につながるので、個人の情報が簡単に手に入ってしまうことにもなりかねません。このため、ユビキタスを実現するためにも、何らかの形でセキュリティが重要になってくるでしょう。
 |
|
|
|
 |
「去年と同じで子供と遊んでいると思います(笑)」と語る山野氏。ADSLを導入したので、パソコン情報誌を片手にブロードバンドを楽しもうという計画もあるようだ。
関連リンク
2003年新春インタビュースペシャルRSAセキュリティ[聞き手:今藤弘一、高橋睦美,ITmedia]
