ニュース
» 2005年02月04日 20時31分 UPDATE

ゴルフ場を舞台にしたカード偽造事件は「今の情報セキュリティの問題の象徴」

RSA Conference Japanの実行委員長を務める安延申氏は、「経営の問題として情報セキュリティを考える必要がある」と指摘する。

[ITmedia]

 「情報セキュリティ事故の結果が会社の経営にまで跳ね返ってくる事象が増えた。これまでのように『不正アクセスがどうした、こうした』といった観点にとどまらず、経営問題として情報セキュリティを考える必要性が高まっている」――ウッドランド代表取締役社長にしてRSA Conference Japanの実行委員長を務める安延申氏はこのように語った。

 安延氏は、こうした傾向を象徴するのが、1月に発覚したゴルフ場におけるスキミング(カード偽造)事件だと述べた。この事件では、本来ならば利用客を守るべき立場にあるゴルフ場の支配人自ら犯行グループに加担し、貴重品ロッカーのマスターキーを渡していた。

 「いくら技術的な対策を施したとしてもセキュリティは完結しないということが典型的に現れた事件だ」(同氏)。

 この事件では、支配人自身が「悪者」であるという、ロッカーのセキュリティ対策を施した技術者が想定もしなかった事態が起こった。住基ネットにも言えることだが、窓口の人間、担当者は信頼できるのかどうかという基本的な事柄も含めたガバナンスの問題にウェイトが写りつつあることを示したものだという。

 また、カード偽造事件全般に共通する問題として、暗証番号の設定についても設計側の想定外のことが起こっている。一般に、暗証番号には生年月日などの安易なものは使わず、頻繁に変更することが推奨されている。しかし実際のところは、面倒だったり覚え切れなかったりでそのとおりに運用されているケースは少ない。「『危ないのだからこうするように』と呼びかけても、人間なのだからそれを守らないこともある」(安延氏)。

 「想定した前提どおりに動かないこともある。このことを踏まえ、デジタルとアナログの両方の対策を組み合わせなければ、実害を防ぐことはできない」(同氏)。

安延氏 こういった業種ならばこの程度の対策が必要だというものさしが提示できていない点が問題だと述べた安延氏

 5月12日、13日にわたって開催されるRSA Conference 2005 Japanでは、前回に引き続き、そういった視点からセキュリティについて考察していく「マネージメントトラック」を設けるという。

 もともとは暗号学者の集いから始まったカンファレンスだけに、RSA Conference Japanの特徴は、最新のセキュリティトレンドに関するセッションが用意されることだ。それも、「ワールドワイドから、最先端を走っているスピーカーがやってくる」(安延氏)。そういったセッションと同時に、アナログ的な対策も含め、ガナバンスの一環としてセキュリティについて検討する場を設けていくという。

 同時に、技術開発の部分だけでなく、実装や運用面でのセキュリティも取り上げていく方針だ。「技術だけでなく、運用の部分も重要だ。個人認証基盤もその例だが、実装上の問題はたくさんある。技術論だけで完結せず、それを実効あらしめるためにはどうすべきかを探っていきたい」。さらに、フォレンジックをはじめ、セキュリティと法律とのかかわりについて考察する内容も盛り込んでいくという。

指標なきままの市場加熱

 個人情報保護法の全面施行を前にセキュリティ市場は過熱気味だが、安延氏は、セキュリティベンダー側のあり方についても疑問を呈した。「残念ながらベンダーは、ユーザーのニーズをつかみきれていない」(同氏)。

 最も分かりやすい例は「オオカミ少年」商法だ。「ウイルス対策ソフトを導入したら次はVPNだ、IDSだ、という具合に次から次へと売ってきたが、導入する側の企業は『いったいいくらお金を使えばいいのか』という疑問を抱き始めている。しかし、この疑問にきちんと答えることのできるベンダーがいない」(同氏)。

 対極にあるアプローチは「すべてわが社にお任せ」方式だ。ネットワークもアプリケーションもセキュリティもひとまとめに提供するのはいいが、長い目で見ればこれも、セキュリティのコストバランスを曖昧にしたままにするという意味で、ベンダー自身の首を絞める結果になるのではないかと安延氏は警告する。

 同氏はこの状況を、同じ条件で保険の見積もりを取って比較したいのに、各社がそれぞれ、あれもこれもと付け加えてくる結果、客観的な横並びの比較ができないようなものだと言う。「『うちを使ってください』というだけで、あんまり参考になる意見が出てこない」(安延氏)。

 これは、顧客が真剣に情報セキュリティについて考え始めていることの裏返しだろう。ユーザーが冷静に「本当にこのセキュリティ製品は必要なのか」と問い始めるようになった今求められるのは、どういったセキュリティ対策にいくらコストがかかるのかを明確にすること、会社の規模や業界ごとに本当に必要なものを標準化、指標化すること、そしてその上で「経営の問題としてセキュリティをとらえ、『こうすべきだ』と的確に提言できる」(安延氏)ベンダーになることではないか。そのための場としてRSA Conference Japanを有効に活用して欲しいと同氏は述べている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ