“いたちごっこ”の情報漏えい対策はやめよう――米SafeNetのCOO

企業の情報漏えい対策は、「個々の原因に対処するよりも、データ自体を保護する仕組みに転換すべきだ」とSafeNetのクリス・フェッド社長兼COOは話す。

[國谷武史，ITmedia]

　日本と同様に欧米でも情報漏えいは深刻な問題――米SafeNetのクリス・フェッド社長兼COOは、経営環境のグローバル化などを理由に「企業は情報セキュリティに対するアプローチを転換すべきタイミングに来た」と話している。

フェッド氏

　同社は従来、認証や暗号化処理、デジタル著作権管理などネットワークセキュリティ分野を主力としてきた。近年はデータセキュリティのIngrian買収などで、情報セキュリティ分野への取り組みを強化。「企業の重要な情報があらゆる場所やデバイスで用いられるようになり、情報自体を保護する仕組みが必要になった」（同氏）という。

　情報漏えい事故は、日本に限らず世界各地で日々発生し、顧客を含めた社会的問題へと発展するケースが少なくない。事故の原因は、社内の人物による故意の情報持ち出しから、情報を保存した記録媒体から紛失、第三者による外部からの不正アクセスなど、さまざまなものがある。事故に遭った企業では再発防止策として、漏えい経路に対するセキュリティの強化などを図る場合が多いが、「後から対策をするような伝統的なアプローチはもうやめるべきだろう」と同氏は指摘する。

情報そのものの保護

　企業の重要な情報を保護する方法として、フェッド氏は2つのアプローチがあると話す、1つは、企業ネットワークの末端で情報が外部に出て行くのを止める。もう1つは、情報の利用範囲を限定し、第三者に不正利用されない仕組みを導入することだという。

　「できれば企業ネットワークの境界にこだわらず、情報がどこにあろうと保護することが重要だ。ノートPCなどのように個々の場所ではなく、ノートPCが接続する先のサーバやストレージを含めて包括的に守るべきだ」（同氏）

　しかし、ウイルス対策や暗号化、ファイアウォール、不正侵入防止装置といったさまざまな対策をすでに導入している企業にとって、このような情報を包括的に保護する対策環境へ移行することは容易ではない。

　同氏は、「もちろん一度に導入することは現実的でなく、段階的に整備していくことが求められる。しかし、情報セキュリティは全社レベルの問題であり、企業のトップがそうした意識を持ってセキュリティへのアプローチを変えることが望ましい」と話す。

　同社では、製品およびサービスの両面でネットワークセキュリティと情報セキュリティの統合を進めているという。一例として、情報にアクセス権限の機能を組み入れ、その情報を必要としているユーザーだけにネットワークを介して権限を与えることで、さまざまな場所で情報を利用できるようにする。

　「仮に情報が流失しても、権限がなければ利用することができない。われわれは、このようなセキュリティ機能を機器やシステムに依存しない独立した仕組みとして提供するようにしている」（同氏）

「孤立した島」から脱却せよ

　フェッド氏は、現在の企業のセキュリティ状況について、「ネットワークの初期に似ている。ルータやハブ、スイッチ、WANなどを個々に管理しているのと同じだ」と話す。

　「内部不正や外部からの攻撃など個々の脅威に対する取り組みは今後も継続すべきだが、同時に個々の脅威に左右されない情報そのものを保護していく意識を企業のトップと現場の管理者が持つようにしていくべきだ」と同氏。

　同社では複雑な管理機能の簡素化やマルチベンダー環境におけるセキュリティ上のサポートなど、さらに製品およびサポートの強化を図るとしている。

過去のセキュリティニュース一覧はこちら