ITmedia エンタープライズ

2003年は、情報というものに対する関心が高まり、その価値が認識されるようになった初めての年だったとRSAセキュリティ社長の山野修氏は言う。それを踏まえて次に求められるのは、アクセス管理とアイデンティティ管理だと同氏は予測する。

ITmedia　2003年を振り返ると、セキュリティ業界の視点から言うとインパクトのある出来事が多かったように思います。

山野　Blasterの蔓延は非常に印象的でしたし、その前後にもいくつかのワームが発生しました。こうした事件は日刊紙などでも報じられ、一般の人にもショックを与えました。さらに個人情報の漏洩事件、事故が発生したほか、住基ネットの問題が浮上するなど、情報をどう扱うかに注目が集まった一年でした。

　その結果、社会的な変化が起こったように思います。ここまで情報の価値が認識され、情報がどのように扱われるかに関心が集まったのは、2003年が初めてではないでしょうか。

　しかも、従来こうした問題はコンピュータ業界だけの問題だと考えられてきました。しかし昨年は、一般の人が、自分に関連する情報がきちんと守られるかどうかを心配するようになった初めての年だったと思います。日本はこれまで、プライバシーにあまり関心を持たない国だったように思いますが、それが昨年は変化してきました。

ITmedia　プライバシー問題は、ワームと異なり被害がなかなか目に見えにくいという難しい部分があります。

山野　米連邦取引委員会（FTC）の発表によると、昨年だけで1000万人分の個人情報が盗難に遭い、その被害額は6兆円分に上るということです。この数字を参考にすると、日本でも既に数百万人分の情報が盗まれている可能性があります。現に先ごろ、あるコンビニエンスストアで顧客情報が漏洩する事件がありました。こうした個々の事件を合算していけば、数百万人という数字になっている可能性は十分にあります。ここでいう情報の漏洩とは、つまりはアイデンティティの漏洩です。他人のアイデンティティを盗み取り、それを利用してどこかにアクセスし、なりすましを行っているのではないかと考えられます。

ITmedia　今までのセキュリティ対策では、こうした問題は解決できないのでしょうか？

山野　この2〜3年でセキュリティ対策が進み、ファイアウォールやウイルス対策についてはほぼ行き渡るところまできました。2002年から2003年にかけては、セキュリティ教育の強化に加え、VPNやアクセス管理といったところに力点がシフトしてきています。というのも、一連のセキュリティシステムを導入してそれで終わりということではなく、人的要素に関するセキュリティ対策が必要だと考えられるようになってきたからです。

　今後は特に、“イネーブリング・テクノロジ”と表現される、インターネットをうまく使いこなすための技術、具体的にはVPNや無線LANの導入が本格的に進むと予測しています。同時に、アクセスしてくるユーザーが誰であり、どういった情報を見られるかを許可するユーザー認証やアクセス制御の重要性も高まるでしょう。そして先ほど申し上げたとおり、情報セキュリティは情報システム部だけの問題ではなく、企業全体の問題になっていくでしょう。

ITmedia　そのためにはどういった製品が求められるでしょうか？

山野　例えばRSAセキュリティでは、ワンタイムパスワードトークンとしてはナンバーワンのシェアを持つ認証製品「SecurID」のほか、暗号化ツールの「BSAFE」、認証局の「Keon」、それにアクセス管理を実現する「ClearTrust」といった、さまざまな認証基盤製品をそろえ、そのシナジー効果が徐々に現れつつあります。このようにトータルなセキュリティに対する需要が高まっています。

情報漏洩が発生すれば「ごめんなさい」では済まないだろうと山野氏

　またアクセス管理について言えば、マルチプラットフォーム環境に対応し、その中で確実なセキュリティを実現する、中立的な製品が求められます。RSAセキュリティが、Liberty AllianceやSAMLをはじめとする業界標準に取り組みにコミットしている理由はそこにあります。1社だけではこうしたことは実現できませんから。

ITmedia　個人情報保護法が成立するなど、法律的な面からも枠組みができ上がってきました。

山野　問題は、社内にばらばらに存在している複数のデータベースを、会社としてどう管理していくかということです。そのためには、データのトラッキングができなければなりませんし、顧客から削除や修正などの依頼があったときには、それに対応しなければなりません。例えばマーケティング部では修正を済ませても、営業部ではデータがそのままになっている、といったことがあってはならないわけです。こう考えていくと、社内におけるデータの統合、名寄せのようなことが必要になってきます。その上で、そのデータを一元的に管理し、高いレベルでの保護を行うことが求められます。

　もはや、情報漏洩事件が発生した場合「ごめんなさい」ではすまないのです。そうした事態を避けるためには、アクセス管理が重要になります。今までは誰もが情報にアクセスすることができ、しかもいったい誰がその情報にアクセスしたのか、履歴を確認することもできませんでしたが、今後は、ユーザーのレベルに応じたアクセス管理が不可欠なものになってくるでしょう。

　そして、このアクセス管理には、アイデンティティ管理が密接に関連してきます。これまでアクセス管理とアイデンティティ管理とは、別々のベンダーから提供されることが多かったのですが、この2つを緊密に連携させていく必要があるでしょう。企業内にはいろいろなユーザーがおり、さまざまなリソースやサービスが存在しています。その複雑度は増す一方ですが、それらに対し、「こういう時にはここまでアクセスしてもOK」という具合にうまく管理していくことが必要です。それには、アイデンティティ管理という概念が欠かせません。

　2004年は、アイデンティティ管理およびアクセス管理に注目が集まるでしょう。言うなれば、アイデンティティおよびアクセス管理元年になって欲しいなと思っています。いわゆるセキュリティ市場の中でも、AAA（認証、認可、管理）といわれる分野は大きく成長すると言われています。

ITmedia　プライバシーに関連しては、いわゆる無線ICタグ（RFID）も問題とされています。

山野　これも今後、議論が必要な分野です。米国のRSA Laboratoryでは、RFIDのプライバシー保護を実現するため、いろいろな技術を開発、提供しているところです。いずれにしてもこの問題が解決され、社会基盤として確立するには、10年かそれ以上の長い時間がかかると、この分野の第1人者である坂村先生（東京大学教授）も指摘しています。そもそもの問題は、どの情報をどういったパターンで収集するのかについて、社会的コンセンサスが存在していないのにシステムが先行していることです。

ITmedia　DRM（デジタル権利管理）も重要な役割を担うのでは？

山野　プライバシーとDRMというのは、さまざまなコンテンツをどう配信していくかを考える上で非常に大きな問題だと思います。技術とコンセンサスの両面での取り組みが必要です。ただ、そこでは必ず、暗号や認証といった機能が必要になるはずです。RSAセキュリティではさまざまなベンダーと手を組んで、必要な技術を提供していきます。

ITmedia　企業におけるセキュリティの位置付けにも変化が出てきますね。

山野　CIO（最高情報責任者）やCSO（最高セキュリティ責任者）を立て、ポリシーを作成して企業のセキュリティ対策を進めていくコーポレートセキュリティガバナンスという概念があります。今後はこの考え方が、コーポレートガバナンスの一部になっていくでしょう。同じように、企業が保有している情報についてのガバナンスも求められるでしょう。情報の定義は何で、それを誰が保有しているのを明確にしなくてはなりません。データがあくまで会社の資産であり、その修正を求められた際には、速やかに保護、訂正を行うことを明示したルールが必要になるでしょう。どのような企業でも法律も基づいていますが、それと同じようにセキュリティも各々の法律やガイドラインに基づかなければなりません。それがコンプライアンスです。

　ここで大事なのは、誰がそのポリシーを決めるかということです。役員でも誰でもいいのですが、決定権を持つ人のお墨付きがなければなりません。そもそも、情報を誰が司り、どのように取り扱っていくかについての考え方がなければ、ポリシーはできないはずです。そのように考えれば、コーポレートガバナンスの中にセキュリティガバナンスが含まれていくことは自然なことです。

2004年、今年のお正月は？
年末年始は例年どおり、自宅でゆっくりしながらPCをいじる日々を過ごしたという山野氏。合間には、インタビュー中にも話題に上ったプライバシーやDRMに関する社会的コンセンサスを探るヒントを探るため、ローレンス・レッシグ教授の「CODE」などの書籍を読みながら、メディア論に頭を巡らせたという。

2004年に求められる人材像とは？
IT業界の中でもセキュリティの分野は特に、動きがめまぐるしい。その中で、「環境の変化をすばやく感知し、自分自身をそれに対応できるような人」が求められると山野氏。同時にチャレンジ精神に富んでいることもポイントという。

関連記事
新春インタビュースペシャル2004

関連リンク
RSAセキュリティ

[聞き手：高橋睦美，ITmedia]