セキュリティ業界には「パラダイムシフトが必要だ」：RSA Conference 2005

米Symantecのジョン・トンプソンCEOは、RSA Conference 2005に参加したセキュリティ専門家たちに対し、パラダイムシフトが必要だと呼びかけた。

[高橋睦美，ITmedia]

　「コスト（Cost）、複雑さ（Complexity）、法令順守（Compliance）という3つの『C』が企業にとっての大きな課題だ。セキュリティ業界はこれを踏まえ、防御のための技術を提供するだけにとどまるのではなく、企業にとっての戦略的なパートナーへと自らを変容させていかなくてはならない」――。

　米SymantecのCEOを務めるジョン・トンプソン氏は、RSA Conference 2005の基調講演においてこう語り、会場の「セキュリティ専門家」たちに対し、パラダイムシフトが必要だと呼びかけた（関連記事）。

　多くの企業にとってセキュリティは重要な要素だが、同時に予算との兼ね合いが求められることは言うまでもない。また企業では、Windows、Linuxといった複数のプラットフォームが稼動していることが当たり前で、さらに最近はワイヤレス／モバイル機器が増加している。こうしたヘテロジニアスな環境を運用し、セキュリティを満たすことを考えたとき、決して複雑であってはならないという。

　さらに、「GLBA、HIPPAなど業界ごとにさまざまな規制が定められているが、CIOにとってこれらの遵守が高い優先課題になっている」（トンプソン氏）。

　この3つの課題を解決するには、いわゆる「防御」としてのセキュリティだけでなく統合されたインフラ管理が必要であり、資産管理やパッチ管理、アベイラビリティの確保やバックアップ／リカバリといった要素にも目を向けるべきだとトンプソン氏。2004年12月に発表されたVeritasの買収も、特にアベイラビリティの実現という面でメリットがあるものだとした。

トンプソン氏は、直前に披露されたMicrosoftのセキュリティ戦略に対し、ヘテロジニアスな環境への対応という面で、特に企業向けで有効性に疑いがあるとした

　これまでのセキュリティ業界のアプローチでは限界があることが露呈したきっかけは、Slammerワームのまん延だったという。

　「Slammerはわずかな時間で爆発的に広がり、航空やATMなどさまざまなシステムに影響を及ぼし、停止に追いやった。早く原因を突き止めて対処しようにも、内部環境を把握していなければ迅速に対応することはできない。速やかにシステムを回復させなければ、企業は収入のみならず信用や信頼までも失ってしまう」（同氏）。

　その意味で、「Slammerは、『事業は何が起ころうとも継続し続けなければならない』という明確なメッセージを突きつけるものだった」という。

　ではそうした事態を避けるにはどうすればいいのか。新たな「防御」テクノロジを導入する手もあるが、それはコストがかかりすぎる。内部の資産情報を踏まえ、「侵害を受ける前にプロアクティブな防御を実現するべきだ」（トンプソン氏）。さらに、バックアップ／リカバリや資産管理、パッチ管理といった要素を組み込み、セキュリティとアベイラビリティの両立を図ることができれば、おのずと法令順守につながるとした。

　トンプソン氏は最後に、リスクおよび事業への影響にフォーカスすることが重要であり、CIOやCSOといった役職に加え、「CRO（Chief Risk Officer）」なる役割が求められると予測した。「2007年までに、重要インフラを担う企業の75％がCROを持つことになるだろう」（同氏）。これを見据えて、セキュリティ業界自身が「脅威を防ぐ」だけという考え方を変えていくべきだとした。