情報セキュリティ対策は「人、プロセス、技術」の3本柱で――RSAコビエロ氏：RSA Conference 2008 Report

セキュリティのイベント「RSA Conference 2008」が米国時間の4月7日に開幕した。基調講演にはRSA Securityのアート・コビエロ氏が登壇。情報セキュリティ対策の勘所として「人、プロセス、技術」の3点を挙げた。

[藤村能光，ITmedia]

　毎年恒例となっているセキュリティイベント「RSA Conference 2008」が米国時間の4月7日にサンフランシスコのモスコーンセンターで開幕した。米国時間の4月8日には、大手ベンダー主催による基調講演が実施された。

　基調講演に登壇した米EMC執行副社長兼RSA Security社長のアート・コビエロ氏は「リスクを正確に分析して、脅威から守るべき情報を決定しないと、結果としてセキュリティはすきだらけになる」と述べた。

「完璧なセキュリティではなく、どのデータを保護すればいいかを企業全体で考える必要がある」とコビエロ氏

　これまでのセキュリティ対策は、保護する対象をファイアウォールなどで囲むことで、企業内情報の周りに境界を作り、外部の脅威に備えるという手法を取ってきた。しかし、保護すべき対象は企業全体から企業内の情報1つ1つという考え方に変わってきていると指摘。これは、コビエロ氏がRSA Conference 2007で今後のセキュリティ対策として「情報中心型セキュリティ（インフォメーション・セントリック・セキュリティ）」の考え方を挙げたことと関連している。

　コビエロ氏は、この考えに準じたセキュリティ対策の手法として、企業にどのようなリスクが存在するかを見つけ、収集・分析し、企業とユーザー間のITリテラシーのかい離を解消する対策を練り、ITインフラストラクチャに反映させることを勧めている。

　セキュリティ対策を実現するための要素として「人、プロセス、技術が重要」とコビエロ氏は続ける。セキュリティの技術はベンダーが提供するが、対策を講じるのは人であり、それをビジネスプロセスに反映することまでを一連の動作として考える必要がある。技術の革新だけでなく、人とビジネスプロセスまでを包括的に考えることが、ビジネスにおいて革新をもたらすことにつながるという。

ITポリシーは従業員全体で作成

　同日に基調講演を務めた米Symantec会長兼CEO（最高経営責任者）のジョン・トンプソン氏も、情報中心型セキュリティの重要性を強調した。

　重要な情報を狙うウイルスだけでなく、USBメモリや電子メールなどからも情報の流出は起こりうる。企業はあらゆる情報を守らなければならない。

　その中でトンプソン氏は、どのような情報を持ち、どこで保管し、どういった形で使われているのかを把握した上でポリシーを定め、必要なデータを守る必要があると指摘。「ITに携わる人や管理者だけでなく、ビジネス全体を踏まえた上で、従業員全員でポリシーを作る必要がある」と述べた。

「今後は漠然と情報を保護するのではなく、コンテンツ単位での管理や保護ができる技術の開発が必要」とジョン・トンプソン氏