聖火ランナーを守る警備がいるように、価値のある情報そのものを厳重に保護する必要がある。今後は、情報を中心にセキュリティ対策を講じることが求められる。
4月23日、24日に日本で開催するセキュリティイベント「RSA Conference Japan 2008」。それに合わせて米EMCの執行副社長兼RSA The Security Division of EMCの社長であるアート・コビエロ氏が来日し、情報セキュリティへの考え方を語った。
「セキュリティに欠陥が生じた後で事後対策をするようではもう遅い」――とコビエロ氏は言う。セキュリティ対策では、脆弱性が生じると、対応する製品を購入してその穴を埋めるといった「もぐらたたき」の状態が続いている。これでは情報を安全に保護することはできない。
RSA Securityでは「情報中心型セキュリティ(インフォメーション・セントリック・セキュリティ)」というコンセプトを打ち出している。情報が集まる場所ではなく、情報そのものを保護しようという考え方だ。情報の振る舞い(ビヘイビア)およびコンテンツそのものを判断し、企業にとって価値のある情報を割り出し、保護するといった技術の開発を進めている。
情報そのものを保護する必要が出てきた背景は何か。コビエロ氏は企業が情報を開放するようになったこと、インターネット上の情報が過多になったことを挙げる。持ち出しPCの紛失やネットワーク経由の情報漏えいなど、企業が保有する情報は、簡単に企業の外に出てしまう。企業の情報漏えいを取り巻く状況は一向に改善していない。そこで価値のある情報そのものを暗号化して、流出の被害を未然に防ぐといった考え方が出てくる。
「例えば聖火ランナーを考えてほしい。警備が必ず付いているのは聖火を守る必要があるから。聖火ランナーが通るスタジアムや沿道だけでなく、聖火そのものを防御しなければならない」(コビエロ氏)――企業の外側を囲って情報を漏らさないようにする対策だけでは、完全なセキュリティは実現できない。
情報そのものを守るのに必要となるのは、ITインフラにセキュリティを組み込んで、包括的に提供することであるとコビエロ氏は続ける。事実、EMCはRSA Securityを傘下に加え、ITインフラ全体を保護するサービスを提供している。
コビエロ氏は、過去のRSA Conferenceで「専業ベンダーは将来なくなる」と発言した。事実、セキュリティベンダーの合従連衡は勢いを増している。RSA セキュリティの山野修社長は「日本では情報中心型セキュリティ――必要な情報だけを暗号化する――の考えは浸透してない」という。「日本ではまだ全体を守ることに関心が向いている。情報中心型セキュリティのフロントランナーとして、この考えを提唱していきたい」と山野氏は話している。
Copyright © ITmedia, Inc. All Rights Reserved.