数千万件規模の情報流出は日常茶飯事、守るべきポイントは？：Maker's Voice

国内企業での大規模な情報流出事件が起きたばかりだが、米国ではこの規模の事件が頻発している状況だ。米ImpervaのベッテンコートCEOは、「セキュリティ対策の最後の砦はデータ」と語る。

[國谷武史，ITmedia]

　今年6月にベネッセグループから大量の顧客情報が流出した事件は、規模の観点からも国内では過去に類を見ないケースとして注目を集めた。だが、米国では同様の規模の情報流出事件が頻繁しており、決して珍しくない状況である。米セキュリティベンダーのImpervaのアンソニー・ベッテンコート社長兼CEOは、「セキュリティ対策の最後の砦はデータだ」と語る。

アンソニー・ベッテンコート社長兼CEO

　ベッテンコート氏は8月に同社CEOに就任したばかりだが、以前はソフトウェア解析のCoverity（現Synopsys）やビッグデータ分析のAutonomy（現HP）のCEOなどを務め、データの活用・管理分野でのビジネス経験が長い。

　最近の米国における大規模な情報流出事件をみると、2013年末に小売大手Targetから約4000万件のクレジットカード情報や約7000万人分の個人情報が流出し、今年9月にはホームセンター大手のHome Depotからも数千万件のクレジットカード情報が流出、10月上旬には金融大手のJPMorgan Chaseでも企業と一般家庭の顧客情報が大量に流出した。

　報道によれば、これら米国での事件は報道にいずれもマルウェアや標的型サイバー攻撃など、企業の外部からの脅威が原因だとされる。一方、ベネッセグループでの事件は内部関係者による犯行だった。外部脅威と内部脅威という違いはあるものの、ベッテンコート氏によると、データセキュリティの観点ではそれほど違いは無いという。

　「企業では長らく様々なセキュリティソリューションへの投資が続けられてきたが、残念ながら、データ自体を守ることへの投資は十分ではなかったといえる」

　さらにベッテンコート氏は、クラウドやビッグデータ活用といった新たなITが企業へ浸透したことで、データの使われ方も複雑性を増していると指摘する。

　「金融のようなセキュリティ要件の厳しい業界ではプライベートクラウドが構築されているものの、部分的にはAWSなどのパブリックサービスも利用している。今後はハイブリッド化の流れが加速するのは間違いない。特に中堅・中小企業では月額課金型のパブリックサービスの利用が一気に伸びるだろう」

　データの保護と活用は、しばし対立軸で語られることが多い。

　ベッテンコート氏は、「CIOやCISO（最高情報セキュリティ責任者）が独立的な立場からデータの管理についてコントロールできるようにすることが重要であり、ビジネスオーナー（事業責任者）の活用ニーズとうまく調和をとるアプローチを心がけてほしい」と語る。