企業成長のためのインターネットとセキュリティ：M&A時代のビジネスガバナンス（8）（2/2 ページ）

[高橋 徹，サン・マイクロシステムズ]

並列処理技術、OSの役割、ミドルウェアの役割

いままでのように、1つの半導体に1つのコアが載っている場合、システムやアプリケーションはサーバの処理能力（ハードウェア側）が増加すればそれに比例して性能が高まるので、ソフトウェア自体の“デキ”は全体のパフォーマンスに大きく関与しなかった。

　しかしマルチコアの場合はコアが並列なので、プログラム側でこれらを同時に使用する技術が必要になってくる。並列処理技術が重要なのだ。特にOSが、いかに横に並んだコアを均等に利用できるかは重要な問題だ。

　残念なことに、現在この並列処理技術を実現できるOSは少ない。技術的には「SMP（Symmetric Multi Processing：対称型マルチプロセッシング）サーバ」を効率よく運用できれば、マルチコアを均等に使うことができる。

　httpサーバとしてApacheと同時期に生まれたのが、Netscape CommunicationsのNetscape Enterprise Server（以下、NES）だ。名前の通り、企業使用に耐える機能としてマルチスレッド機能を当初から持っており、SMP環境においても膨大な同時アクセス数を処理できる能力を発揮した。以下で紹介するセキュリティの機能も、このNESから誕生した。

　Netscape Communicationsは1999年にAOLに買収され、WebブラウザはAOLに、インターネットサーバ製品はサンにその知的所有権が移管された。現在は「Sun Java System Web Server」という名前で、金融業界や通信業界など、スケーラビリティとセキュリティを必要とする企業でいまも使用されている。

Webサイトにおけるセキュリティ

　インターネットは自由なIT環境であり、基本的にどこからでも誰もがアクセスすることが可能だ。このアクセスに対する自由度が、インターネットの爆発的な成長を後押しした。

　その一方で、企業が使用する場合、お客さまの個人情報や社内の機密情報を守り、企業内のガバナンスを実現する必要がある。確実なセキュリティが重要なのだ。

　1990年代後半、Netscapeは企業向けhttpサーバ用に、セキュリティに関する幾つかの優れた機能を開発した。1つはユーザーIDとパスワードを使って、アクセス権を明確にする基本認証だ。当時、これも先進的な技術として注目されていたLDAPにそれら認証情報を格納した。また、クライアントを認証するために、公開鍵を利用したSSL/TLSもNetscapeが作り出した。

　企業におけるWebサイトでのセキュリティは図2の通り、（1）大量データの安全な送受信、（2）適切なアクセス管理、（3）脆弱性回避と意図的な攻撃への防御の、3点を実現することが主眼点となる。

図2：Webサイトのセキュリティ概念

　まず、Webサイトの基本認証とSSL/TLS、Web内のアクセスを管理するアクセスコントロールを確実かつ基本通りに設定・運用すれば、確実な環境を構築することが可能だ。

　例えばSSL/TLSでは、公開鍵に暗号を使ってその安全性を高めている。現在はRSAという暗号を使っているが、今後は楕円曲線暗号（ECC）と呼ばれる暗号方法も使われ始めるといわれている。ECCは、RSAと比較して短い公開鍵で同等の効果が得られるためにコンピュータ資源を消費せず、バンド幅も狭くて済み、PC以外の携帯電話などへの応用が期待されている。

　また、近年のネットワーク犯罪の1つである、サービス拒否攻撃（DoS攻撃）に対応する監視や防御機能を導入・構築することは、情報資源やWebサーバのサービスをユーザーが継続して使えるためには必須だろう。あるIPアドレスやURLから同じトランザクションやアクセスが短期間にたくさんあった場合、それを感知したり、そのトランザクションやアクセスに対してサービスを停止するような機能が必要だ。

　OSのレベルではroot権限を分割し、ユーザーの権限ごとに、開発者用、監査担当用、システム運用者用などと、使える特権を分割する方法が非常に有効だ。

　こういったセキュリティ機能は、一般的なWebサーバであるIISやApache、Sun Java System Web Serverなどでも利用可能で、これを基本通りに設定・運用することによって不正なアクセスを確実に防御することができるのだ。

連載の終わりに

　「M&A時代のビジネスガバナンス」と題し、計8回にわたってIT活用によるガバナンス向上をテーマに連載させていただいた。近年、個人情報の保護や財務報告にかかわるビジネスプロセスへの統制整備など、企業活動上のリスクを細かいレベルで管理・統制し記録として残すことが、経営者が説明責任を果たす上で不可欠となっている。

　特に日本版SOX法の施行によって急増する管理統制プロセスは、多くの企業の日常業務の効率性やスピードに少なからず影響を及ぼすものと考えられる。それまで明確な管理プロセスがほとんどなかった状態から、過度な管理導入へと振り子が振れた状態といっていいだろう。

　一方で、グローバリゼーションやM＆Aのツール化によって、企業同士の合従連衡は加速し、ガバナンスの対象となる組織やプロセスは絶えず変化していく。これらを人的資源のみで管理徹底し続けることは、コストやリスク残の観点だけでなく、社員の生産性や疲弊によるモチベーションの低下といった影響を及ぼす。

　本連載ではこれら現代の経営環境に起こり得る新たな問題に対し、「ITの活用」または「ITへの対応」という視点で効果的な施策をまとめてみた。

　具体的には、ITガバナンスやBPM、ITILや標準化、情報ライフサイクル管理やセキュリティを取り上げて、それらがいかに企業に貢献するかを説明してきた。それらを有効に活用することで、変化が激しいM＆A時代において迅速に対応し、生き残っていける企業体質を育成できるはずだ。

　ガバナンスを維持し、企業価値を向上させるためには、その実行基盤であるITへの変革が求められる。そのための参考にしていただければ幸いである。

著者プロフィール

高橋 徹（たかはし とおる）

サン・マイクロシステムズ株式会社

ソフトウェア・ビジネス統括本部

プリンシパル・ソリューション・アーキテクト 日本アイ・ビー・エムを経て、1999年よりサン・マイクロシステムズ勤務。

サンとNetscapeとの仮想合弁会社Sun-Netscapeアライアンスにてマーケティング部部長。その後も一貫してソフトウェアのビジネス開発を担当。携帯電話からメインフレームまで、あらゆる環境でのソフトウェアソリューションに実績がある。

「MA時代のビジネスガバナンス」バックナンバー

• 企業成長のためのインターネットとセキュリティ
• セキュアデータセンターとはどんなものだろうか
• 競争力を失わずに、セキュアなオフィスを実現する
• ビジネスガバナンスと情報ライフサイクル管理
• 内部統制にITILなどの標準化をどう使っていくか
• マニュアル統制の悪夢とBPMの利点を考える
• アクセス管理という言葉を誤解していませんか？
• 米国のSOX法対応で失敗した経験を生かすには