 |
|||||||
|
|
|
||||||||||||||
|
||||||||||||||
|
 |
|||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
| ||||||||||||||
|
RSAセキュリティ山野社長、「セキュリティは攻めの投資と位置づけるべき」 |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
| ||||||||||||||
|
情報システム部門における最大の関心事がセキュリティ対策だ。ここ数年の相次ぐ個人情報の漏えいは、企業の情報セキュリティ対策への甘さを露呈した結果ともいえ、多くのユーザー企業がその対策に頭を悩ませているのが実態だ。セキュリティに特化したベンダーであるRSAセキュリティの山野修社長は、「いまこそ、セキュリティを攻めの投資ととらえるべき。そして、ポイントソリューションでは解決にはならないことを知るべきだ」と訴える。RSAセキュリティの山野社長に、情報セキュリティの「いま」を語ってもらった。
山野氏 RSAセキュリティは、1982年の創業以来、セキュリティに特化してきた企業です。米国国防省をはじめとする政府機関や、世界各国の金融機関などに、当社のセキュリティ技術が採用されているのは周知の通りです。日本法人の設立は96年ですが、これまでの米国での創業以来、約25年の歴史のなかで、日本はある意味、特殊な市場だったともいえます。というのも、日本は、もともと性善説が前提にありますから、自分の会社から情報がもれることはない、という意識が根底にあった。だから、情報漏えいの事件が起こっても、対岸の火事というような意識が強かったのです。結果として、世の中が変化していることに気が付きにくかったともいえます。本当は数多くの情報漏えい事件が日本でも起こっていたのにも関わらずに...。 しかし、個人情報や企業の情報が社内から漏れるという事件が相次いだこと、さらに個人情報保護法の完全施行によって、社会全体の意識がわかったこと。そして、昨今では、Winny利用者のPCがウイルスに感染し、数多くの個人情報が流出するという事件や、スパイウェアやフィッシングサイトの問題も出てきたことで、社会の意識がようやく変化してきた。また、Winnyに感染するAntinyや、日本語のフィッシングサイトというのは、従来のように、海外からやってくるコンピュータウイルスとは異なり、日本発のものもあり、そこがこれまでとは大きく違うということにも気がつきはじめた。日本だって安心ではない、いや、むしろ危険な状況にあるんだ、ということがようやく理解されはじめてきたのです。 ―この数年でずいぶん意識が変わったと。 山野氏 プライバシーマークを取得する企業が増加したり、情報管理を担当する責任者を設置したり、また、情報セキュリティに対する社内教育を実施する企業が増加したりといった点では、意識が大きく変化してきたといえます。ただ、大企業は情報漏えいに対して敏感になりつつあるが、中堅企業や小規模の企業がそこまでの意識があるかというとそれはまだ疑問だといわざるを得ないでしょう。小規模企業でありながらも、大量の情報を持っている例が少なくありませんし、個人商店のようなところでもクレジット情報のやりとりをする環境にある。そこには、個人情報が必ず存在するのです。以前は、企業にとっては資本が財産であり、それを守ろうという意識があったが、これからは企業の財産は個人情報であるという意識を持たなくてはなりません。個人情報漏えい事件は、企業のブランド価値を失墜させますし、顧客を失うことにもつながる。資本ばかりが財産という発想は捨てなくてはなりません。
山野氏 そうです。しかし、さらに一歩進んだ企業は、もう少し違った考え方を持っています。それは、セキュリティは、新規の顧客を増やすことができるマーケティングツールであるという攻めの考え方です。これまで、セキュリティに対する投資は、基本的には守りの投資という意味合いが強かった。後ろ向きの投資という考え方をしていた企業も少なくなかった。だが、いまやセキュリティは戦略的な投資になるうるのです。 例えば、三井住友銀行では、当社のSecurID技術を採用して、ワンタイムパスワードによるサービスを開始していますが、ここで提供されるセキュリティサービスが、利用者に対して安心感を生み出している。安心感が付加価値となって、新規の顧客を増やすことに成功している。メガバンクは、安心、安全の金融サービスの提供が大きな目的であり、それを担保するためのセキュリティ環境が必要です。セキュリティが顧客に対するロイヤリティにつながっている。証券会社でも同様のことが求められていますし、ネットを通じた取引でもセキュリティが差別化になっている。複合機のようなハードウェアでもセキュリティが製品の差別化ポイントのひとつになりはじめている。もはや、セキュリティは後向きの投資ではないということを理解するべきでしょう。 ―現在、米国の銀行業界では、FFIEC(Federal Financial Institutions Examination Council)が示したガイドラインをもとに、オンラインバンキング市場においては、パスワードによる本人認証以外のセキュリティ措置をとるべきだとの議論が高まっていますね。 山野氏 これは、これからの課題だと考えています。金融機関にしても、オンライントレードやオンラインショッピングにしても、まず最初に取り組むのが、パスワードによる本人認証ですが、本当にこれだけで安心なのでしょうか。その意識から変えていかなくてはなりません。 ―とくに、日本では、ファイアウォールやウイルス対策ソフトを導入すれば、企業における情報セキュリティは安心だと信じ切っていた経緯がありますから(笑)、本人確認のパスワード対策だけで安心と思いこんでしまう企業が少なくないかもしれませんね。 山野氏 本人認証のセキュリティを高めることは、入口でしっかりと本人を確認するという意味では最も大切なものです。しかし、企業のヘルプデスクの実体を見ると、作業の6割がパスワードの再発行に追われているという声もある。TCOを含めて、本当にいまのパスワードでいいのかということも考えなくてはならないですね。また、パスワード自体をワンタイムパスワードのように、よりセキュリティ精度の高いものを採用したり、PKIの採用や、他の認証技術と組み合わせることが必要でしょう。また、ユーザーがどの情報にアクセスするのかといったアクセス管理も重要な点です。企業のなかには、Webアプリケーションもあれば、レガシーなアプリケーションも動いている。これらを同じセキュリティレベルでアクセス管理をしなくてはならない。 また、格納されているデータはそのままで大丈夫なのか、ということも考えなくてはならない。いま、企業が所有しているデータベースシステムに格納されている情報はほとんどが、裸のままで格納されている。Winnyユーザーを通じて流出したデータがそのまま誰でも閲覧できてしまうということを見ても、その実体が証明されたともいえます。情報システム部門の担当者は、データベースの管理をやっていれば安心というのではなく、データそのものの暗号化、あるいは通信全体の暗号化が必要だといえます。企業の情報投資予算のなかでセキュリティが占める比率はまだまだ小さい。「ウイルスに感染してしまってごめんなさい」、「不正アクセスがあるのは仕方がない」ということじゃ済まなくなっていることに気がつかなくてはならない。もはやパスワードでの認証は当たり前、内部データのアクセス管理も当たり前、データベースの管理も当たり前。それよりさらに一歩進めたセキュリティ対策が必要になってきているといえます。ポイントソリューションだけのセキュリティ対策ではなく、一気通貫のセキュリティソリューションが必要です。 ―こうしたセキュリティに対する要求や、企業が求めるセキュリティ環境の変化なかで、RSAセキュリティの強みはどこにあると。 山野氏 いままで申し上げたセキュリティをワンストップで提供できる唯一のベンダーであるという点です。SecurIDをはじとめする数々の認証ソリューション、Webアクセス管理ソリューション、連携アイデンティティ管理、PKIソリューション、各種暗号化技術のほか、これらを提供するためのコンサルテーションやサービスを用意しています。すでに、米国では、今年2月に開催したRSA CONFERENCE 2006において、新たな認証ソリューションをはじめとして、数多くの製品およびサービスを発表していますが、これを日本でも4月25日に発表します。これによって、幅広いデバイス群や、各種ソフトウェアプラットフォームおよびオンラインサービスにわたって、RSAセキュリティの技術が採用されるようになるでしょう。また、昨年12月に買収したCyotaによって、認証分野におけるRSAセキュリティの位置づけをより強固なものにできたと考えていますし、日本においても、セキュリティデザインアセスメントサービスによって、ユーザー企業のセキュリティレベルの評価や脆弱性の改善提案などを行う体制も整えています。 4月26、27日には、都内でRSA CONFERENCE 2006 TOKYOを開催します。基調講演には、前米国国務副長官のリチャード・アミテージ氏や、小泉内閣および橋本内閣で内閣総理大臣補佐官を務めた岡本アシシエイツの岡本行夫氏が講演します。日米の国家安全保障に携わった2人の講演は興味深いものとなるでしょう。また、最新のRSAセキュリティの技術や製品も体感することができます。ぜひ、多くの方に、参加していただきたいイベントですね。 ■ URL RSAセキュリティ株式会社 http://www.rsasecurity.com/japan/
( 大河原 克行 )
|
