 |
|||||||
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
OSレベルできちんと対応すれば、セキュリティ製品の多くは不要になる |
||||||||||||
|
||||||||||||
|
日本高信頼システムが目指すセキュアOSによるシンプルなセキュリティシステム
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
セキュリティ対策の重要性はいまさらいうまでもない。しかし各種セキュリティプロダクトがはんらんする最近のセキュリティ環境の中で、適切かつ信頼性の高いセキュリティシステムを構築するのは至難の技となっている。さらに、刻々と変化するセキュリティ環境への対応も企業にとっては大きな負担となり、日本のセキュリティ市場は混迷の度を加えている。企業にとって本当に必要なセキュリティシステムとは何か。PitBullやSELinuxなどTrustedOS/セキュアOSを核としたセキュリティシステムを推進、産・官・学の連動を進める日本高信頼システム株式会社の澤田栄治社長に聞いた。 ■ セキュリティシステムは複雑化の一途をたどっている
澤田氏 本来のセキュリティシステムとは何か。これを日本市場に正しく伝えるためにこの2年間がんばってきました。従来の日本市場におけるセキュリティのあり方は少しおかしい、さらに言えば間違っている、ということを、根拠を上げてきちんと説明してきました。さまざまなセキュリティプロダクトが市場に氾濫する中、OSレベルできちんとセキュリティを実現すれば、中間層でのさまざまなセキュリティは不要になり、システムはよりシンプルになる。シンプル・イズ・ベストはセキュリティの世界でも鉄則です。機能を極限まで追及すれば必ず美しい形にまとまってくる。しかし今までなぜかセキュリティは複雑化の一途をたどってきました。これは大きな問題です。 ─日本高信頼システムという企業についてご説明ください。 澤田氏 セキュリティの問題を考える場合、セキュリティという切り口ではなく、信頼性というもう一段上の切り口でシステムを見たとき、多くの問題がハッキリと見えてきます。進化を遂げるネットワークシステムでは、より下位層でのセキュリティがコスト的にも能力的にも効果が高いことは明らかです。そこでOSのレイヤにおけるセキュリティ実施でどれくらいの強度を得て、コスト対効果を期待できるのかということを世間に知らしめるために、2002年2月に日本高信頼システム研究所を立ち上げました。設立から2期目までを調査/研究期間と位置付けて活動を行ってきましたが、幸い多くの方の賛同を得ることができ、学会が立ち上がり、官・学ともつながり、企業の認識も高まりました。予定通りの調査/研究フェーズが完了したことから、この5月からソリューション提供フェーズに軸足を移し、社名も日本高信頼システム株式会社に変更しました。 ■ OSレベルのセキュリティでシステムの下位層からの他段階防御が可能 ─OSレベルでどこまでのセキュリティが可能ですか。澤田氏 もともと米国国防総省が軍事目的で開発に着手したものだけに、システムの下位層からの多段階防御が可能ですので、現在考えられるセキュリティとしては最強のものが実現できます。つまり最近のセキュリティ商品を例にとると、ファイアウオールの機能は充分にカバーしますし、IDS(Intrusion Detection System=不正侵入検知システム)の機能も3分の2ほどをカバーします。もちろんOSのセキュリティですべてをカバーできるわけはないので、例えば通信の暗号化は別に必要ですし、アクセス制御の前段階となる認証の部分は何らかの強化策が必要です。いずれにしろ、下位層でのセキュリティが上位層のセキュリティの多くの部分をもカバーすることになりますと、従来のセキュリティ製品の多くが淘汰されることになります。この点で今までのセキュリティビジネスに変化が生じる可能性もありますが、ネットワーク社会の今後を考えると、高信頼のセキュリティを目指すことがまず最優先されるべきだと考えます。 ─下位層でのセキュリティが有効であるのに、今まで普及しなかったのはなぜでしょうか。 澤田氏 日本のコンピュータ業界がOSなど基礎技術開発を放棄したことに原因があります。1985年に評価が確立した第1世代TrustedOSは軍需を目的としたものですが、1990年代も後半になり民間企業向けに改良された第3世代TrustedOSが登場した頃から民間企業の認識が高まり、2000年代に入ってTrustedOSの普及版とも言えるセキュアOSが登場して、世界のセキュリティ環境は大きな進化を遂げています。しかし日本ではTrustedOSやセキュアOSへの認識はまだまだ低いようです。バブル崩壊以後の日本は、産学連携においても基礎技術の研究よりも製品寄りの研究が中心になりまして、IT分野における基礎技術研究は放棄したも同然の状態が続いています。しかしごく最近、この危険性を日本政府も理解するようになりまして、学が製品に近寄らずに基礎技術研究に専念できるような体制作りを進めています。こうなると産と学とが一定の距離を置くことになりますので、本来の意味での産学連携が可能になると考えています。 ■ セキュアOSを核としたセキュリティビジネスを確立する ─企業が現在のセキュリティ環境である程度満足していると考えられませんか。澤田氏 そうではないと思います。アンチウイルスソフトはおろか、ファイアウオールやIDSなどあまりに多くのセキュリティプロダクトが市場に流れており、ユーザーはこれをどのように組み合わせて使えば最適化できるのかがまるでわからない状態です。ベンダーの言いなりで導入しても、コストが高いわりにはその効果のほどは不明です。しかも環境が変化すれば使いものにならなくなる。これではセキュリティ不信に陥いる企業が増えるのは当然です。ビジネスだからプロダクトを売り込むのは当然だという言い方もありますが、ことセキュリティについてはそうではないと思います。大きなコンセプトなくして事業計画だけでセキュリティプロダクトを売り込んでいては、日本は今に大変なことになります。事実、セキュリティ面で日本はすでに韓国や中国に抜かれつつあります。 ─どうすれば良いのでしょうか。 澤田氏 日本が世界一のIT立国を標榜するなら、今のように上モノだけを海外から取り入れて日本市場に投げ入れているようではダメだと思います。バブル崩壊前の日本はIT関連においても基礎技術の部分はある程度押さえていたわけです。それがバブル崩壊を契機にして目先の利益だけを追いかける方向に日本のIT産業全体が走ってしまった。セキュリティ市場の混乱もこの一つの結果にすぎません。日本にとって本当の意味で何が最重要かを判断してこれに集約することが必要です。これは3年とか5年とかあるいは10年とかの大変なプロジェクトになりますが、少なくともセキュリティに関しては方向性は見えています。 ─その方向性とは 澤田氏 日本市場におけるこの2年間の調査および研究結果があり、これらを基に開発した製品があり、この製品を核としたソリューションがあります。これを普及させるために新たに4つのパートナー制度を用意しました。製品、ソリューション、教育、運用の4種類で、新しい技術を普及させるために必要な諸要件をすべてカバーします。最近はどの企業も選択と集中をテーマに事業を進めていますので、パートナーも製品なら製品、教育なら教育といった具合に、それぞれ得意な分野で攻めていけば効率的です。これらパートナー企業をそれぞれ10社前後集めて、これらパートナー間での情報流通を活発化、さらにこれらパートナー企業と取引のある企業へとビジネスを拡大することによって、TrustedOS/セキュアOSを核としたOSレベルでのセキュリティはビジネスとしても確立すると見ています。 ■ URL 日本高信頼システム株式会社 http://www.jtsl.co.jp/jtop.html
( 倉増 裕 )
|
|
|
|
|
|
|