 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
多様化する脅威への現実解は、「情報中心」のセキュリティ |
||||||||||||||||
|
||||||||||||||||
|
~RSA Conference 2008基調講演
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
常々「完全なセキュリティは不可能」と発言しているコビエロ氏は、この基調講演でも「セキュリティは、ITインフラ全体を考慮すべきで、従来、独立ベンダが提供してきたような単一ポイントのセキュリティはもはや限界だ」と断言。その背景には、ウイルスをはじめITインフラへの攻撃が多様化していること、一方の企業では活動の大半がオンラインへと移行され、加えて法制度などの変化で、コンプライアンスが難しくなりつつあるといった状況があるという。 「こうした状況では、さまざまなセキュリティを個別に行っていくのでは間に合わない。専業セキュリティベンダがセキュリティを考える時代ではない」(同氏)。事実ここ数年、EMCのTablus買収、GoogleのPostini買収、OracleのLogica買収、HPのSPI Dynamics買収、IBMのWatchfire買収など、多くの企業がセキュリティベンダを買収している。そうした買収事例を挙げながら同氏は、ではこれからセキュリティはどうあるべきなのか、その現実解についてこう説明した。 「これからのセキュリティは情報を中心としたアプローチが必要となる。それが“Thinking Security”。セキュリティ対策を利用する人、そのプロセス、それらを支える技術の3点から、セキュリティとデータの関係性を強めるアプローチだ」。 その手順として、1)Risk Profile、2)Collect and Analyze Data、3)Solve the Knowledge Gap、4)IT Infrastructure、の4つの考え方を紹介。まず、リスクの現状を把握し、それらを収集・解析。さらに顧客やベンダ間などにナレッジのギャップが存在するので、それを埋めた上で、そうした対策をITインフラそのものに適用すべきと語った。 EMCはもともとストレージベンダだ。RSAなどのセキュリティベンダを取り込むことで、情報中心のセキュリティを提供することが可能になった。同氏がこの基調講演で語ったのは、まさにその情報を軸にセキュリティを考える「Information Centric Security」という考え方。これを実現するためには、ITインフラ全体を考えたセキュリティが重要。独立セキュリティベンダにセキュリティは任せられない」とした。
同氏は、この考え方でセキュリティ対策を行っていくと、やがてはユーザーに密接に関わる「コンテンツ」のセキュリティを確保するのと同義になると発言。 そのためにはまず、「どんな情報を扱っているのか分析し、脅威のランドスケープを再認識しなければならない。次にポリシーが重要になってくるが、ここでもセキュリティの専門家がセキュリティに限定されたポリシーを作るのではなく、ビジネス全体から考慮する必要がある。それはすなわちデータとセキュリティのマネジメントを同時に行っていくようなことだ。こうすることで、情報から端を発したセキュリティが、いつの間にかコンテンツを保護するために機能していることになる」と述べた。 ■ URL EMCジャパン株式会社 http://japan.emc.com/ 株式会社シマンテック http://www.symantec.com/japan/ RSA Conference 2008 http://www.rsaconference.com/2008/US/
( 川島 弘之 )
|
