セッション採録

特別講演
「Making Sense of the Information Explosion ~情報主導の世界にて~」

情報主導型社会への変化の中で、情報を標的にする脅威が台頭

今、社会は情報主導型へと大きく変貌しつつある。データ量の伸びは年率50%、2年で倍になる情報をいかに管理するのか。情報は分散し、電子メールや表計算データのように保護しにくい非構造型データも多い。また、SaaS(ソフトウェア・アズ・ア・サービス)が普及し、最も重要な情報はネットワークの向こう側のクラウドに展開している。こうした中で、情報をセキュアに管理するのは極めて難しく、システムは複雑化し、ノートPCやモバイルデバイスなどのエンドポイントは拡大していく一方だという問題もある。

IT 環境が絶えず変化する中では、現状への対策を行うだけでなく、将来に向けて備えなければならない。そのためには、ストレージ、ITのガバナンス、ITのコンシューマー化、そして脅威の変化、という4つのトレンドを見ておく必要がある。とりわけ重要なのは、情報そのものを標的としたセキュリティ脅威が登場していることだ。それに対抗するには、情報中心のセキュリティモデルが必要であり、最も重要な情報を保護するためのリスクベースのアプローチが求められる。そこでは、情報の分類分けが非常に重要だ。知財から社員や顧客の個人情報、その他の様々な情報に至るまで、重要度や格納場所、活用方法についての洞察がネットワークや全てのエンドポイントにおいて得られなければならない。

IDの盗難などデータに対する侵入件数は2008年上半期だけで、すでに07年の総数を上回っており、世界中の企業でまるで「錆びたバケツ」のように情報漏えい事件が起きている。情報漏えいの防止には公共政策を変える時期がやってきている。そうした意味で、個人情報保護法など日本の法令整備は先進的であり、さらに取り組みを強化すると共に、世界的規模で情報セキュリティ対策を進めていく必要がある。

取り組みが進む情報中心型のセキュリティアプローチ

従来、情報セキュリティ対策は高い壁を立てて、企業ネットワークを守る形で進められてきた。しかし、情報にうまくアクセスできるかどうかがカギになっている現在、従来の対応では決定的に不十分であり、セキュリティアプローチを考え直す必要がある。合法的なサイトからだけダウンロード可能にするアプリケーションのホワイトリスト化、企業外での活動拡張にも重要になるID管理、職場に入り込むコンシューマー用デバイスの管理、社内のデジタルコンテンツまで含めたデジタルライツ管理(DRM)、などを行う必要が出てくる。

情報中心型のセキュリティアプローチは、まず重要な情報は何かという問いかけから始まる。次に、どこに格納されているか。更にはネットワークやエンドポイントの中で、どのような形で使われているかとなる。それらを把握した上で、ポリシーを導入しながらリスクを軽減していく。その上で重要なのはポリシーの組織横断的な導入である。ポリシーはすべての組織、ビジネスの中で、一貫していなければならない。また、経営陣が関わり、率先してセキュリティに関する文化を組織の中に育てていく必要がある。

情報管理を牽引していくポリシーが戦略だとすれば、それを駆使する戦術の裏にあるのがテクノロジーだ。アンチウイルスやスパムフィルタリングなどの技術は重要だが、それだけでは不十分である。あらゆる情報を守るには、セキュリティと情報管理が連携していなければならない。そして、広範囲にわたる情報リスク管理のアプローチの中で、それを推進していく必要がある。

例えば、台風の接近という天気予報にもとづいて対策を立てるように、シマンテックではセキュリティ脅威のレベルが高まったことを警告するシステムとSymantec Backup Exec製品群をインテグレートすることで、セキュリティ脅威が高まった時には自動的にバックアップを取ることでデータを確実に保護できるようにした。また、機密情報が本来あるべきでないエンドポイントに存在することが発見された時には、それを自動的に安全な暗号化されたストレージに移動させ、そのエンドポイントにはちょうどホテルのクロークで荷物を預けたときにもらう札のようなものを置いておき、ユーザーにわかるようにする、ということをすでに現実のソリューションとして提供している。こうしたデータソースの防衛に関しては世界の複数の企業と協力して開発を進めており、ある日本の精密機器メーカーとも知財を守るための対策として共同で取り組んでいる。

ITをさらに駆使し、全員で、情報を守るための戦いを進める

こうした取り組みの中で、10年後には情報セキュリティと完全に結びつくシステムがあたり前の時代がやってくる。企業が情報インフラのコンテンツに関する知識レベルを高め、ユーザーが情報を使って何をしているかが分かるようになった時に、真の意味でのエンタープライズ・ライツ・マネジメント・システムが実現すると予想している。その具現化に向けては、コンテンツを認識するための活動が必要だ。現在、機密性のある情報をデスクトップやデータベース上で認識する基本になるビルディングブロックは存在する。その能力をモバイル環境に拡張し、モバイルデバイスであろうが、企業ネットワークであろうが、管理できるようにしていかなければならない。  

見えないものは管理できない。だから、ネットワーク上を移動するものを含めてコンテンツを認識し、見えるようにして把握する必要がある。なぜ、この情報をこの段階で格納していくのかを明確にし、アーカイブの決定を行っていく。それによって、絶対的に重要な情報のみをアーカイブできるようになり、デジタルコンテンツを格納するためのコストを削減できる。情報の爆発的な増大していく中で、情報中心型のセキュリティアプローチを発展させるには、これ以外の方法はない。

セキュリティと情報管理の連携は容易ではない。しかし、ITとビジネスを融合させるために大変な努力を傾け成功してきたように、ITの専門性をさらに駆使しながら、セキュリティと情報管理を組み合わせ、情報を守っていく必要がある。情報を守るのはITだけの仕事ではない。ビジネスリーダーを先頭に企業を構成する全員で、重要な情報を守り、ビジネスを発展させていくことが今、求められている。

ジョン・トンプソン氏

NIKKEI NET 講演採録へ

セッション採録一覧へ