第18回：米国政府の監査企業の顧問を務めるエキスパートに効果的対策を聞く

先進国である米国と比較して遅れていると言われる日本のセキュリティ事情。その遅れを取り戻すためには、セキュリティ投資に望む際の意識改革だけでなく、オペレーションレベルでの大幅変更も必要となる。その具体策について、米国政府のコンサルティング企業の顧問を務め、日米のセキュリティ事情に詳しい慶應義塾大学環境情報学部教授　工学博士　武藤佳恭氏に話を伺った。

武藤佳恭 氏 （たけふじ よしやす） 慶應義塾大学環境情報学部教授　工学博士 1983年：慶應義塾大学大学院博士課程電気工修了。1983年〜1985年：南フロリダ大学コンピュータサイエンス学科客員助教授。南カロライナ大学コンピュータサイエンス学科助教授、ケースウエスタンリザーブ大学電気工学準教授などを経て現在に至る。マレーシアマルチメディア大学顧問、ファイバーチャネル協議会会長、日本ネットワークセキュリティー協会顧問など、その他多数の委員／顧問を務める。「知らないと絶対損をするセキュリティの話:デジタル時代の護身術」など、多数の著書を執筆している。

セキュリティ状況の可視化が重要
情報セキュリティは高信頼性の一部
情報の積極的な開示も必要に

セキュリティ状況の可視化が重要

――セキュリティへの投資を効果的に実施する方法としては、米国ではどのような方法がとられているのでしょうか。

武藤氏：　米国でセキュリティの話をする際には、ROSI（Return On Security Investment）の話が必ずと言っていいほど出てきます。これは名前が示す通り、通常のIT投資と同様にセキュリティ投資の費用対効果を評価するものです。ROSIを高めるために必要なのが、複数に階層化されたセキュリティレイヤーを正確に把握し、コントロールするためのセキュリティマネジメントが必要となります。

　セキュリティマネジメントを実施するには、それを司るCIO／CTOの存在が不可欠となります。そして、CIO／CTOは自社のセキュリティ状況とセキュリティの最新トレンドの両方を詳細に知っておく必要があります。実際にセキュリティに問題が起きれば、CIO／CTOが即座に対応できるかどうかが焦点となるのです。そのためには、CIO／CTOがセキュリティに対する真のプロフェッショナルであることと、セキュリティ状況を正確に把握するための自社のセキュリティ状況を可視化しているということが重要になります。

――セキュリティの可視化とは、CIO／CTOにログの解析などのスキルが必要となるのでしょうか。

武藤氏：　もちろん、エキスパートとしてそういったことができるに超したことはありませんが、それを覚えるより、ツールを使って効率化すれば、より高度な把握ができるようになります。例えばセキュリティツールとしては、コンピュータ・アソシエイツの「eTrust 20/20」があります。これを利用すれば、物理的セキュリティとITセキュリティの問題を統合的に可視化できるようになります。

　なお、「eTrust 20/20」のエンジンの開発には、私自身も協力させていただきました。このような可視化ツールを使うことで、効果的かつ効率的なセキュリティマネジメントが可能になります。

武藤氏がコアエンジンの開発に関わったというコンピュータ・アソシエイツの「eTrust 20/20」の画面。物理的脆弱性とツールの脆弱性を統合的に可視化できる。 ※「eTrust 20/20」はコンピュータ・アソシエイツの製品ですが、米国のみで販売されています。