米国サンフランシスコで開催中の「RSA Conference 2009」にて、この4月に米SymantecのCEOに就任したばかりのEnrique Salem氏が基調講演に立った。
Salem氏は、プログラマーとして勤めていた企業が1990年にSymantecに買収されたことにより、Symantecに入社した。約10年間同社に勤務したSalem氏は、その後Ask JeevesやOblixなどで勤務し、2004年にCEOを勤めていたBrightmailが再びSymantecに買収されて同社に戻った人物だ。「Symantec社内で私はブーメランベイビー(一度親元を離れてまた戻ってきた子供)と言われている。何度もここに引き戻されるのだとしたら、もうその企業を自分が引っ張っていくしかないと考えた」と、講演の最初に同氏はCEO就任に至った経歴を語った。
新CEOとなったSalem氏は、この動きの速い業界において「セキュリティは操作可能でなくてはならない」と主張する。その「操作可能なセキュリティ」を実現するために重要なキーワードとしてSalem氏は、「リスクベース」「情報中心」「迅速な対応」「ワークフロー駆動型」の4つを挙げた。
リスクベースとは、それぞれのリスクをどのように管理し、許容できるリスクと許容できないリスクは何かを見極めることだ。情報中心とは、文字通り情報が大切だと認識すること。「インフラが重要だという人もいるが、インフラだけを守っても意味がない。今や情報は、仮想化されたインフラに置かれている場合もあればクラウド上にあることもある。それらすべての情報をいかにして守るかを考えなくてはならないのだ」とSalem氏。
迅速な対応とは、どのような脅威が襲ってきているのかリアルタイムで把握し、脅威が企業全体に広がる前に迅速な対応をしなくてはならないということ。そして最後のワークフロー駆動型というのは、日々のプロセスを自動化させることに結びつく。これは「新しいコンセプトだが、セキュリティ製品だけでなく、セキュリティ製品と日々利用している管理製品のギャップを埋めることを意味する」とSalem氏は説明する。
Salem氏は、これら4つのキーワードを基にセキュリティを操作可能とすることで、「情報漏えいなど、企業で起こりうる危機がコントロールできるようになる」と話す。例えば、顧客のクレジットカード情報をUSBデバイスに入れてはいけないというポリシーを決めた場合、「DLP(Data Loss Prevention)テクノロジを使って、そうした情報がUSBデバイスにコピーできないようにもできるし、情報漏えいが起ころうとしている状況を管理者に知らせることもできる。これまで手動で行っていたことを、技術で自動化するのだ」とSalem氏は話す。
Salem氏はまた、これまでセキュリティを高めるために使われていた「ブラックリスト」や「ホワイトリスト」について、「今後もこれらがなくなることはないが、これだけでは不十分だ」と指摘する。そこで、新しいアプローチとして「評判ベース」のセキュリティが今後必要だと話す。
Salem氏によると、Symantecでは過去3年間、自動的にレピュテーションを見極める技術の研究を続けてきたという。その技術は、「アプリケーションが信頼できるものかどうか、ユーザーの利用パターンを研究した上で編み出した技術だ」とSalem氏。アプリケーションの信頼度はさまざまな基準で判断しており、「そのアプリケーションがどこで開発されたものか、開発されてから何年経過しているか、普及度はどうかなどだ。ほかにもここでは公開できない秘密の基準がある」とSalem氏は説明する。
この評判ベースのアプローチをSalem氏は、レストランガイドの「ザガットサーベイ」に例えている。ユーザーのレビューによってレストランの評判が決まるあのガイドブックだ。「ザガットのように、長年セキュリティ業界で企業を脅威から守ってきた経験を生かし、どのアプリケーションが信頼できるものか、皆で協力して見極めていかなくてはならない」とSalem氏は主張する。
ブラックリストやホワイトリストに加え、この新しい評判ベースのアプローチを導入することで、より高いセキュリティが実現する。さまざまな変化が起こるこの業界において、セキュリティを操作可能とし、自らコントロールできるようにすることで、「セキュリティが企業をより発展させる基盤になる」とSalem氏は述べた。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」