情報インフラストラクチャ・テクノロジーとソリューションを提供し、企業のITインフラの全体最適化をサポート | EMCジャパン

コストを決める前にまずやるべきはリスク評価

コンプライアンス対策を実施するにあたり、「コンプライアンスのために、どの程度のコストをかければよいのでしょうか？」という質問をいただきます。
その質問に対する私の回答は、「まず、リスク評価をしましょう」です。
リスク評価を行わなければ、どの程度コストをかければよいのか、答えを出すことはできません。
もし、リスク評価を行った結果、「あなたの企業には、全くリスクというものが存在しません」となれば、わざわざコストをかける必要はありません。
でも、リスクの存在が明らかになり、それが原因となって損失が出るのであれば、予想される損失に応じた対策コストが必要になると考えた方がよいでしょう。つまり、正しいコストとはゼロでもなければ、いくらかけてもよいわけでもありません。その中間に答えがあると考えるべきなのです。そして適正なコストを把握するには、外部機関にリスク評価を査定してもらい、適正なコストはどれくらいかを考えてみるのが正しい手法です。
もっとも、リスク評価を受けたとしても、その結果に対する反応は、企業によって違います。米国の企業を例にとると、2種類の反応があります。1つは、セキュリティ純粋主義とでも言えばよいのでしょうか、徹底的に取り組む企業。このような企業は、「これだけセキュリティ対策に注力したのだから、コンプライアンスは後からついてくるだろう」と考えます。
もう1つは、「とにかく、セキュリティ監査をする人が満足すればいい」と考えるタイプの企業。残念ながら、後者の「監査が通ればいい」と考える企業はまだまだ多いように感じます。もちろん、「監査が通ればそれでいい」では困ります。監査を受けて、合格するのが目的ではないのですから。
まず、リスク評価を行い、データとデータにアクセスするユーザの管理体制を作り、セキュリティポリシーを策定する。こうした課程すべてが、企業がコンプライアンスを確立するために欠かせないのです。

まずアクセス権を管理し次にデータ自身を管理する

多くの企業はコンプライアンス対策が必要なことは理解しています。しかし、「どうやってセキュリティを確保し、コンプライアンスを確立すればよいか分からない」という企業もあるでしょう。そのような場合は、データ管理の見直しをお薦めしています。
というのも、多くの企業に聞いたところ、「どこに、どんなデータがあるのか、きちんと把握していない」というケースが案外、多いのです。データがどこに置かれて、それが機密事項であると認識していても、漏洩防止策に取り組んでいない企業も多いのが実情です。
米国のある製薬会社は、非構造データの管理で大変悩んでいました。製薬会社の業務は、外部にデータが漏洩することがあれば、まさに命取りとなります。そこで情報漏洩を防ぐソリューションを、すぐにでも導入したいという相談を受けました。
我々が提案したのは、基本的なデータセキュリティ・ソリューションでした。まず、アクセス権を管理していくこと。それからデータそのものを管理していくこと。この場合のデータ管理には、暗号化に加え、Digital Rights Management（DRM）ソリューションを導入しました。不正なデータの複製に対する対策です。
次に、バックアップについてですが、次のような取り組みが増えてきています。
ウォールストリートバンクは、バックアップにテープを使っていましたが、ハードディスクに切り替えました。さらにデータを暗号化してしまうことで、情報漏洩対策に備えたのです。このようにメディアの変更と同時に、セキュリティソリューションを導入するというのは、有効な手段の1つだと言えます。従来から続けてきたデータを保管する方法が本当に正しいのか、セキュリティを踏まえて見直してみることで、
コスト面でも、セキュリティ面でも、プラス効果が出ることが多いと言えるでしょう。
企業の皆様が持たれているデータの形式や中身は、さまざまです。どんなセキュリティ対策を行うべきか、その方法も企業によって異なります。

インテリジェントな情報インフラストラクチャへ

コンプライアンスの確立において、魔法の杖は存在しません。何か特別な技術の利用により、対策が整ってしまうなんてことはありえないのです。コンプライアンス対策に必要な要素のうち、技術が25％だとしたら、残り75％は「人」。つまり、コンプライアンスの確立にかかわるスタッフが、高い意識を持つことが重要となります。
企業活動において、「情報」が重要な価値をもっていることは言うまでもありません。ハードウェアの中に入っている「データ」は、そのままでは「情報」とは成りえません。「データ」が人の手に渡ることによって、はじめて情報になるのです。

つまり、データを管理するための製品だけでは、企業が抱えている問題を解決できません。それを理解しているからこそ、EMCはデータを搭載するハードウェアから、データそのものを管理するソリューションへと展開してきているのです。
では、我々がこれからどんなソリューションを提供しようと考えているのか、その一端をご紹介しましょう。
まず、すぐ取り組むべきだと考えているのが、データアクセスのセキュリティ、データそのもののセキュリティ、そしてこの2つを組み合わせて提供するソリューションの3点です。
そして、その結果としてEMCが以前から提唱してきている「インフォメーション・インフラストラクチャ（情報インフラストラクチャ）」の実現を目指します。例えば、個々のデータごとにセキュリティ対策を施すのではなく、インフラストラクチャ側でトータルなセキュリティ対策を実施できるソリューションも、その1つです。
現在のIT環境は非常に複雑であり、全体を管理することが容易ではありません。そのためEMCは、インフラストラクチャそのものをインテリジェント化し、管理を容易にしていきます。

著者プロフィール

デニス・ホフマン
米EMC RSA, The Security Division
エンタープライズ・ソリューション事業部
バイス・プレジデント兼GM