【第2回】米CA Identity and Access Management（IAM）チームのトップにセキュリティマネジメントの最新事情を訊く（前編）

Identity and Access Management（IAM）のスペシャリストであるPeiyin Pai氏（米コンピュータ・アソシエイツ／eTrust Senior Product Manager）が2005年3月に来日した。同社は、企業システムのマネジメントの未来形として、Enterprise Infrastructure Management（EIM）を標榜して、セキュリティマネジメント製品をはじめとする多数のソリューションをラインアップしている。そのセキュリティマネジメント関連製品の中で、IAMは人的リソースの管理や情報漏洩対策に大きな影響を持っている。

--日米でセキュリティマネジメントの考え方や、運用方法はどのように違うのでしょうか。米国の最新事情についてお聞かせいただけますか。

Pei-Yin Pai氏 Business Manager Brand Mgmt-Security

　米国では、セキュリティに関しては3つの要素を重視します。1つ目が法規制への準拠です。　例えばHIPPA（Health Insurance Portability And Accountability Act：医療保険の相互運用性確保及び説明責任に関する法律）や、SOX（Sarbanes-Oxley Act：企業改革法）を遵守する形でセキュリティを策定すること。

　これは、法律を遵守するために企業がきちんとセキュリティ対策を実施できているかを証明する必要があるからです。個人情報、機密情報が守られていることと、セキュリティ指標がきちんと開示されていることを証明して、初めて信用できる企業として認められます。

　2つ目がコスト削減をできるか否かです。この点では、導入に関するイニシャルコストだけでなく、できるだけエンドユーザーがセルフコントロールできるようにしてランニングコストを削減する、という動きが盛んになっています。例えば、パスワード忘れなどのありがちな問題には、ユーザーが自ら対処できるようなシステムを作り、社内のヘルプデスクの作業負荷を軽減できるようにする流れです。

　3つ目が、外部からの脅威／侵入に関してもセキュリティマネジメントを取り入れる動きが高まっていることです。例えば、アンチウイルス／IDS／ファイアウォールといった機器を運用する場合も、事前にセキュリティリスクを洗い出したり、IT資産管理を元に防御策を実施したりするなど、セキュリティマネジメントを軸に包括的なセキュリティ対策を実施するといった流れですね。

--日本での法律遵守といえば、やはり個人情報保護法が中心となっていると思うのですが。

　確かにそうですね。ただ日本と米国では、セキュリティに対するスタンスが大きく異なります。日本では従業員を信頼するという考え方に基づいているので、技術よりもプロセスを重視したセキュリティシステムの構築が中心となっています。

　とはいえ、すでにセキュリティマネジメントを必要とする動きが日本でも強まっているのも事実です。例えば、製造業などでは企業が持つ知的財産（IP：Intellectual Property）の機密保持を実現するため、IT技術を中心とした導入も一部進んでいます。一方で、日本でセキュリティマネジメントが導入される場合、プロセスを自動化するだけでなく、短期間でより洗練されたものにしたいという要望が見受けられます。そのためにツールを導入するというケースが増えていますね。