【第3回】米CA Identity and Access Management（IAM）チームのトップにセキュリティマネジメントの最新事情を訊く（後編）

Identity and Access Management（IAM）のスペシャリストであるPeiyin Pai氏（米コンピュータ・アソシエイツ／eTrust Senior Product Manager）が2005年3月に来日した。同社は、企業システムのマネジメントの未来形として、Enterprise Infrastructure Management（EIM）を標榜して、セキュリティマネジメント製品をはじめとする多数のソリューションをラインアップしている。そのセキュリティマネジメント関連製品の中で、IAMは人的リソースの管理や情報漏洩対策に大きな影響を持っている。

--数年前から日本でも情報漏洩事件が相次いでいます。こうした状況は他国と比較して多いのでしょうか。

　いえ、決してそのようなことはなく、むしろ少ないように感じています。情報の漏洩は、外部からの侵入によるものと内部犯行とに分けられます。前者に関しては、インターネットが世界中につながっているので、世界中のハッカーからの攻撃から防御する必要があります。　外部侵入から顧客情報を守るには、スレットマネジメント（外部脅威対策）をバックエンドとしっかりと連携させる必要があります。この部分は、日本も世界もさほど差はないと言えます。

　一方、内部からの漏洩で多いのは、知的財産の流出です。先にも申し上げましたが日本では、こちらについての漏洩は少ないように感じます。

　ただ、日本と米国を比較すると法規制の数、内容の違いから対処の仕方は大きく異なります。米国では、HIPPAやSOXへの準拠に加えて、カリフォルニア州では独自にプライバシーに関する法律として「California SB 1386」が制定されています。

　この法律では、カリフォルニア州の住民を顧客に持つ企業は、個人情報が盗まれた可能性を持つような出来事が起きた場合、それを個人に伝えることを義務付けています。義務を怠った場合には、告訴されたり、罰則を受けたりします。

　実際に、大学病院でノートPCが盗まれた事例があります。おそらく物品欲しさによる盗難と思われますが、そのPCには献血などの個人情報が含まれていたので、登録されている何万人もの個人にそれを通達しなくてはなりませんでした。

--情報漏洩が起きた場合、個人情報とIP（Intellectual Property：知的財産）とで、企業に与えるダメージは国ごとに異なるものなのでしょうか。

　あくまでケース・バイ・ケースですが、日本では個人情報漏洩のほうの被害を深刻視する傾向があるように感じられます。日本は、社員への信頼度が高く、またビジネスにおいても信用が企業の存続に特に大きく影響しています。もし個人情報がハッカーなどの不正侵入にあって漏洩すれば、個人／取引先を問わず悪影響を及ぼします。いかに顧客に信頼感を持ってサービスを利用してもらうかが重要だからです。そのため、サービスを支える最新のテクノロジーを活用していく必要があります。

　例えば、電子メールを使ったフィッシング詐欺が頻繁に起きていることを考えれば、メールアドレスなどの個人情報漏洩を起こした企業のサービスを使うのを消費者は避けるでしょう。一方でそうしたフィッシングの材料に利用されることでも、評判を落とす可能性があります。そのためには、企業は不正行為を防止するメカニズムや、顧客に対する啓蒙活動が必要となります。

--情報漏洩は、9割以上が内部からのユーザーを介して行われると言われています。この流れは、IAMなどの導入によって変わっていくものなのでしょうか？

　FBIとCSI（Computer Security Institute）が主要企業600社に対して行っている調査によると、米国では情報漏洩が社内スタッフの悪意によってもたらされたというケースが8割近くを占めているという結果が出ています。ただ、スパムメールやスパイウェアが登場し、そこから情報漏洩が起きるというケースも増えていますので、その比率は若干変化しています。

　とはいえ、アクセスコントロールの徹底によって内部犯行を防ぐことと、ゴーストアカウントの消去や外部にパスワードが漏れない仕組みを作ることは、企業がセキュリティマネジメントを実践する枠組みの中で、必ず取り入れていくべき課題となっています。その部分ではIAMは大きな役割を果たします。　またこれから先も社内に存在するすべての脅威や情報漏洩の可能性に対して、包括的に対処していくことが必要です。

--Paiさんは、CAの中でIAMのエキスパートとして活躍されています。最近のIAMのトレンドや顧客ニーズについてお聞かせください。

　業界が求めている要件としては、1人のユーザーが入社してから退社するまで、一元的にアカウントの管理ができるシステムを求める動きが高まっています。また、1人が使っているメールソフトや業務アプリケーション、グループウェアといった各種のツールを1つのアカウントで全て使え、さらにメインフレームを含むホストコンピューター、サーバーといったシステムごとに、アクセスコントロールが可能なシングルサインオン環境も同時に必要とされています。

　もう1つ、顧客のニーズが高いのは、いかにIAMを統合した環境として運用できるかです。多くのお客様のシステムにおいて、クライアント側ではWindows、サーバーにUNIXやメインフレームを使うというようにハードウェア環境が混在している上に、ソフトもさまざまなベンダーのものをマルチに利用するようになっています。こうした環境の中でより使いやすく統合されたもの、例えばユーザー作成のためにボタンを1つ押せば、それがバックグラウンドの人事システムと連携して自動的にアクセス権が設定され、管理も自動化できる、そういったものが望まれているのです。

　さらにユーザーインターフェースの統合も重要な要素です。1つの管理画面を切り替えずに、すべてのオペレーションが実施できることも重要です。1つのユーザーインターフェース上でIAMが実施できれば、企業のビジネスプロセスとセキュリティが密接に結びついて、的確で効率的、そしてコスト削減につながるセキュリティマネジメントが実施できるようになります。