攻撃の防御という点では、特定の敵に対してどれだけ有効かを見る。ファイヤウォールや侵入防御、アンチウイルスといった技術はすでに古い技術だが、すでに高度な技術も存在している。だから企業は、いま自分たちにとってコストに見合った防御技術が何なのか、考えてみる必要がある。
我々も防御技術としては、認証プラットフォームやDLP(情報漏洩防止)などの製品を提供している。多くの組織ではユーザーネームとパスワードという単純な認証方式を採用しているが、パスワードが盗まれたらおしまいだ。我々の提供する「RSA Adaptive Authentication」では、パスワードが盗まれても他のリスク要因を考慮し、例えばユーザーが通常ログインしている場所とは違う場所で真夜中の変な時間にログインしている場合は、ログインを拒否したりSMSメッセージを送ったりという対処ができる。
防御だけしていて検知技術を導入していないケースもあると思うが、その場合はいかにして脅威に対する可視化を高めるべきか考えてほしい。
投資のバランスも大切だ。多くの組織は今、防御面への投資の比重が高くなっており、その大半はあまり役に立たない古い防御技術に投資している。セキュリティ責任者は一歩下がって自社の投資の全体像を見渡し、使わなくていい技術への投資は見直し、新たな防御技術への投資や、現在不十分となっている検知技術への投資も考えるべきだ。
今RSAで注力している技術としては、ID技術やネットワーク可視化などの技術がある。今後ビジョンの進化に伴い、クラウドやモバイル分野でのイノベーションにも注力してきいたい。
--日本は2011年に東日本大震災を経験した。こうした自然災害に対して企業が身を守るために考えておかなくてはならない対策は?
地震のような自然災害でも、テロ攻撃のような人的災害でも、鍵となるのは事業継続計画(BCP)だ。
BCPでは、遠隔地でのバックアップが必須となる。特に生活に密着した電力会社や銀行、政府機関などは、災害が起こってもすぐに情報へアクセスできなくてはならない。
BCPを考える時は、この情報の価値はどれくらいなのか、情報にアクセスできない状態でいられる限界時間はどれくらいなのかを考慮すべきだ。数時間以内にアクセス可能となる必要があるのなら、常にその情報は遠隔地のディスク上に置き、ネットワークに接続されていて、スイッチを入れるだけでアクセスできるようにするような処置が必要だ。
(ユーザー側は)もちろんそれにかかるコストを考える必要があるが、(ベンダーにとって)クラウドコンピューティングはこの分野でも市場機会が大きいと思われる。クラウドコンピューティングはもともと高可用性を想定して構築されていて、データセンターが何らかの障害にあっても、データは別の場所に置かれているためだ。ただし、クラウドコンピューティングでもデータが同一地域に集約されていると意味がないので、クラウド環境でのディザスタリカバリを考えるのであれば、クラウドプロバイダーがデータセンターを分散させているかをまず確認しなくてはならない。