--BLIからどのような状況が読み取れますか。
情報漏えい事件は急増しており、2014年の第1四半期(1~3月)だけで2億件ものデータが盗まれています。このレポートは一般に公開された情報のみを元にしていますので、実際にはこの数字よりはるかに多いでしょう。
また、第1四半期では254件の情報漏えいが報告されていますが、このうちデータを暗号化していたのはわずか1%でした。暗号化しておけば、たとえデータを盗まれても中身を見ることができず、悪用されることがありません。
一方で、データを保護しようにもそれがどこにあるのか分からないという現状があります。以前は企業の内部と外部との境界だけを守っていればよかったのですが、現在では重要なデータがデータセンターにあるのか、仮想化環境にあるのか、あるいはAmazon Web Services(AWS)やDropboxにあるのか分かりません。もはや境界線はないのです。
さらに、データやアプリケーションが仮想化環境に移ってきたことで、管理者の人数が増えることも一因です。これは、重要なデータへのアクセス権限を持っている彼らが悪者になるということではありません。犯罪者が彼らを狙い、情報を盗み出そうとしているのです。
データ漏えいのソース:Malicious Outsider 悪意ある部外者 Accidental Loss 事故による紛失 Malicious Insider 悪意ある内部者 Hacktivist 政治的ハッカー State Sponsored 国家的支援による活動(Breach Level Index: Q1 2014 Data Records Lost or Stolenより )
すでに、自分たちでコントロールできないネットワークが主流になりつつあるため、内部犯罪による脅威も大きくなっています。つまり、以前の「侵害を未然に防ぐ」という考え方から、侵害が起きることを前提にセキュアな環境にしていく考え方に変えていかなければなりません。最重要課題はデータを守ることですから、仮に盗まれたとしても使えなくするような対策が求められているのです。この「セキュアな漏えい」を、わたしたちはレベル1としています。最悪な事態はレベル10です。
公表されない漏えい事件も把握したいのですが、漏えい事故が発生した際の報告義務は、国や市場によって違います。たとえば米国では州ごとに法律や義務が決められています。カリフォルニア州では、どんな企業であっても漏えい事故が発生したら報告しなければなりませんが、その期限は決まっていません。つまり、2年後に報告してもいいわけです。ただ、規制や法律、ガイドラインというものは事件の性格の変化で進化していくものです。残念ですが、それを実現するためには多くの企業が被害に遭うことになります。
--MITB(Man in the Browser)攻撃にどう対処していますか。
SafeNetでは「NG-FLASHトークン」という公開鍵暗号基盤(Public Key Infrastructure:PKI)ベースの製品を提供していますが、これはトークンの中に自分のプライベートキーを安全に格納できるものです。
たとえばデスクトップパソコンで銀行などのサイトにアクセスしたときでも、OS経由でなく、トークン経由で操作することになります。トランザクションにはプライベートキーでサインインしているため、デスクトップやOS、ウェブブラウザが攻撃されてもトランザクション自体は安全性を保てるわけです。
また、誤りを検出するチェックサムベースでブラウザには保存されない仕組みを提供する製品もあります。このため、ブラウザが攻撃に遭ってもトランザクションはセキュアを保つことができます。このように複数の製品をを用意することで、ユーザーが住んでいる国の法律に適合した方法での対策が可能です。
--ここ数年で感じている顧客の変化はありますか。
多くの顧客は、仮想化環境でのデータのセキュリティが担保できるのかが心配なようです。これはパブリッククラウドを念頭にした考えですが、それと同時にプライベートクラウドにおけるデータガバナンスをどう証明するかも気がかりのようです。顧客も移行期にあるわけで、データはまだまだ物理サーバにありますが、一部プライベートクラウドとパブリッククラウドを併用するようになっています。
いわゆるハイブリッドクラウドにデータが存在することになっていますが、将来像が分からない。すべてパブリッククラウドを使うのか、あるいはハイブリッドクラウドであり続けるのかも未知数なのです。では、このような状況でどういうオペレーションをセキュリティ対策に取り、しかもデータ保護への投資が将来的に無駄にならないようにする方法を考え、迷っているように感じます。
