ドルマークがシャープに変わる瞬間(2)〜ペネトレーションテスト青春白書、NTTデータ・セキュリティ辻伸弘

SCAN編集部は、セキュリティの最前線で活躍する専門家として、NTTデータ・セキュリティ株式会社の辻伸弘氏にインタビューを行った。辻氏は同社で「ペネトレーションテスト」を行っている。このテストは、脆弱性検査サービスや擬似侵入検査サービス、侵入検査サービスなどと呼ばれるもので、ネットワーク上のコンピュータやネットワーク機器に対して、実際の攻撃手法を用いて、検査対象のセキュリティがどの程度のレベルであるのかを調査する。同氏はマイクロソフトのセキュリティコミュニティメンバにもなっており、しばしばコラムも執筆している。今回は同氏にペネトレーションテストの内容から、テストにかける愛情、さらにはセキュリティや脅威の動向に至るまでお話をうかがった。このインタビューの内容を2回にわたって紹介していく。

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

────

＞＞ウイルス対策やファイアウォールのように爆発的に売れる製品はもうない

─セキュリティ業界の傾向を、どう見ていらっしゃいますか？

辻氏(以下敬称略)：
最近は、ISSがIBMの傘下に入ったように、セキュリティの専門企業が他の企業に買収されて、企業の一部門になるという傾向がありますね。このような流れは今後も続いていくでしょう。この傾向は、セキュリティという観点ではいいことだと思います。

セキュリティは全体的に見ていく必要がありますから、たとえばIDSと、サーバ、そしてその運用などが別々の会社で行われていると、全体的な視点で見ることができません。

今後はセキュリティのノウハウや人材をたくさん持っている企業が、いろいろなセキュリティ製品やソリューションをまとめていく役目を担っていくようになるんでしょうね。機器と保守、運用など、それぞれ専門の企業をひとつにしていき、それらを組み合わせたサービスを提供していくようになると思います。

製品としては、ウイルス対策やファイアウォールのような爆発的に売れる機器は、今後はもう出てこないのではないかと思います。これらの対策製品は、インターネットの自由度を落とすことなく導入できました。

しかし、内部漏えい対策をはじめとする最近の製品は、何かしらの制約を伴います。つまり自由度が下がり不便になるわけですね。そうなると内部から反対が出たりして、導入率が上がらない。この傾向は日本で特に顕著に出ている気がします。

─導入効果がわかりづらい製品もありますね

辻：
そうですね。最近ではJSOX法対策製品がいい例です。対策製品はすでにたくさん出ていますが、JSOX法の具体的な内容はまだ決まっていません。そのあたりをベンダに聞いてみると、実際は米SOXに対応しているというものが多いようです。もちろん、グローバルに展開している企業にとってはメリットがあるかも知れませんが、対策すべき「法」についての情報がないのでは製品を選ぶこともできません。本当に必要なものは何かということを、常に意識する必要があるでしょう。

Winny対策製品というのも、同じような印象があります。Winnyに関する問題はよく話題になっていますし、個人情報流出のニュースもよく耳にします。でも、Winny対策に本当に意味があるのかとも思います…

【執筆：吉澤亨史】

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec