ブルーコートシステムズの最高セキュリティ戦略責任者兼シニアバイスプレジデントを務めるヒュー・トンプソン(Hugh Thompson)氏は、米国セキュリティ業界屈指の論客でもある。トンプソン氏が見据える、今日の情報セキュリティが直面する課題への対応と、セキュリティベンダーが今後果たすべき役割を聞いた。(構成/ダイヤモンド・オンライン 指田昌夫)
――企業の情報セキュリティが直面する、一番重要な課題は何ですか?
私は長年にわたり、顧客を守るセキュリティシステムのあるべき姿を考え、企業経営者のみなさんとお話しをしてきましたが、ITや情報セキュリティを取り巻く環境は、かつて経験したことがない大きな変化のただ中にあります。
ブルーコート・システムズ最高セキュリティ戦略責任者兼シニアバイスプレジデント
フロリダ工科大学で応用数学の博士号を取得後、10年以上企業の情報セキュリティ分野に携わり、3冊の共著を執筆。2006年には、SC Magazineによる「ITセキュリティ業界における影響力のある思想家トップ5」の1人に選出される。過去3年間にわたり、世界最大の情報セキュリティの会合であるRSA Conferenceのプログラム委員会で委員長を務め、米国および欧州のRSA Conferenceで技術内容の指導を行う。「IEEE Security and Privacy」誌の編集委員、コロンビア大学で非常勤教授も務めている。2012年9月から現職。Photo:DOL
まず、すでに広く知られていることですが、セキュリティ問題はますます重大な経営問題になっているということです。従来は情報システム部門の担当だったものが、CIO、CSO(最高セキュリティ責任者)、さらには企業のトップであるCEOの判断が必要になる問題になっています。
そしてもう1つの注目すべき課題は、技術に対する「パワーバランス」が変わったことによる、新たなリスクへの対応です。
具体的にはこういうことです。これまでは、最新のテクノロジーは常に「企業側」にありました。しかしそれが今では、「社員」の側へ移ってしまいました。現場のビジネスマンの手の中にあるスマートフォンやタブレットこそが最新テクノロジーの結晶であり、その中で動くサービス、すなわちグーグルやフェイスブックなどが、最先端のクラウド技術を用いているということです。
その状況下で何が起きているのかというと、企業の社員は会社支給のシステムでは満足できず、自前のスマホやタブレット、ノートPCで各種のクラウドサービスを使って仕事をするようになってしまいました。
社員が優れた技術を使うことは
だれにも止められない
――多くの企業で、セキュリティ確保のため、私物の業務利用(BYOD)についてルールを定めて、企業の管理下で運用する模索が始まっています。同時に「ドロップボックス」などのクラウドサービスの業務利用を禁止する例も見られます。
私は、長期的に考えると優れたテクノロジーを規制することはできないと考えています。
なぜなら、優秀な社員であるほど、彼らは常に、自らの生産性を上げようと努力しています。彼らが新しいテクノロジーを使うのを止めることは、もはやできないでしょう。企業の支給品が、個人的に使用しているものより、たとえ1ステップでも余計に手間がかかると、社員は自分の持ち物を使いたいと思ってしまいます。