情報セキュリティ最大手の米シマンテックにとって、自社のセキュリティ対策は決して手を抜けない取り組みの一つだ。世界中に拠点を持ち、企業買収も数多い同社が、どのようにセキュリティを担保しているのか。CISO(最高情報セキュリティ責任者)であるジャスティン・ソマイーニ氏に聞いた。(聞き手は、志度 昌宏=Enterprise Platform編集長、福田 崇男=日経コンピュータ)
日本ではノートPCの持ち出しを禁止している企業が多い。CISOとして、どう考えるか。
持ち出し禁止も解決策の一つではある。だが、利用者の生産性の面では妥協しなければならない。ノートPCを持ち出しても、データを守るテクノロジーは、当社製品を含め既に存在しているのだから、そういったテクノロジーを適切に使えばよい。どんな環境下でも、PCや携帯端末など「エンドポイント」と呼ばれる機器の安全を守ることは可能だ。
セキュリティを強化すると、PCの動作が遅くなるなど、利便性が落ちると考える利用者や企業も少なくない。
それは残念な誤解だ。セキュリティ製品を導入しても、PCの動作にはそれほど影響はない。実際に当社のウイルス対策ソフトを導入して検証してみても、性能はそれほど落ちない。セキュリティが守られることを考えれば、利便性はむしろ向上しているといって良いのではないだろうか。
セキュリティの脅威は常に変化している。CSIOとして重視する取り組みは何か。
一つは、社内で認証済みのソフトウエア、例えば米マイクロソフトのOfficeなどだけを使用できるようにしていることだ。事前にソフトを検証し、リスト化し、それ以外のソフトは原則、使えないように制限している。エンジニアが使いたいという要望などがあれば、検証したうえで例外として承認することはある。
DLP(データロス・プリベンション)にも力を入れている。DLPは、どのような情報が機密に当たるかを特定したうえで、社内システムのどこに機密情報があるかを技術的に把握する仕組みだ。社内で取り扱う情報には、顧客情報や知財情報、社員情報など、さまざまな種類がある。これまでは、これらを一様に守るしかなかった。DLPにより、情報の機密度に合わせてセキュリティ対策を打てるようになる。
そのほか、NAC(ネットワーク・アクセス・コントロール)や、CCS(コントロール・コンプライアンス・コンプライアンス)といったテクノロジーを使って、ネットワーク上のどこにどんな情報があるのか、誰が情報を操作しているのかを含め、コンプライアンス状況を確認している。
