セキュリティは“追加”するものではなく、当然あるもの

2002/3/12
February 22, 2002 InternetWeek.com By Richard Karpinski

 ITベンダがやっと重い腰を上げ始めたようだ。エンタープライズシステムにとって、セキュリティに関する侵害や攻撃に対応することは費用的に見て困難なことだ。また、パッチを当てる、あるいはウイルスからの防御といった作業に割く時間も限られる。だからこそ製品は、出荷時のセキュリティレベルを“低”にして出荷されるべきではない。また、新機能も、もしそれがセキュリティ面でのぜい弱性を含むものならば、追加されるべきではない。相次いで自社製品のセキュリティ問題が指摘されるマイクロソフトですら、“trustworthy computing(信頼性のあるコンピューティング)”と称し、セキュリティ対策を新フォーカスとして売りこんでいる時勢である。

 RSAセキュリティが先月カンファレンスを開催したり、SNMPの問題が浮上したりしたことから、セキュリティへの関心は一気に高まりつつある。RSAのカンファレンスでは、ブッシュ政権の“サイバーの皇帝”ともいわれるリチャード・クラーク(Richard Clarke)氏が、ますます重要視されるITセキュリティ問題にスポットを当てた。多くの企業がハッカーなどの伝統的なセキュリティへの脅威から身を守る態勢さえ整っていないのに加え、テロリストによるサイバーアタックという、発生する可能性のある新たな脅威もある、とクラーク氏は強調した。

 ここにチャンスの兆しがあると思ったのか、――あるいはやっと気が付いたのか――、ベンダはセキュリティに新たなる強化を行いつつある。ベリサインは多くのトップクラスのベンダへ案をもちかけた。マイクロソフト、サン・マイクロシステムズ、IBM、BEAシステムズ、オラクルといったベンダに対して、Webサービスにおける認証とセキュリティのフレームワークを提供するというのだ。このグループは、Webサービスの小さな隠れた“秘密”にスポットを当てている――WebサービスのコアのプロトコルであるSOAP、UDDIなどの新技術には、セキュリティのメカニズムが欠如しているという点だ。

 このかけはかなり大きなものといえる。「ここ20年以上にわたり、信頼と安全は、企業が大きなITイニシアティブを適用する際に障害となってきた」とガートナーのアナリスト ダリル・プラマー(Daryl Plummer)氏は述べる。プラマー氏によると、いまWebサービスが同じ課題に直面しているという。XMLおよびWebサービスのパイオニアとされる、BEAのシニア・バイスプレジデント アダム・ボスワーズ(Adam Bosworth)氏に言わせると、ベリサインの率いるグループは、Webサービスへの“聖杯”を作り出そうとしているのだそうだ。「もしセキュリティのメカニズムが組み込み済みであれば、開発者はそれらの機能を統合する必要がない。つまり、その段階までWebサービスが成長することになる」(ボスワーズ氏)。

 第1級のセキュリティをWebサービスに追加することにフォーカスするということは、しかもそのようなサービスが広く実装される前に注目されるのだから、産業界にとって大きな一歩となることだろう。(全IT製品に言えることだが)セキュリティは、Webサービスの1つの“特徴”であるべきで、数百万のサービスが実装された後にベンダやユーザーが懸念するようであってはならない。

 SNMPにも、同様のことが言えるとよいのだが。すでにネットワークシステムで広く使われているSNMPのぜい弱性に関するニュースが先月突如としてわき出たが、これは、潜在するセキュリティ問題を解決するのに、旧体制におけるレッスンだったといえる。ベンダは、自社製品にプロトコルを実装するときの認識が甘かった。多くのユーザーは、利用している製品にSNMPが実装されているかどうかさえ把握していなかった。

 問題が表面化するまでに、それについて調べることだけでユーザーの頭痛は最高潮に達していた。これは、長い間、業界全体が取ってきた“セキュリティは後回し”という姿勢のもたらした結果ともいえるだろう。

[英文記事]
Security Must Be A Feature, Not An Afterthought

[関連記事]
信頼”を軸に第2の波に照準を当てるベリサイン (@ITNews)
Webサービスのセキュリティにインパクトを与える提携 (@ITNews)
MS、IBMらがWebサービスの実装を推進する団体を結成 (@ITNews)
オンライン認証技術をめぐる勢力構図 (NewsInsight)

Copyright(c) 2001 CMP Media LLC. All rights reserved

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)