奈良先端科学技術大学院大学 情報科学研究科教授 山口 英 氏に、新編集長上野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕のScan編集部からSkypeでアクセスし、音声とビデオによって行った。(本文敬称略)奈良先端科学技術大学院大学http://www.naist.jp/山口 英http://iplab.naist.jp/member/suguru/index-j.html山口 英に聞く2010年に企業が取り組むべきセキュリティ対策 (1)企業の情報処理環境3つの変化https://www.netsecurity.ne.jp/3_14801.html─●クラウド活用のセキュリティ上の留意点上野:クラウドサービスは、物理的な所在や管理者が明確ではありません。セキュリティ担当者が注意すべき点は何でしょうか?山口:私は、これから中小企業が、セキュリティのことも考えながらビジネスを展開していく情報通信基盤として、クラウドはとても有望だと思います。IT知識のない企業にシステム構築を強要するSIのような、従来のやり方に比べると、クラウドサービスは中小企業にはメリットが大きい。現在の日本のつらい状況を乗り切る一つの答えになることを期待しています。クラウドというとちょっと一般的すぎるので、SaaSということに限って話をすると、SaaSはサービスのユーティリティ化を行って、リソースを多くのユーザが共有することで、コスト削減という大きなメリットが得られます。そのメリットは、SaaSの提供者を信頼することで成り立っています。この「信頼」をどう考えるかがキーになるでしょう。提供者に対して利用者が全幅の信頼を置くことが前提なので、いままでのセキュリティの考え方とはミスマッチを起こすことがあるでしょう。セキュリティ的に問題があるといっても、その信頼レベルで十分と思う人たちが使っているのであれば仕方がない訳です。上野:SaaS提供者に対する「信頼」にはどんな問題がありますか?山口:「利用者が提供者に対して置いている信頼の中身が具体的にどんなことか」「それによって免責されることとされないことは何か」「それによるリスクが何か」以上の要素を可視化して、きちんとした尺度で測れるようになっていないとしたら問題でしょうね。それが見えているなら、後は利用者側のビジネスとの関係性になると思います。利用者側の事業規模や、必要とされるインフラの信頼性のレベルに応じて、合理的結論が出せるしかけなら悪くないでしょう。現在、SaaSはそういう方向に向かっていますから、これから期待したいです。たとえば、これはセキュリティではなく、企業会計のSaaSの例ですが、TKCが提供する、ASPとコンサルティングサービスを合わせたサービスは中小企業には最適な解を提供していると思います。TKCのセキュリティ版のようなサービスの登場が待たれます。●日本のIT風土上野:日本が海外に比べて取り組みが遅れていることや、また日本だけが抱えているような問題は何かありますか?山口:私は日本が遅れているとは思いません。ただし、※本記事は有料購読会員に全文を配信しました
