米国の情報セキュリティは進んでいるのか

● 米国の情報セキュリティは進んでいるのか？

皆さんが日常使っているコンピューターやインターネットは米国生まれ。それが今や世界中に普及している。「情報セキュリティ」という言葉もまた米国で生まれ、良くも悪くも、今日ではそれがグローバルな規模で日常の課題となっている。

当然、皆さんの中には、次々と IT 技術を生み出している米国が情報セキュリティでもやはり最先端だというイメージを持つ人が多いだろう。米国企業での情報セキュリティ対策もかなり進んでいると思われているのではないだろうか。

「情報セキュリティ」（“Information Security”）という言葉は、1980年代インターネットの前身である ARPANET の構築に関わった SRI（スタンフォード研究所）の研究員 Don Parker が、コンピューターが相互接続される時代に重要になるとして提唱したもので、有識者の議論の場としてフォーラムを立ち上げたのが情報セキュリティ黎明期の動きの一つである。

その後、ハッカーが米国で活動を開始し、実際に情報セキュリティが脅かされる状況が現実化した（本来は、正統派で技術力をもつハッカーと、悪意を持つ「クラッカー」や「ブラックハットハッカー」を区別するのが正しい）。初期の犯罪のケースとしては、FBI 捜査官との対決で映画にもなった Kevin Mitnick が有名である。

そして、セキュリティ対策の製品の多くが米国で生まれている。ファイアウォールで有名な CheckPoint 社のように、元はイスラエルやフィンランドなどで開発された技術で、市場・資金・人材を求めて米国を目指す例も多い。

さらに、インターネット上のインシデントを扱うことで有名な CERT/CC（緊急レスポンスセンター）は米国連邦政府の予算で運営され、SANS Institute や Carnegie Mellon 大学、Purdue 大学などの情報セキュリティの高等専門教育機関も米国にあり、また情報セキュリティ専門家の国際資格である CISSP も米国発である。

インターネットが世界に張り巡らされ、サイバースペースが国境のないボーダーレスな環境となり、悪意あるハッカーも国際化しているとはいえ、米国が情報セキュリティ先進国であるという状況は当面続きそうである。


● グローバル環境での企業の情報セキュリティ

さて、翻って日本。昨今多くの日本企業の活動の柱の一つにグローバル化がある。逆に、サプライチェーン、あるいは顧客市場が日本国内に留まっているケースはもはや少数派ではないだろうか。

また、グローバルであるインターネットに繋がっていない企業は殆んどないと言い切っていいだろう。即ち、企業の情報セキュリティ対策を考える場合、企業の規模に関わらず、グローバル環境を考慮する必要がある世の中になってしまった。

しかし、多くの日本企業にとって、「グローバル」はやらなければならないことではあるが、決して得意な分野ではない、というのが実情ではないだろうか。そこにセキュリティが絡むと難易度はさらに高まる。

特に最近増えつつある、世界各地に拠点を持ち種々多様な従業員を擁するグローバル企業、あるいは M＆A の結果として異文化が共存するような企業においては、“グローバル”で“セキュリティ”を死守することは至難の業といえる。

実際にセキュリティ対策が一筋縄でいかないことは皆さんもご存じのとおりである。物理的なハード・ソフト面の整備は分かり易いがあくまで対策の1ステップに過ぎず、ポリシー策定、従業員の教育、定期的な監査と改善、など地道で継続的な取り組みが必要である。

また、万全の対策を取っても、100％のセキュリティはない。では、どうすればよいのか。この連載コラムでは米国系グローバル企業でセキュリティ・ビジネスを担当する立場から得られる知見をもとに、情報セキュリティの問題、そしてグローバル企業の抱えがちな課題と実際の対策について具体的な事例を交えながら紹介していく。

（AT＆T ジャパン株式会社 ソリューション企画部長 門野健治）