セキュリティ対策にいくらかけるのか
三井物産セキュアディレクションの発表会に参加してきた。発表の内容は「Digital Guardian 3.0」の国内販売開始についてだ。この製品は、ひとことでいうならば、Point of Use(使用時点)でのデータセキュリティを実現するもの。Digital Guardianは、先に開催されたInterop Tokyo 2005のアワードで情報セキュリティ製品としてグランプリを獲得してる。
ポリシーを設定し、それをもとにWindows端末の操作を監視、制御する。たとえば、USBメモリへの書き込みを禁止、ファイルサーバー上のファイル の指定フォルダ以外へのコピーを禁止、これらの制御とともに正規の操作についてもログを残し、管理コンソールで一元管理する。各クライアントPCには、 エージェントがインストールされるので、オフライン状態でも監視、制御は可能だ。このあたりは、インテリジェントウェイブのCWATと機能的に似通った点が多い。レポート性能は、OLAPのドリルダウン分析的な操作が可能で使いやすそうだ。ユーザーの操作をかなり細かく制御でき、導入すれば「うちの会社は監視しているのだぞ」ということが伝わり抑止効果は大きいだろう。
Digital Guardianの価格は、1,000名規模の企業で1従業員あたり28,000円とのこと。導入には数千万円の費用が発生することに。この金額を高いと みるか安いとみるか。個人情報を大量に扱っていたり、金融や医療機関などのようにシビアな情報を扱うならば漏洩した際の損害からすれば安い買い物かもしれ ない。セキュリティ対策は、終わりがない。ここまでお金をかければ完璧というのもない。脅威への実感がないとなかなかお金はかけられないのが実状で、漏洩 を心配して綱渡り気分で過ごしている情シス担当者もたくさんいるだろう。とある会社の情シス担当者の個人情報保護法が施行前の言葉、「いくつか大きな漏洩 事故がおきてくれれば、経営サイドもことの重大性に気付いて予算を割り当ててくれるはず。それまでは、どうか我が社から情報漏洩がありませんように」。