セキュリティ製品やサービスの市場は、華やかなライティングや刺激的な色彩、それに刺激的な宣伝文句に満ちあふれています。これは今に始まったことではありませんが、市場の拡大に伴って、民間企業におけるセキュリティの状態は良くなっているのでしょうか? 日本でも、ベンダーだけでなく政財界も言う通り、まだまだ企業はセキュリティへの投資予算を増やすべきなのでしょうか? ビジネスへの投資とセキュリティへの投資は、どういうバランスが良いのでしょうか? そもそも、セキュリティ投資に無駄はないのでしょうか?

ファッション消費に例えてみると、ウインドーショッピングをしているうちに目が肥えてきて、流行に乗り遅れてはいけないとばかりについ目新しいデザインや色使いのファッションを衝動的に買い込んでしまうということは、確かにあります。控えめにいっても冷静とは言えず、少し熱に浮かされているような体験も正直あります。そういう時に限って、帰宅するとまるで同じような洋服がワードローブに、というどこかで見た光景が……

セキュリティ製品の導入の前には、POC(プルーフオブコンセプト)という実証実験があるのが通常なので、洋服の場合のようなことは起こらない理屈になっています。それでも機能が重複してしまうことも、実務においてはないわけではありません。いくら大義のセキュリティのためとはいえ、冗費となってはスマートとは言えません。どうしたらエレガントにセキュリティをデザインでき、社内でも「なるほど」と言ってもらえるのでしょうか?

新しい技術を採り入れる必要性は年々大きくなり、またサイクルも速くなっているようにも感じています。犯罪組織が潤沢な予算と組織力をもって全力で挑んでくるからです。どんどん強くなるし、極めて巧妙にもなる。また時間も人もグローバル規模で潤沢。そこでこちらも新製品を買わざるを得ないという気持ちになるのは致し方ないことです。でも、ちょっと待ってください。いくらムービングターゲットへの対応と言ったところで、ワードローブの中がぐちゃぐちゃというのではいただけません。新旧の防御システムが似ているならまだしも、相互干渉して無用なセキュリティアラートを山のように飛ばしてきたらたまったものではないでしょう。

こういうときに、アーキテクチャという考え方が生きてくるわけです。アーキテクチャはもともと建設業界で使われていたれっきとした実務上で効果を発揮する常とう手段です。セキュリティでアーキテクチャと言えば、どういうことなのか、どういうメリットがあるのか、今年の3月にISFから出されたSecurity Architectureというレポートから整理法について学んでみたいと思います。まずは、Steve Durbinさんにご説明お願いします。