デジタル形式の情報の保護に対する責任者です。ここで言う情報とは、ネットワーク、サーバ、ストレージ上にある知的財産、顧客データ、取引機密、ソース・コード、及びあらゆる機密情報などの、企業の情報資産のことです。建物、バッジ、ロビー責任者など、実際の場所のセキュリティは私の担当ではありません。

サンでは長期にわたり、適切な、標準的「アクセス制御」の方法を採用しています。サンのWANへのアクセスを許可されたユーザが従業員なのか、それとも、請負業者、コンサルタント、ベンダー、パートナー、社外の製造業者、再販業者などの、数多くのサン関係者の一員なのかを、明確に理解しています。サンでは、アイデンティティ管理、アクセス管理、役割管理などの、適切で伝統的なアクセス制御の方法を全て採用しています。

サンの企業文化は、完全にオープンであることです。企業というよりも大学に近いものです。それは、サンが、インターネットをベースにしたテクノロジーやソーシャル・ネットワーキングを積極的に使用し、サポートしているからです。これらのインターネットをベースとしたビジネスの多くにとっては、サンはITプロバイダです。したがって、そのようなビジネスの成長を促進させるだけでなく、サンの行動によってサポートするのです。

あいかわらず、最大の脅威は、多様な形態のマルウェアです。以前は、ウイルス、ワーム、ボットネットの作成は、個人が自宅で単独で行うものでした。現在は、世界中の特定の国々に大「企業」があり、組織的な犯罪グループによって非常に豊富な資金を持っているとされ、彼らのもたらす被害から巨額の利益が生まれています。侵入者が大量のクレジット・カード番号のリストを悪用し、そのヒット率が高ければ、感染ソフトを作るために費やした時間に対して大きなリターンを得たことになります。

ボットネットはネットワーク中を自由に行き来して、複数のコンピュータを感染させ、それらのコンピュータの処理能力をまとめて使って、厄介な動作を行います。そこで、私からのアドバイスです。ウイルス対策ソフトやスパイウェア対策ソフトは常に最新の状態にしてください。社内だけでなく、個人のシステムについても同様です。

アクセス権のあるユーザと、アクセス権のないユーザを把握する必要があります。それが最も重要です。2番目に重要なことは、効果的なメカニズムやプロセスで、適切な場所に制御を配置することです。ISO 27001やISO 27002のような企業のフレームワークや、その他の、セキュリティに関する優れた方策の規格に従うと良いでしょう。

その場合、一定レベルの自動化によって、制御をバックアップする必要があります。処理に必要な重要性やスピードを考えると、手作業では全く機能しないでしょう。アイデンティティ管理やアクセス制御のための製品が、アクセス制御サービスの管理に不可欠です。

リスクに対する自社の要件を決めて、それに見合ったセキュリティ・ポリシーを構築する必要があります。パートナーにおけるセキュリティ対策の厳しさが同じでない場合は、パートナーとしての評価を見直しても良いでしょう。パートナーが過大なリスクを負っている場合、自社にも影響があるからです。サンでは、保護の方法をパートナーと共有し、彼らにもその方法の採用を検討するように求めています。

契約によってビジネスを行う場合、サンでは、特定のガイドラインを満たすようにパートナーに求めています。2年前までは、このような要求は厳しいものであると考えられていました。しかし、今日では、それ以上の自覚があります。パートナーも、特定の企業とビジネスを行うにはコストが必要であることを理解しています。

パスワードの解読は、システムにアクセスするためによく使われる手段です。パスワードの設定が不十分な場合、数分でクラッキングされてしまうおそれがあります。アドバイスは次のとおりです。