インフォセック社長、コンサルティング視点からみた情報セキュリティ 2ページ目

●コーディングの重要性

　さらに廣中氏は「ユーザは、利便性が損なわれずに安全が提供されるのを常に望んでいる」と続ける。つまり、安全のために規制を行うのではなく、安全性を向上させることで利便性を維持しようという考え方だ。このための方策のひとつが、セキュアコーディングである。ソースコードの静的解析、外部モジュールやライブラリの脆弱性解析、攻撃や侵入テストなどを開発プロセスに組み込むことで、バッファオーバーフローやインジェクションのような、初歩的だが蔓延している問題による被害を軽減できる可能性が高い。

　また、これらのテストは開発主体ではない第三者が行うほうが望ましい。特に脆弱性の評価や侵入テストは、攻撃者の視点や専門家の目が必要となるからだ。同社では、ソフトウェアの品質テストや外部モジュールの脆弱性評価、コーディングルールのガイドライン提供、クラウドプラットフォームの安全性評価などを行っており、安全性と利便性を両立させようとしている。

●デバイスからデータ防衛にシフトするモバイルセキュリティ

　企業のITトレンドに私用モバイルデバイスの活用がある。これについて菅原氏は「コンサルティングにおいてもBYODに関する案件は着実に増えており、企業は2、3年前と比較して、より現実的に私用デバイスの業務利用を促そうとしています。BYODの導入に関しては、セキュリティに加えて利便性の確保が非常に強くに求められます」と説明してくれた。

　一般的にソリューションベンダがBYODを企業に提案する場合、ツールの機能ありきでMDM（デバイス保護）やデバイス認証の提案になりがちだ。しかし同社ではMDMだけでなくMAMやMCM（アプリケーションやデータの保護）などの機能も合わせた提案を行っている。特に、以前は端末にデータを残さないセキュリティソリューションが効果的だとされていたが、現在では利便性の確保を目的に、端末にデータを残しながら安全を確保するコンテナ型ソリューションの人気も高いという。このように、セキュリティと利便性のバランスを保ちながら導入企業の目的を効率的に達成できるのが、同社のテクノロジーコンサルティングの強みだ。