ルールによる運用は破たんする

セキュリティ・ホールをつぶす作業は膨大

　セキュリティ・ホールをふさぐ「品質保証テスト」は、言ってみれば「賽（さい）の河原の瓦積み」の様な作業。無限とも言える人間のPC上の動きを再現して、テストを行い、不良が出たら1からテストし直しです。さらに本来であれば、OSやほかのソフトのアップデートごとに品質保証テストを行う必要もあるでしょう。

　実際に行われる品質保証のテストは、あまたある動作の一部に限られるにも関わらず、多くの人手と長い期間を費やし行われる一大作業です。ところがこのような「限られた範囲のみのテスト」は、当然想定外の行動の際に不良として現れる可能性を秘めています。

　運よく何も出なければそれでよいのですが、業務を運任せにするのは企業として当然あってはならないことです。出荷先で不良を起こして再テストとなれば、技術者も対応しきれません。また頻ぱんに起こるアップデートに対し、人手によるテストを行うのは不可能です。

　残念ながらこの課題が、ユーザー企業側でも情報漏えい対策の自動化を阻む1つの懸念材料と考えられます。ユーザー企業からすれば、ようやく完成してベンダーから納品されたシステムが、稼働後まもなく動作不良を起こし、「テストにまた半年かかる」となれば実用に耐えません。このようなシステムに、会社の最大の資源である「情報」の門番を任せるのは不安、となるのは当然でしょう。

　この点についてハミングヘッズでは、「人間の手によってふさがれているセキュリティは、人間の手によって欠陥が見つかる」と考えています。

　ハミングヘッズの情報漏えい対策ソフト「セキュリティプラットフォーム」（Security Platform、以下SeP）の品質保証テストでも、開発初期はこの点に大変苦しめられました。現在ではこの悩みから解放され、SePの品質保証を1回わずか1日で完成させます。しかも1回のテスト項目は「200万項目」に届く勢いです。嘘のような話ですが、事実です。

日々進化するセキュリティ対策にいかに自動化が必要か

　ハミングヘッズの品質保証テストの種明かしをしますと、情報漏えい対策と同じ「自動化」の手法によるものです。現在は商品としてもリリースされている「インテリジェンスプラットフォーム」（Intelligence Platform、以下InP）という「GUI操作の自動化ツール」が出した成果です。

　ハミングヘッズでは600台のマシンでInPを常時稼働させ、SePの品質保証テストを毎日行っています。もちろん、最初に1回だけテスト項目を作る作業は必要ですが、再テストはまさに「スイッチ1つ」。テスト結果は「○×」でまとめて書き出されるので、人間は結果を確認するだけで済みます。

　人間は1日あたり12時間程度しか働けないうえ、週1～2日は休みが必要です。しかしPCなら24時間365日稼働し続けます。さらに、OSやそのほかのソフトウエアは日々変わり続けます。人手ではその都度の品質保証は不可能ですが、機械がテストを行うハミングヘッズでは、品質保証テストも「毎日」完了するため、ほかのソフトウエアの変化にその都度、対応することが可能となっています。

　技術者の方でしたら、このテスト項目と頻度の違いがクオリティーの違いに直結することは、ピンとくるでしょう。

　「あらゆる動作を想定した品質保証を自動化されたソフトを使って実施した、自動化されているセキュリティ・システム」を利用することで、人間の負担を激減させる。これはPCの本業とも言える「人間にはできない作業を肩代わりして、人間の仕事を楽にする」そのものであり、理想的な情報セキュリティの1つの形とは言えないでしょうか。

　次回は、世間的にも注目を集めている内部統制と操作ログの関係についてお話したいと思います。ログを正しい方法で取得・活用することで、情報漏えいのリスクを把握できるようになります。