Embed Size (px)
DESCRIPTION
■ITコンプライアンス[総点検]組織が事業を営むうえでの根本的原則として、あらためてコンプライアンス(倫理・法令の順守)の重要性が叫ばれるようになって久しい。2005年4月施行の個人情報保護法、2006年5月施行の新会社法、2008年4月施行(3月決算法人の場合)の金融商品取引法 (通称:日本版SOX法)など、国内で近年に制定された法の対象となる企業においてIT/IS部門の担う役割は大きく、多くの企業では、コンプライアンスの強化を前提としたITインフラの整備・再構築に取りかかっている状況だ。本特集では、「IT/IS部門にとってのコンプライアンス」という観点から、特に留意すべきポイントを挙げて、その“総点検”を行ってみたい。[特別企画]効率、生産性、そして“人間のポテンシャル”を高める■未来的テクノロジー・ベスト10 ──Computerworld Horizon Awards 2007Computerworld 米国版は先ごろの紙面で、「Computerworld Horizon Awards 2007」を発表した。今回で第3回目となる同アワードは、米国の研究機関やITベンダーのR&D(研究開発)部門などが、近い将来の実用化・製品化を目指して開発した最先端テクノロジーを読者に紹介すべく、2005年に創設されたものだ。本企画では2007年度の“受賞作品”を一挙に紹介する。最先端テクノロジーの開発者たちのコメントから、イノベーション創出の最前線、そして企業コンピューティングの明日を感じとっていただきたい。
Citation preview
February 2008 Computerworld 3
Features 特集&特別企画
2008年、日本版SOX法がスタート。Governance/Risk/Compliance体制は万全ですか?
ITコンプライアンス[総点検]
GRCの統合アプローチで、企業価値の向上を目指す「継続的なコンプライアンス」を確立せよ
浅利浩一
事例研究:上場企業におけるツールの選定理由と運用状況「予防」と「発見」の両面からコンプライアンスに取り組む
大川 泰
法律・規制の増加を見据え、長期的な視点でIT投資を考えるコンプライアンス・コスト──米国企業の現状に学ぶJohn Burke
コンプライアンスを脅かす脆弱性をあぶり出し、有効な防御策をとるエンタープライズ・データを守り抜くMatt Hines
注目の製品が備える機能・特徴をチェックProduct Review[コンプライアンス]Computerworld編集部
効率、生産性、そして“人間のポテンシャル”を高める
未来的テクノロジー・ベスト10Computerworld Horizon Awards 2007 Computerworld米国版
特集 42
44
52
56
62
67
71
Part1
Part2
Part3
Part4
特別企画
2発行・発売 (株)IDGジャパン 〒113-0033 東京都文京区本郷3-4-5TEL:03-5800-2661(販売推進部) © 株式会社 アイ・ディ・ジー・ジャパン
月刊[コンピュータワールド]
世界各国のComputerworldと提携
TM
February2008Vol.5No.51contents
2008年2月号
Part5
[ エンタープライズ・ムック]第2弾
定価1,580円 お求めは全国書店/ IDG Directサイト〈送料無料〉などで
[ エンタープライズ・ムック]第1弾
新世代ソフトウェア・モデルのすべて定価1,580円 お求めは全国書店/ IDG Directサイト〈送料無料〉などで
February 2008 Computerworld 5
EventReport イベント・リポート
HP SOFTWARE UNIVERSE 2007 Barcelona, Spainリポート
HP、BTO戦略を強化──IT運用管理の自動化で、顧客の“コスト”を“投資”に変える鈴木恭子
News&Topicsニュース&トピックス 10
TechnologyFocusテクノロジー・フォーカス
ディザスタ・リカバリの迷路を解くGary Anthes
RunningArticles連載
[不定期連載]IT業界の定説「嘘か真実か?」(第21回)
PLC(電力線通信)、企業では普及しない?三上 洋
Opinions紙のブログ
インターネット劇場佐々木俊尚
IT哲学江島健太郎
テクノロジー・ランダムウォーク栗原 潔
Informationインフォメーション
エンタープライズムック「ITマネジャーのための内部統制/日本版SOX法講座」のご案内
エンタープライズ・ムック「SaaS研究読本」のご案内
本誌読者コミュニティ&リサーチ のご案内
IT KEYWORD
バックナンバーのご案内
イベント・カレンダー
おすすめBOOKS
読者プレゼント
FROM READERS & EDITORS
次号予告/AD.INDEX
6
88
94
103
104
105
38
39
101
102
106
108
109
110
111
112
Storages
contents2
Chew-Mock
NEW
S HE
ADLI
NE
Computerworld February 200810
「SaaSには社会を変える可能性がある」──総務省もSaaS/ASPに大きな期待を寄せる総務省の秋本氏、SaaS World 2007の開幕講演で「企業の生産性向上にはSaaS/ASPが有効策」と強調
「ASPおよびSaaSは、最小の投資で生
産性を向上させられる可能性を秘めてい
る」――11月28日・29日の2日間、東京ミッ
ドタウンで開催されたSaaS/ASPのコン
ファレンス/展示会「SaaS World 2007」
の開幕記念講演において、総務省の情報
通信政策局で情報通信政策課長を務める
秋本芳徳氏はこのように語った。
秋本氏は、安価で高速、かつ安定した
ブロードバンド・インフラを持つ日本こそ、
世界で最もSaaS/ASPビジネスを展開し
やすい国であると主張する。
一方で同氏は、ICT(情報通信技術)産
業を取り巻く現状についても触れ、日本の
ICT投資に対するGDP(国内総生産)比率
が他国に比べて低いと指摘した。
すぐれたインフラを持ちながら、それが
生産性の向上に結び付かないのはなぜか
――秋本氏は、情報システムを部門ごとに
整備し、かつ、パッケージ・ソフトではなく、
カスタマイズを選択する傾向があるという
日本企業の特徴が、主要な原因の1つと分
析する。こうした手法では、部門単位での
最適化しか果たせず、全社レベルでの情
報活用が困難になる。
加えてサービス産業においては、企業内
通信網の整備などが行われても、十分に
活用されていないことから生産性向上に結
び付いていないのが現状だという。また、
中小企業には、投資余力や利用ノウハウ
が不十分なために情報システムの構築に
着手できないという問題がある。
こうした問題の解決に向けたカギとなる
のは、ブロードバンドやユビキタス・ネット
ワークを活用した共通の利用基盤の整備
であると秋本氏は語り、ここで強力な武器
となるのがSaaS/ASPであると強調した。
これまで企業ごとに多大なコストをかけて
構築していたような情報システムでも、
SaaS/ASP形態で共用できるようになれ
ば、各企業のコスト負担を抑えられる。また、
必要なリソースのほとんどはSaaS/ASP
提供者側が用意して管理するため、利用
企業側の人的負担も軽減される。
秋本氏は、先端技術に敏感なユーザー
には関心度が高いSaaS/ASPだが、最終
的にはICTに詳しい人材の少ない中小企
業や自治体、教育機関などにまで裾野を
広げることが、生産性向上のためには
不可欠であると指摘した。そして、そ
のような一般への普及を促進するため
の課題として、「認知度の向上」「安全
性・信頼性の確立」「利便性の向上」と
いう3点を挙げた。
行政側としても、SaaS/ASPの普
及促進に対して強い意欲を持ってい
る。例えば、総務省はSaaS/ASPの
普及促進・啓蒙活動を行う特定非営
●Red Hat、Linuxにリアルタイム機能を追加する新ソフトを発表(12/4)
●Sun、仮想化製品ライン「xVM」の第1弾となる管理ソフトを来年1月にリリース(12/4)
●Adobe、HD動画配信対応の「Flash Media Server 3」を発表(12/3)
●MI5、中国によるサイバー犯罪に警鐘(12/3)●シマンテックがグリーンIT戦略を説明──「ソフ
トウェア面で顧客の“グリーン化”を支援する」(12/4)⇒15ページ
●IT部門の3分の2が2009年までに仮想化技術を導入──Forresterが発表(11/30)⇒13ページ
●Microsoft、携帯SNSベンダーのWebFivesを買収(12/3)
●Google、700MHz周波数帯への競売参加を正式表明(11/30)
●Dell、3Q決算で増収を達成──ノートPCの販売増が貢献(11/29)
●Yahoo!とAdobe、広告付きPDF配信サービスの提供で協業(11/29)
●Intel、Mac用SDKをアップデートしLeopardに対応(11/28)
●IBM、BI / DWHのパフォーマンス向上を促す管理スイートを発表(11/28)
●「SaaSには社会を変える可能性がある」──総務省もSaaS/ASPに大きな期待を寄せる(11/28)⇒10ページ
●Google検索結果からマルウェア・サイトに誘導する手口が発覚(11/28)
●2007年3Qの世界携帯市場、MotorolaがSam sungに抜かれ3位に転落 ──Gartner調査
(11/27)●オランダ、南ア、韓国の政府機関がODFを採用
へ(11/27)●SAMCon、国際標準に適合したソフトウェア資
産管理基準の新版を発表(11/27)
EVEN
T REP
ORT
利活動法人のASPIC Japanと合同で
「ASP・SaaS普及促進協議会」を設立し、
11月27日には「安全・信頼性に係る情報開
示指針(第1版)」を公表している。同指針は、
来年1月を目処に第2版の公表が予定され
ており、さらに来春をには、この指針を満
たしたSaaS/ASP事業者を認定する
「ASP・SaaS安全・信頼性認定制度」を創
設する予定だ。
最後に秋本氏は、「これまでSaaS/ASP
事業者が提供するサービスを見てきて、こ
れは本当に社会を変えるかもしれないと実
感した。それはインターネットの商用利用
が始まったときと同様な手応えである。世
界一のブロードバンド環境を誇る日本は、
SaaS/ASP領域で世界に先駆ける可能性
を持っている。そのためには広く一般に普
及させることが課題だ」と力強く語り、講
演を締めくくった。(杉山貴章)
「日本こそ、SaaS/ASPビジネスの発展が期待できると語る総務省 情報通信政策局 情報通信政策課長の秋本芳徳氏
N o v e m b e r , 2 0 0 7
February 2008 Computerworld 11
「OHAへの共通理解があるから、技術的な細分化は生じない」GoogleのAndroid担当者、「Androidは独自アプリケーション/機能の乱立を助長する」という批判に反論
米国Googleの携帯電話向けアプリケー
ション開発プラットフォーム「Android」が話
題を呼んでいる。Androidのコア技術を開
発した米国Androidの元・共同設立者で、
現在、Googleで同プラットフォームの技術
担当を統括するリッチ・マイナー(Rich
Miner)氏は、「アプリケーション開発団体の
Open Handset Alliance(OHA)メンバーか
ら技術的な細分化を回避する合意を取り付
けている」と語る。同氏は懸念されている
Androidの技術的な細分化はOHA全加盟
企業の合意の下に生じないことを強調し、
Android/OHAを立ち上げた理由を説明した。
――市場ではAndoroidと似たモバイル向
けLinuxイニシアティブがすでに複数立ち上
げられている。Andoridはこれらと競合し、
状況を一層複雑にするのではないだろうか。
Miner氏:既存の(モバイル向け)Linuxの
取り組みを見ると、Linuxを基盤としながら
も、用意されたプラットフォームは完全に
オープンでないものが多い。あるいは、完
全にオープンかつLinuxベースであっても、
ビデオ・コーデック、MIDIシーケンサ、音
声認識といったものが欠けている。これに
対し、われわれは、携帯電話をリリースす
るために必要なすべての要素を組み入れる
ことを目指している。Androidは、市場競
争力のあるスマートフォン、あるいはハイエ
ンド機能を搭載した携帯電話を開発するた
めに必要な完全なスタックを提供する。
――Androidを採用する各社には、広い範
囲で改変できる自由が与えられている。だが、
これが結果的にデベロッパーがアプリケー
ションをすべての携帯電話に対応させるた
めに修正しなくてはならないという、本来の
目的と逆行する現象が起きるのではないだ
ろうか。
Miner氏:よい指摘だが、OHAメンバーは、
(OHAが規定する)非細分化の条項に合意
している。具体的には、Androidプラット
フォームの細分化を促したり、結果的に異
なるバージョンのプラットフォームを生み
出す行為はしないという基本合意だ。つま
り、われわれはこの問題をあらかじめOHA
機構に組み込み、メンバー全員から合意を
取り付けたうえでAndroidを進
めているのだ。すべてのOHAメ
ンバーは、OHAにおける最重要
課題の1つが「活力あふれるサー
ド・パーティ・デペロッパー・コ
ミュニティの創出」であることを
認識している。Androidプラッ
トフォームの一体性を乱せば、
サードパーティ・アプリケーショ
ンにも悪影響が出るとの認識で
も一致しており、だれもそのよう
●中国初「Windows Mobile」搭載の3G端末が来年登場へ(11/26)
●QuickTimeにまたも脆弱性、Vista/XPへの攻撃に悪用されるおそれ(11/25)
●2008年はWindows Vistaへの攻撃が本格化 ──McAfeeが予測(11/26)
●台湾、WiMAX対応の超小型PC「MTube」を開発(11/26)
●NEC、IT機器からデータセンター全体にわたる省電力化プロジェクト「REAL IT COOL PRO JECT」を発表(11/26)⇒12ページ
●国内IT企業のブランド力は日本IBMがトップ──
ITRが分析(11/26)●Broadcom、Qualcomm製チップの製造差し止
めを請求へ(11/23)●サンフランシスコ市、電子投票装置の認証を巡り
機器ベンダーを提訴(11/26)●「グリーンITの推進は京都議定書の目標達成に不
可欠」総務省の藤本氏が強調(11/22)⇒15ページ●NECが 仮 想 化 環 境 の 管 理ソフトを発 表、
VMwareとXenを一元管理可能に(11/21)●Amazon、携帯型の電子ブック・リーダ「Kindle」
を発表──書籍のダウンロード販売も開始(11/19)⇒16ページ
●SMB向けERP市場は今後も順調に成長──ノークリサーチが予測(11/20)⇒14ページ
●限界に近づくインターネット回線のキャパシティ、2010年にはパンク状態に──調査会社Nemer tesが予測(11/19)⇒17ページ
●ソフトウェア・ライセンス価格の下落が顕著に──Gartnerが報告⇒16ページ
●「Visual Studio 2008」がRTMに移行、MSDNでのダウンロード提供も開始(11/19)
●Oracle、仮想化市場への参入を表明、Xenベースのサーバ仮想化ソフト「Oracle VM」を発表
(11/12)⇒13ページ
INTE
RVIEW
なことは望んでいない。
――Googleはかねてより、デベロッパー、
携帯電話機メーカー、移動体通信キャリア
に対して、携帯電話関連コンポーネントの採
用と応用について多くの柔軟性を持たせる
と主張してきた。ならば、OS部分を取り替
えて、異なるLinuxベースのOSを採用する
ことも可能なのか。
Miner氏:Androidのリリース時には、
Linuxの特定リリースをサポートすることに
なるわけだが、Androidプラットフォームと
デバイス・ドライバの基底にLinuxが置かれ
ているかぎり問題はないはずだ。Androidは、
Linux以外にSymbianなどの異なるOS上
で機能する類のアプリケーション・セットで
はない。あくまでLinuxを基盤としている。
(IDG News Service)
OHAのWebサイトからはAndroidの詳細情報が入手できる(http://www.openhandsetalliance.com/)
Computerworld February 200812
NEC、IT機器からデータセンター全体にわたる省電力化プロジェクト「REAL IT COOL PROJECT」を発表2012年までに顧客のIT環境の消費電力を最大50%削減、IT機器のCO2排出量は91万トン削減を目指す
NECは今年11月26日、IT機器からデー
タセンター全体にわたって省電力化を推進
する新プロジェクト「REAL IT COOL
PROJECT」を発表した。同プロジェクト
により、2012年までに顧客のIT環境の消
費電力を最大50%削減し、併せてIT機器
のCO2排出量を約91万トン削減すること
を目指す。
同プロジェクトは、「省電力プラット
フォーム」「省電力制御ソフトウェア」「省電
力ファシリティ・サービス」の3本柱で構成
されている。
省電力プラットフォームでは、IT機器に
おける省電力化の実現を目指す。それを具
現化するものとして、新たな省電力サーバ
「ECO CENTER」(開発コード名)を2007
年度末に製品化する。
ECO CENTERは、500コアを1ラック
に集約可能で、デュアルコアCPUを搭載
したラック型サーバによる構成と比較する
と、フロア・スペースは75%、コア当たり
の消費電力は60%削減可能という。
省電力制御ソフトウェアでは、IT機器が
実装した省電力技術を効果的に制御する
ために、「電力使用量制御」などに関するソ
ネットスイート、統合型SaaS上でカスタマイズした機能を共有可能とする「SuiteBundler」の国内提供を開始国際化機能を強化した新たなSaaS型CRM「NetSuite Global CRM」も同時発表
ネットスイートは11月27日、国際化機能
に対応したSaaS型CRMアプリケーション
「NetSuite Global CRM」およびカスタマイ
ズ機能共有ツール「SuiteBundler」の国内
提供を開始した。
米国NetSuiteは、1998年に創業した
SaaS専業ベンダー。同社のSaaSは、
CRMに加え、ERPやeコマースも含んだス
イートとして提供される点に特徴がある。
また、これらのアプリケーションのカスタマ
イズのために、「SuiteFlex」という開発プラッ
トフォームも提供している。
説明会に際し、NetSuiteのワールドワイ
ド・セールス&ディストリビューション担当
のプレジデント、Dean Mansfield氏は、
かつて機能ごとに導入された企業アプリ
ケーションの統合が進んだ今日を見れば、
スイートの優位性は自明とし、「同様なこと
をSaaSで行おうとしているのが当社である」
と、統合型SaaSの意義を強調した。
NetSuite Global CRMは、従 来 の
「NetSuite CRM」および「NetSuite CRM+」
をベースに開発されたCRMアプリケーショ
ン。各国の通貨に対応した通貨管理やグ
ローバル税金対応、多言語対応といった点
が強化されており、Mansfield氏は「多国籍
企業のニーズにこたえる」とそのねらいを
語った。価格は、月額基本料金が18万円、
1ユーザー当たり月額1万5,000円。
一方、SuiteBundlerは、NetSuite上で
開発された各種カスタマイズ機能を他の
NetSuiteに移植できるようにするツールで、
SuiteFlexの1コンポーネントとして提供さ
れる。カスタマイズした機能を共有可能に
設定できるほか、NetSuiteユーザーに対し
て広く公開するという設定も可能になって
いる。SIerなどの同社パートナー企業が、
ある案件で使ったカスタマイズ機能を別の
案件で再利用したり、特定業界向けにカス
タマイズしたNetSuiteを販売したりといっ
た用途を想定している。 (Computerworld)
PROD
UCTS
NEW
S
NECの執行役員常務、丸山好一氏
フトウェア開発を行う。
省電力ファシリティ・サービスでは、デー
タセンターのフロア設計/アセスメントを
通して省電力化を推進していく。ここでの
省電力化としてNECは、データセンター
内の空気の動きや熱分布を把握すること
で省電力化を図る「熱シミュレーション・
サービス」を、2008年1月に提供開始する
と発表した。
NECの執行役員常務、丸山好一氏は、
発表した省電力化プロジェクトについて、
「競合が発表してきた省電力化プロジェク
トはコンセプトが中心。しかし、当社のプ
ロジェクトは具体的な製品、サービスまで
含めている分、一歩進んだプロジェクトと
言える」と、他社との違いを強調した。
(Computerworld)
米国NetSuite ワールドワイド・セールス&ディストリビューション プレジデント Dean Mansfield氏と、ネットスイート 代表取締役 松島努氏
N o v e m b e r , 2 0 0 7
February 2008 Computerworld 13
Oracle、仮想化市場への参入を表明Xenベースのサーバ仮想化ソフト「Oracle VM」を発表Unbreakable Linux戦略と同様に、低価格サポートでユーザー獲得をねらう
米国Oracleは11月12日、サンフランシ
スコで開催された年次ユーザー・コンファ
レンス「Oracle OpenWorld 2007」にお
いて、オープンソースのXenをベースとし
たハイパーバイザ型サーバ仮想化ソフト
ウェア「Oracle VM」を発表した。
Oracle VMは、物理サーバ上での仮想
マシンの割り当てや仮想化環境の管理を
行うことができる。また、プログラムの実
行中にサーバ間でアプリケーションを移動
させることも可能になっている。
ゲストOSとしては、LinuxとWindows
が稼働し、ハードウェアはx86および
x86-64ベースのサーバに対応している。
Oracleによると、Oracle VMは競合の仮
想化ソフトよりも低コストで仮想化環境を
構築できるという。
サーバ仮想化市場では現在、米国VM
Wareがマーケットを席巻しているが、
Oracleの発表を受けて、12日のVMWare
株価は8.41%(7ドル38セント)下落し、
80ドル36セントで取り引きを終えた。そ
の後の時間外取り引きでは、さらに77ド
ル50セントまで値を下げている。
Oracle VMは、同社Webサイトから無
料でダウンロード提供される予定だ。アッ
プグレードも含めた技術サポートは、
2CPUまでのサーバではシステム当たり年
間499ドル、CPU数無制限の場合はシス
テム当たり年間999ドルで提供される。
低料金でのサポート提供は、Oracleが
昨年、米国Red Hatよりも低価格にRed
Hat Enterprise Linuxのサポートを開始
すると発表したのと同様の戦略だ。
IT部門の3分の2が2009年までに仮想化技術を導入──Forresterが発表
「仮想化ベースの戦略的なITインフラ構想に移行する動きも広がる」
米国Forrester Researchが11月30日
にリリースした調査リポートによると、企業
IT部門の37%がすでにx86サーバ仮想化
技術を導入しているという。また、13%が
2008年7月までに仮想化技術を導入する
計画であると答え、15%が2009年までに
導入したいと答えている。
これらの調査は、社内サーバに関する意
思決定責任者275人を対象に実施された。
同リポートでは、今後ベンダー各社が仮
想化製品のアップデートに忙殺されるとの
見通しを示している。多くの企業がすでに
仮想化製品を導入しており、今後さらに利
用を拡大する可能性が高いからだ。
また、多くの企業で仮想化技術の利用
実績が2〜3年程度となっており、今後は
実験的なアプローチという段階を脱して、
戦略的なITインフラストラクチャ構想に移
行する動きも広がるとしている。その際に
は、サーバ、ストレージ、ネットワーク、シ
ステム管理などにおける仮想化機能のアッ
プグレードが行われるようだ。
このリポートの執筆責任者フランク・ジ
レット(Frank Gillett)氏は今回の調査結果
について、「仮想化というアイ
デアのパワーと人気が非常
に高いことを裏付けるととも
に、利用拡大の方向に確実
に動いていることを示すもの
だ」と語っている。
しかしその一方で、グリッ
ド・コンピューティングなど
の重要性の高いアプリケー
ションやプラットフォームで
PROD
UCTS
RESE
ARCH
は仮想化が使われていないことも同調査か
ら判明している。仮想化技術の利用は、パ
フォーマンスがあまり問題にならないような
分野に限定されており、企業全体に幅広く
導入されるような状況にはまだなっていな
いと同リポートは結論付けている。
(Network World 米国版)
0
50
2007年11月 2008年7月 2009年
100(%)
37%
50%
13%
65%
15%IT部門
仮想化技術を導入するIT部門の割合の推移
*資料:Forrester
Oracle OpenWorld 2007開催初日に登場した米国OracleのCEO、Larry Ellison氏
一方、Oracleの発表を受けて、VM
Wareは次のようにコメントし、余裕を見
せた。「当社はOracleをライバルというより、
パートナーと考えている。今後、Oracle
がさらに仮想化技術の可能性を広げてく
れるものと期待している」
(Network World米国版)
Computerworld February 200814
アイ・ティ・アール(ITR)は11月26日、「国
内ITブランド調査報告書 2007」の結果を
発表した。同調査は、国内企業の情報シ
ステム導入の意思決定に関与する情報シ
ステム部門および経営企画部門の管理者
を対象に実施された。
同調査は、ITRと月刊CIO Magazine
が共同で2007年5月から7月にかけて実
施したもの。CIO MagazineおよびCIOメー
ルの読者のうち、国内企業の情報システ
ム導入の意思決定に関与する情報システ
ム部門および経営企画部門の部門長以上
を対象に2万5,000人に調査票を送付し
た結果、324件の有効回答を得た。
ITベンダーが提供する「サービス」「技術」
「価格」の「現在」と「将来」という計6つの項
目の評価ポイントを合計した総合評価ラン
キングでは、日本IBMが 6,715ポイントで
1位となった。続いて富士通が第2位、第
3位はNEC、第4位は日立製作所となった。
ITRが2002年に実施した同様の調査結果
と比較すると上位4位までが同一となり、
古くからメインフレーマーとして業界をリー
ドしてきた総合ベンダーのブランド力の高
さがあらためて顕著となった。
一方、5位には日本ヒューレット・パッ
カード、そして8位にはデルが新たにトッ
プ10入りを果たした。ここから、ユーザー
の求める製品やサービスを的確に市場に
投入し、訴求していくことで、ブランドに
対する評価に変化が生じている部分も明
らかとなったとITRでは分析している。また、
6位はマイクロソフト、7位はNTTデータ、
9位はオラクル、10位は野村総合研究所と、
2002年の調査でもトップ10内に位置した
ベンダーが上位を占めた。
(Computerworld)
国内IT企業のブランド力は日本IBMがトップ──ITRが分析メインフレーム時代からの“強さ”をあらためて見せつける結果に
SMB向けERP市場は今後も順調に成長──ノークリサーチが予測2010年度には1,044億円に達し、ERP市場全体の7割を超える見込み
ノークリサーチは11月20日、2006年
度の中堅・中小企業向けERP市場の実態
調査を発表した。同調査によれば、2006
年度の中堅・中小企業向けERP市場は前
年比107.8%の722億円に成長し、今後
も成長が見込まれ、2007年度の予測は
前年比108.7%で785億円となり、 2010
年度には1,044億円に達するとの予測が
示されている。
中堅・中小企業向けERP市場のベン
ダー・シェアでは、4年連続で富士通の
「GLOVIA smart」が16.2%とトップとなり、
大塚商会の「Smile αAD」が13.3%、オー
ビックの「OBIC7ex」が8.5%でそれに続く。
同調査によれば、大幅にシェアを伸ばした
ベンダーはないが、市場の細分化が進行
しており、各ベンダーが得意とするカテゴ
リにおいてユーザーをどれだけ獲得できた
かがシェアに大きく影響する結果となった
という。
ユーザー企業の年商別にERPパッケー
ジ・ライセンスの売上高を見ると、年商
300億〜500億円の中堅企業は約155億
円、年商100億〜300億の中堅企業は約
197億円、年商50億〜100億円の中堅企
業は約171億円、年商50億未満の中小企
業は約198億円となっている。なかでも年
商100億〜300億および年商50億〜100
億円の2つのクラスにおいて、3年間で約
50%増と飛躍的に成長しているが、ほか
のクラスも順調に伸びており、中堅・中小
企業全体でERPの導入が進んでいると見
られる。 (Computerworld)
RESE
ARCH
RESE
ARCH
総合順位 ベンダー 総合ポイント
1位 日本 IBM 6,715
2位 富士通 4,695
3位 NEC 3,502
4位 日立製作所 2,832
5位 HP 2,760
6位 マイクロソフト 2,450
7位 NTTデータ 1,855
8位 デル 1,840
9位 オラクル 1,770
10位 野村総合研究所 1,635
2007年 ITベンダー総合評価ランキング
*資料:ITR「国内ITブランド調査報告書 2007」
中堅・中小企業向けERP市場の規模の推移(パッケージ・ライセンス売上げ)
0
20,000
40,000
60,000
80,000
100,000
120,000単位:百万円
2003年度 2004年度 2005年度 2006年度 2007年度(見込み)
2008年度(予測)
2009年度(予測)
2010年度(予測)
51,53259,122
67,024 72,24978,510
86,36194,997
104,497
114.7%113.4% 107.8%
108.7%
*資料:ノークリサーチ
N o v e m b e r , 2 0 0 7
February 2008 Computerworld 15
EVEN
T REP
ORT
NEW
S
「グリーンITの推進は京都議定書の
CO2削減目標を達成するのに不可欠だ」。
IDC Japanが11月22日に開催した「Japan
Green IT Forum 2007」の基調講演にお
いて、総務省で情報通信政策局情報流通
高度化推進室長を務める藤本昌彦氏が、
国をあげてグリーンITを推進していくこと
の重要性を強調した。
同コンファレンスで藤本氏は、“日本のグ
リーンIT戦略”について語った。政府のIT
戦略本部は、2006年1月に「IT新改革戦略」
を発表し、その中で“ITを駆使した環境配
慮型社会”の構築を重点項目の1つとして
掲げている。
藤本氏は、2007年度におけるその具体
的な取り組みとして、電子マニフェスト/
テレワークの推進、IT機器のエネルギー使
用量の抑制、ITSの活用による交通量の
緩和を紹介。そのうえで、「テレワークの労
働者人口を2010年には全体の2割に引き
上げる」(同氏)ことが、環境面に加えて将
来的に豊かなライフ・バランスを構築する
うえで大切だと訴えた。
また藤本氏は、「ユビキタスネット社会」
を実現することが総務省の役割だと主張し
た。藤本氏によれば、RFIDによる物流シ
ステム、VICSを活用した道路交通情報の
配信など、さまざまなものをネットワーク
化し、高度なサービスを作り上げることで、
最終的に人が意識しないところで省エネ化
が進むことを目指したのが、ユビキタスネッ
ト社会であるという。
ユビキタスネット社会により、2010年
には2,650万トンのCO2を削減できると、
藤本氏は語る。2010年においてもサーバ
やPCといったIT機器は増大し続けるが、
その分ユビキタスネット社会により実現さ
れる、テレワーク人口の増加、産業構造の
変化などによるCO2削減効果のほうが、
CO2の増加量を大きく上回るという。
(Computerworld)
「グリーンITの推進は京都議定書の目標達成に不可欠」──総務省の藤本氏が強調ユビキタスネット社会を実現し、2010年には2,650万トンのCO2削減を目指す
総務省の情報通信政策局情報流通高度化推進室長、藤本昌彦氏
シマンテックは今年12月4日、記者説明
会を開催し、グリーンITに対する同社のス
タンスを説明した。シマンテックは、サーバ、
ストレージ、デスクトップの3分野について、
ソフトウェア面から顧客の“グリーン化”を
支援していく方針である。
サーバについては、顧客の仮想化技術
の活用を全面的にバックアップしていく考
シマンテックがグリーンIT戦略を説明──「ソフトウェア面で顧客の“グリーン化”を支援する」サーバ、ストレージ、デスクトップの3分野でグリーンITのための製品を展開
えだ。グリーンITでは仮想化によるサーバ
統合は不可欠な要素である。同社は、サー
バ仮想化による管理面の複雑さや信頼性
などに対する顧客の懸念を払拭するため
に、仮想サーバと物理サーバの統合管理
ソフトなどの提供を推進していく。
ストレージについては、一般的に全容量
の30%程度しか使用できていないというス
トレージにおける問題点を指摘し、ストレー
ジ階層化の必要性を強調した。同社では
ストレージを3階層に分けた運用を推奨し
ている。第1階層ではパフォーマンス指向、
第2階層では容量指向、第3階層では電力
指向の各ストレージを用意する。これらを
統合管理し、効率的なストレージ運用を実
現すると、第3階層で運用されるストレー
ジの消費電力は、第1階層のストレージに
対して64分の1にまで低減が可能という。
3つ目のデスクトップ分野では、PCをス
ケジューリング・シャットダウンできる
Altiris製品や、PCモニタの電力抑制用ツー
ルキットの提供などを行っている。
説明会では、来日した米国Symantec
のグローバルソリューションズ担当バイス
プレジデント、ホセ・イグレシアス(Jose
Iglesias)氏が、グリーンITへの意識が米
国で高まっている例として以下のような事
例を紹介した。
「Yahoo!、Googleは巨大なデータセン
ターをサンフランシスコに保有していたが、
現在はワシントンに移転している。なぜな
ら、ワシントンには水力発電が多くあり、
電力コストが安いからだ」(Iglesias氏)
(Computerworld)米国Symantecのグローバルソリューションズ担当バイスプレジデント、Jose Iglesias氏
Computerworld February 200816
PROD
UCTS
米国Gartnerは11月、ソフトウェア・ラ
イセンス体系とソフトウェア市場に大きな
影響を及ぼす広範な変化が業界内で起こ
りつつあるとの見方を示した。
Gartnerのアナリスト、ウィリアム・スナ
イダー(William Snyder)氏によると、独
立系ソフトウェア・ベンダー(ISV)が「強い
交渉力を持つ上顧客」と契約更新を進める
際、大幅な値引きを提示するケースが顕
著になってきているという。
Gartnerは報告書の中で最近のトレンド
に言及し、「新たな競争に直面したベンダー
が、さらなるコスト・プレッシャーを背景に、
従来の価格を維持する、あるいは引き下
げることを強いられている」と指摘。ビジネ
ス・プロセス・アウトソーシング(BPO)の利
用は、2011年までに倍増し、BPOプロバ
イダーの多くが大手ベンダーの既存の
ERPアプリケーションを使用しなくなると
予測している。
同社は報告書で、こうした傾向が進む
につれ、ソフトウェア・ベンダーの全般的
な市場機会は減少すると述べている。また、
その一方で大規模なBPOプロバイダーは
市場で優位性を確保しつつあり、ベンダー
に対してこれまで以上に強気に出ることが
可能になってきているという。
さらにGartnerは、業務用ソフトウェア・
ベンダーがより競争力のある価格モデルを
打ち出し、契約期間にも柔軟性を持たせる
ようになった主な要因として、「SaaS
(Software as a Service)の使用率の上
昇が考えられる」との見解を示している。
同報告書によれば、最近、特にサービス
分野での躍進が目立つオープンソース・ソ
フトウェア(OSS)の存在もベンダー間の競
争に拍車をかけており、ソフトウェア・ベン
ダーの「減益」につながっているという。
Gartnerでは、サーバやOS、開発ツール、
データベース技術などの分野において、
OSSが大きな注目を集めると予測している。
また、価格に敏感な中国をはじめとする
アジア諸国での足場を確保するため、企
業は競って同地域における値下げを断行
し、そうした動きが世界のソフトウェア市
場にも波及していく可能性がある。とはい
え、ベンダーはこれから先、「1つの技術と
1つのアーキテクチャ、長期間にわたる1つ
の契約価格体系の枠に顧客を閉じこめよ
う」と躍起になる危険もあると、Snyder氏
は警告している。 (InfoWorld米国版)
ソフトウェア・ライセンス価格の下落が顕著に──Gartnerが報告ビジネス・プロセス・アウトソーシングの利用は2011年までに倍増と予測
RESE
ARCH
Amazon、携帯型の電子ブック・リーダ「Kindle」を発表──書籍のダウンロード販売も開始 リーダは399ドル、書籍は通信費込みで9ドル99セント
米国Amazon.comは11月19日、書籍
や雑誌、新聞などを無線でダウンロードで
きる携帯型の電子ブック・リーダ「Kindle」
を発表、販売を開始した。Kindleの大き
さはペーパーバック判とほぼ同じで、重さ
は10.3オンス(292g)。価格は399ドルと
なっている。
Amazonによると、Kindleのディスプレ
イは本物の紙と同じように見えるよう設計
されており、直射日光の下でも文字がくっ
きり表示されるという。
電子書籍のダウンロード・サイト「Kindle
Store」では、現時点で9万冊以上の本が
販 売されており、最 新の「New York
Times Bes t Selle rs and New Re
leases」に入っている112冊のうちの101
冊も含まれる。本の値段は特に表示のな
いかぎり1冊9ドル99セントとなっている。
Amazonの創設者でCEOのジェフ・ベ
ソス(Jeff Bezos)氏は11月19日、発表声
明の中で、同社が3年前から電子ブック・
リーダの開発に取り組んできたことを明ら
かにした。
Kindleは、EVDO(Evolution Data
Only)無線ネットワークである「Amazon
Whispernet」を使って本をダウンロードす
る。このため、Wi-Fiホットスポットを探し
たり、コンピュータとKindleを同調させた
りする必要はない。書籍データのダウン
ロードは通 常1分 以内に完了すると、
Bezos氏は説明した。なお、Kindleで購
読できる雑誌や新聞には、New York
T i m e s、W a l l S t r e e t J o u r n a l、
Washington Post、Atlantic Monthly、
Time、Fortuneなどが 含まれている。
Kindle Storeには、Le Monde、Frank
furter Allgemine、Irish Timesなど欧州
の有力な新聞もそろっている。新聞の購読
料は月額5ドル99セント〜14ドル99セン
ト、雑誌は1ドル25セント〜3ドル49セン
トとなっている。
(Computerworld米国版)
電子ブック・リーダ「Kindle」
N o v e m b e r , 2 0 0 7
February 2008 Computerworld 17
ニューシステムテクノロジー(以下、
NST)は11月19日、データベース・セキュ
リティ・ソフトウェア「Chakra」の提供を主
軸に企業の内部統制強化を支援していく
という事業戦略を明らかにした。
Chakraは、韓国WareValleyが開発し
たデータベース専用のセキュリティ・ソフト
ウェア。日本ではNSTが2004年9月に国
内での独占販売権を取得し、ローカライ
ゼーション済みの製品を販売している。
同製品の特徴は、データベース・サーバ
をリアルタイムに監視して不正なアクセス
を検知・検知遮断すると同時に、その操作
を100%記録できることにある。NST代表
取締役社長の野田信昭氏は、「Chakraは、
データベース・サーバおよびネットワーク
に一切影響を与えず導入できる。また、監
視対象のデータベースの設定を変更する
必要もない」と強調する。
業務プロセスのログを管理し、問題が
発生したときに追跡できる仕組みを構築す
ることは、内部統制の“キモ”とも言える。
野田氏は、「以前は、社内の個人情報を保
護する目的でChakraを導入し、データベー
ス・アクセスを監視するユーザーが多かっ
た。だが最近は、日本版SOX法への対応
の一環として、監査証跡を保持する目的で
Chakra導入を検討するユーザーが増えて
いる」と説明する。
NSTは、Chakraとビジネス・インテリジェ
ンス(BI)ツールを組み合わせたソリュー
ション「Chakra BI Solution Pack」や、
C h a k r aのS a a S(S o f t w a r e a s a
Service)型オンデマンド・サービス「Chakra
iDC」を提供するなど、顧客のニーズに沿っ
たソリューションの開発にも力を入れてい
る。同社は今後、約4,000社の上場企業と、
その子会社・関連会社を含む約1万社を
ターゲットにデータベース・アクセス監視
の重要性を訴えながら、積極的にChakra
の販売を促進していく方針だ。
(Computerworld)
「データベース・アクセス監視は、内部統制の基本」──NST社長の野田氏が「Chakra」の有効性をアピールリアルタイムの監視・操作記録によりデータベースのセキュリティ強化をサポート
PROD
UCTS
ニューシステムテクノロジー代表取締役社長、野田信昭氏
独立系調査 会 社の米国Nemertes
Research Groupは11月19日、バックボー
ン・プロバイダーが数十億ドル規模の投資
を行い、インフラを強化しなければ、動画
をはじめとする大量のWebコンテンツによ
り、2010年にはインターネット回線がパ
ンクするとの調査結果を発表した。
Nemertesでは、増設にかかる費用は
全世界で最高1,370億ドルに上り、サー
ビス・プロバイダーが現状で予定している
投資額の2倍以上になると見積もっている。
「今回の調査では、ネット上のアプリケー
ション革命のペースに初めてムーアの法則
を適用した。その結果、コア・ファイバと
スイッチング/ルーティング・リソースにつ
いては、増大していくユーザー・ニーズに
対応していけるが、北米のインターネット・
アクセス基盤については、現状のままでは
今後3〜5年以内にニーズを十分に満たせ
なくなるだろう」と同調査は報告している。
米国のブロードバンド普及促進団体、
Internet Innovation Alliance(IIA)の共
同会長であるブルース・メールマン(Bruce
Mehlman)氏によれば、この調査結果は
同団体が以前より指摘してきた懸念を裏
づけるものだという。
IIAはかねてから、動画をはじめとする
Webコンテンツの「エクサフラッド(エクサ
バイト単位のデータ洪水)」により、インター
ネット回線がパンクする可能性を警告して
きた。Nemertesの調査結果はIIAの懸念
を「第三者的立場から実証する信頼性の高
いデータ」だと、Mehlman氏は評価する。
キャパシティ不足が深刻化する理由は、ス
トリーミング/インタラクティブ・ビデオ、
P2Pのファイル転送、そして楽曲ダウン
ロードといったWebアプリケーションへの
需要が急増するためだ。
一方、米国の調査会社comScoreによ
ると、米国のインターネット・ユーザーの4
分の3近くが今年5月にビデオを平均158
分視聴し、83億本以上のストリーミング・
ビデオを再生したという。インターネット・
ユーザーが今年新規に作成するデータ量
は161エクサバイト(EB)に達する見込みだ
が、こうしたエクサフラッドはインターネッ
ト・ユーザーと企業にとってはむしろ好まし
い進展だと、IIAは歓迎する。ちなみにEB
は1,000の6乗バイト、約11億GBであり、
1EBでDVDビデオ50万年分に相当する。
(IDG News Serviceワシントン支局)
限界に近づくインターネット回線のキャパシティ、2010年にはパンク状態に──調査会社Nemertesが予測パンク回避への投資額はグローバルで1,370億ドルとの試算
RESE
ARCH
2008年、日本版SOX法がスタート。Governance/Risk/Compliance体制は万全ですか?
組織が事業を営むうえでの根本的原則として、あらためてコンプライアンス(倫理・法令の順守)の重要性が叫ばれるようになって久しい。2005年4月施行の個人情報保護法、2006年5月施行の新会社法、2008年4月施行(3月決算法人の場合)の金融商品取引法(通称:日本版SOX法)など、国内で近年に制定された法の対象となる企業においてIT/IS部門の担う役割は大きく、多くの企業では、コンプライアンスの強化を前提としたITインフラの整備・再構築に取りかかっている状況だ。本特集では、「IT/IS部門にとってのコンプライアンス」という観点から、特に留意すべきポイントを挙げて、その“総点検”を行ってみたい。
ITコンプライ特集
Computerworld February 200842
[総点検]
ITコンプライ
February 2008 Computerworld 43
アンス
傾向が見受けられる。
一方、中堅・中小企業では、予算上の制約もあっ
て基本的に自社従業員での対応が中心となり、外部
サービスへの依存度が低いのが特徴だ。そのため、
みずからの手で地道に内部統制に必要な文書化作業
を進めるなど、むしろ大企業よりも、地に足がついた
活動ができているところが多いようだ。
内部統制に限らないが、文書化のような作業は、
他人任せの姿勢では、結局のところ意味をなさなく
なってしまう。内部統制構築後の運用フェーズを考え
ると、作成された文書を読んで理解できるというだけ
ではなく、その後の更新も自身で行えるようにしてお
く必要があるからだ。そして、「どこに手を入れるべき
か/どのように変更点を反映させるのが妥当か」と
いった判断が求められる文書の更新は、むしろ作成
より難易度の高い作業となり、担当者のスキルが問わ
れることになる。
現在、日本版SOX法の適用対象となる企業の多く
は、2008年3月を最初のゴールに設定して作業を進
めていることだろう。ただし、同法への対応をはじめ
とするコンプライアンスは、ある時点で終着するので
はなく、継続的な活動が求められるものである。適用
開始を目前にしながらも、このことは、あらためて認
識しておく必要がある。
主体性に欠ける大企業──J-SOX対応の状況
コンプライアンスというテーマを考える際に、2年ほ
ど前より、日本の上場企業にとって最大の関心事と
なってきたのが、いわゆる日本版SOX法(金融商品取
引法)への対応、そして同法への対応の基盤となる内
部統制であろう。これらが話題になり始めた当初、筆
者が所属するアイ・ティ・アール(ITR)には、顧客企
業などから、「どの程度まで対応すべきなのか」「他社
ではどのように取り組んでいるのか」「どのようなツー
ルを使うべきか」といった問い合わせを数多く受けた。
金融商品取引法が2007年9月に法制化され、適用開
始が迫ってきてからは、そうした問い合わせも沈静化
しており、企業における内部統制/日本版SOX法対
応は、表面的には一段落したかのように見える。
しかし、実態としては、「対応するための負担が大
きく、終わりが見えない」「対象範囲がさらに拡大しつ
つある」といった声を、当初に想定したよりも多く耳に
する。内部統制/日本版SOX法対応を“負担”ととら
える担当者の取り組みの姿勢は受動的であり、最低
限の対応にならざるをえず、外部のサービスに依存す
る割合が高くなる。特に、連結子会社など対象範囲
が広く、作業量の多い大企業において、そういった
1Part
Computerworld February 200844
│Part 1
│「継続的なコンプライアンス」を確立せよ
GRCの統合アプローチで、企業価値の向上を目指す
日本版SOX法(金融商品取引法)が、いよいよ2008年4月1日以後に始まる事業年度から適用開始される。今後、企業におけるコンプライアンス(倫理・法令の順守)活動は、同法への対応を機に構築した内部統制基盤に対して、運用の維持および継続的な改善を図っていくフェーズに入ることになる。その際、経営層、ビジネス・マネジャー、そして自社のITインフラを担うIT部門は、どのようなスタンスで臨めばよいのか。本パートでは、GRC(Governance/Risk/Compliance)のアプローチから継続的なコンプライアンスを確立し、企業価値の向上につなげていくための方法論について考察してみたい。
浅利浩一アイ・ティ・アール シニア・アナリスト
「継続的なコンプライアンス」 を確立せよ
February 2008 Computerworld 45
複雑化・多様化する法規制と求められるGRCのアプローチ
まずは今、最も関心の高いコンプライアンスとして、
内部統制/日本版SOX法への対応状況について述
べたが、近年、企業を取り巻く法規制は複雑化・多
様化しており、大別すると以下の4群になる。
■企業全般コンプライアンス
不正競争防止法、労働基準法、男女雇用機会均
等法、京都議定書、ISO14000(環境ISO)、特許法、
確定拠出年金(日本版401k)、自由貿易協定(FTA)、
WTO(世界貿易機関)協定)など
■会計コンプライアンス
SOX法、金融商品取引法(旧・証券取引法)、会社
法(旧・商法など)、外国為替および外国貿易法、国
際財務報告基準(IFRS)、インサイダー取引規制など
■セキュリティ系コンプライアンス
ISMS(情報セキュリティ・マネジメント・システム)、
個人情報保護法、プライバシーマーク制度、ISO/
IEC15408(情報技術セキュリティ評価基準)、情報
セキュリティ管理基準など
■産業別コンプライアンス
Basel II(新BIS規制)、薬事法、HACCP(危害分
析重要管理点)、建築基準法、PL(製造物責任)法、
REACH(化学物質の登録、評価、認可および制限
に関する規則)、ワッセナー協約(通常兵器および関
連汎用品・技術の輸出管理に関する協約)など
今日の企業は、上に示したような、自社/自業界を
取り巻くあらゆる法規制を、全社的なガバナンス(統治)
およびリスク・マネジメント体制の中で位置づけ、推進
していく必要がある。その対象領域は拡大傾向にあり、
一般に「GRC(Governance/Risk/Compliance)」と呼
ばれる、統合的・包括的な取り組みが求められるよう
になってきている(図1)。 リスク・マネジメントは企業経営の根幹であり、対
応を誤ると、契約不履行や法違反による訴訟、企業
倫理の欠如による事故や不祥事、企業イメージの急
激な悪化などが連鎖的に発生し、最悪の場合、事業・
経営を継続するのが困難になるほどの致命的なダ
メージをもたらすことにもなる。
製品の品質について世界的に高い信頼を得ていた
はずの日本の電機メーカーも、リチウムイオン電池の
損失/事件/原因調査管理 リスク/統制の評価
ポリシー/手続き/統制の文書化
リスク分析
SOX法対応
コンプライアンス全般
企業リスク対応GRC対応
*資料:ITR
図1:企業に求められるGRC(Governance/Risk/Compliance)
「継続的なコンプライアンス」 を確立せよ
Computerworld February 200846
ITコンプライアンス[総点検]
│Part 1
│「継続的なコンプライアンス」を確立せよ
特集
発火事故などトラブルが相次ぎ、大きな痛手を受けた
ことは耳に新しい。最近では、食品衛生管理やトレー
サビリティにまつわる不祥事も終わりを知らないよう
な頻発ぶりである。名門企業、有名企業であるという
だけでは、もはや顧客の信頼を獲得し続けていくこと
は難しい。
そこで求められるのが、GRCを継続的に実施でき
る体制の確立である。ガバナンス/リスク・マネジメ
ントの下、各法規制への対応を確実に実施することで、
自社の企業としての価値を高いレベルで保つための
GRC基盤。──その構築と運用において、経営とIT
が密接に結びついた今日、IT部門の果たすべき役割
は非常に大きい。
ERM──全社的リスク・マネジメントの必要性
内部統制の推進という観点から、企業を取り巻く
リスクをとらえてマネジメントを行う際には、次の2点
が重要になる。
●経営にとってリスクになる可能性のある事象が業務プロセス内に存在していないかを把握した後、どのようにしてそのリスクをコントロールできるかを事前に考慮しておく●事前に考慮したコントロールを業務プロセスに組み込む
基本的な考え方は、個別の業務プロセスごとにリス
ク・マネジメントを行うのではなく、企業の経営戦略
に即して、全社的視点からリスク・マネジメント体制
を構築するということである。COSO(米国トレッドウェ
イ委員会組織委員会)は、この考え方をCOSO ERM
(Enterprise Risk Management:全社的リスク・マ
ネジメント)フレームワークとして策定している。
COSO ERMは、内部統制の国際標準フレームワー
クとして定着したCOSOフレームワークを拡張する形
で、財務関連にとどまらない法規制対応全般および
企業リスク対応を目指したフレームワークとして2004
年9月に公表された。米国の先進的な企業は同フレー
ムワークに早期から着目し、GRCを互いに連携させ
包括的にマネジメントするための手法として採用して
いる。
リスクという性質を踏まえると、それを100%抑制
する完璧なリスク・マネジメントは不可能だ。ERMの
目的は、内部統制の推進を前提に、企業の存続や事
業継続に大きな影響を与えるリスクを、適切にコント
ロールすることにある。
補完し合うリスク・マネジメントと内部統制 図2に、COSO ERMフレームワークの概念図を示
した。この図を見てわかるようにCOSOは、内部統制
自体の定義を変更したり、新しい概念を提示したり
するのではなく、内部統制の要素の外縁にERMの要
素を配する方法でフレームワークを構築している。
ERMにおける目的のうち「報告」は、COSOフレー
ムワークの「財務報告」目的を拡張したものである。ま
た、内部統制の基本的要素である「リスク評価」の部
分は、「事象の識別」「リスク評価」「リスクへの対応」に
細分化されている。この点は、ERM、すなわち全社*資料:COSO「Enterprise Risk Management - Integrated Framework」(2004年9月発表)を 基に作成
内部環境
目的の設定
事象の識別
リスク評価
リスクへの対応
統制活動
情報と伝達
モニタリング
全事業体
事業部門
事業単位
子会社
戦略への貢献
業務の有効性・効率性
報告の信頼性
コンプライアンス
図2:COSOのERMフレームワーク
February 2008 Computerworld 47
的なリスク・マネジメントと内部統制が密接に関連し
ていることを示している。ERMで把握しているリスク
に対しては、内部統制の強化で対応できるし、逆に、
内部統制が十分に機能していれば、リスク対策を最
適化できるという考えも成り立ってくる。
今日、コンプライアンスの取り組みとしては、上述
したように、適用開始が目前となった日本版SOX法
への対応を過不足ないレベルで実施するという、短
期的方針の企業が大半であろう。しかし、根本に立
ち戻って考えてみると、本来、財務諸表の信頼性と
いった“内向き”の対策だけではなく、事業目標の達成
に向かう過程で発生が想定されるリスクをマネジメン
トしながら、より戦略的な事業遂行を支援する枠組み
へと発展させていくのは、ごく自然なことと思われる。
事業の拡大によって業務プロセスは、その複雑化
がより進行する。また、グローバル企業、ないしはグ
ローバル戦略を推進中の企業にとっては、国内のみ
ならず各国で制定される各種の法規制にもそれぞれ
対応していくことになる。そうした中でERMを実践す
る際には、「ポリシー/手続き/統制の文書化」を推進
していく必要がある。そして、常に「リスク/統制の評
価(アセスメント)」を計画的に行い、「リスク分析」によ
るモニタリングやシミュレーションで再評価しつつ、
不可避的に発生したリスクの「損害/事件/原因調査
管理」から改善へとつなげていくための、PDCAサイ
クルを回していかなくてはならない。
こうした考え方に沿う形で、従来、SOX法対応ツー
ルとして提供されていたIT製品も、より広範なGRC
に対応したプラットフォーム製品に拡張され、市場に
出回りつつある。
「リスクのサイロ化」を解決するERM さて、リスク・マネジメントで先行している企業が現
在、苦労している点は何かというと、それは「リスクの
サイロ化」(全社にリスクが散在すること。リスクの断
片化)である。リスクのアセスメントを行う際に確認す
る項目は、社内の各部門で共通していることが多い。
小規模なタスクフォースをいくつか立ち上げて個別に
対応に取り組んでいる企業では、事業部門の関係者
に何度も同じことを尋ねることになってしまう。そのた
め、複数のリスクの相互の関連性が不明なまま、個
別にリスクのアセスメント結果が散在する事態に陥り
やすい。
ERMは、リスクの影響およびその範囲を近視眼的
にとらえてしまい、実際にはリスクが広範に影響を及
ぼすのを見過ごすことがないよう、全社的な視点から
リスク・マネジメントに取り組むためのアプローチなの
である。
事業活動遂行に伴うリスクと事業機会に伴うリスク
上述したように、今日、企業を取り巻くリスクの種
類は多岐にわたっており、業種や規模を問わず共通
のリスク、業種固有のリスク、グループ企業固有のリ
スクなどさまざまである。子会社を持たず、事業規模
が比較的小さい企業であれば、リスク・マネジメント
のスコープは自社のみとなる。一方、事業部門の分
社化が進み、海外にも子会社を有している企業の場
合には、子会社・関連会社を含めた企業グループ全
体をリスク・マネジメントの対象とすることになる。また、
担当者がどの部門に所属しているかによっても、リス
ク・マネジメントの焦点が変わってくる。
では、具体的にどのような種類のリスクがあるのか。
企業内に潜在するリスクを洗い出し、分類することが
リスク・マネジメントの作業の第一歩となる。企業の
事業活動に影響を与えるリスクは、「事業活動の遂行
に関連するリスク」と「事業機会に関連するリスク」に
大別することができる(48ページの図3)。 事業活動の遂行に関連するリスクへの対応は、内
部統制のプロセスの中で、直接的に実施される。そ
のため、内部統制の仕組みを適切に構築し運用すれ
ば、これらのリスクを適切にマネジメントしていると言
える。したがって、リスク・マネジメントのプロセスに
則して必要な機能を備えたGRCプラットフォーム製
品は、事業活動の遂行に関連するリスクのマネジメン
トに焦点を当てたものとなっている。
また、事業機会に関連するリスクについては、内部
Computerworld February 200848
ITコンプライアンス[総点検]
│Part 1
│「継続的なコンプライアンス」を確立せよ
特集
統制の仕組みを整備することで、間接的にマネジメン
トを行うことができる。一方で、事業活動の遂行に関
連するリスクは、全社的なリスク・マネジメントの中で
評価し、対処しなくてはならない。以上のことからも、
リスク・マネジメントと内部統制は、統合的に対処す
べき活動であると言える。
IT部門の課題
日本版SOX法への対応を完了した企業からの声に
よると、業務処理統制における文書化(現行の業務フ
ローの作成を起点とする業務プロセスの標準化・文書
化)やリスクの洗い出しはもちろんだが、指摘された
ITリスクへの対応も大きなポイントになったようだ。
ITリスクは、「システム開発のリスク」「アクセス・コ
ントロールのリスク」「システム運用のリスク」の3つに
分類でき、主に全般統制への対応となる。そして、
これらすべての基盤となるのが品質管理、構成管理、
変更管理であり、これをPDCAサイクルで回していく
ための全社的な仕組みがIT統制である。
業務処理統制と全般統制は相互に補完関係にもあ
るが、全般統制やそもそものIT統制についての欠陥
には、重要なリスクの指摘に直結しやすく、またリス
クの指摘である以上、重箱の隅をつつけばいくらでも
出てくるといったことにもなりやすい。そして、場当た
り的な対応は担当部門スタッフの間で疲弊を招き、
終わりが見えない徒労感も生じかねない。まずは、「ど
こから手をつけるべきか/どのあたりに対応し切れて
いない部分を残すのか/自社のITマネジメント成熟
度はどの程度なのか」といったことを把握したうえで、
適切な対策を講じることが重要となる。
ITRでは、ITマネジメント成熟度評価サービス「IT@
Governance」として、このようなアセスメントを実施
してきた。このサービスでは、いくつかの評価軸でIT
マネジメントの成熟度を評価している。
1つ目の軸はITマネジメント・ドメインであり、IT戦
略、IT投資、IT組織、ITリスク、ITアーキテクチャ、
ITサービス、ITプロジェクト、ITソーシング、ITユー
ザーの9項目から構成される。2つ目の軸はITガバナ
ンス・フレームワークであるCOBITの制御プロセスで
あり、計画と組織、調達と導入、提供と支援、監視
と評価の4つの領域に含まれる34の制御プロセスから
構成される。9つのマネジメント・ドメインおよびCO
BITの34の制御プロセスは、戦略立案から企画、開発、
運用、ユーザー・サポート、管理運営にかかわるIT部
企業価値
内部統制
間接的影響 直接的影響
直接サポート 間接サポート
事業活動の遂行に関連するリスク
オペレーショナル・リスク適正かつ効率的な業務遂行にかかわるリスク
●コンプライアンスにかかわるリスク●財務報告にかかわるリスク●商品の品質にかかわるリスク●情報システムにかかわるリスク●業務プロセスにかかわるリスク●モノ、環境にかかわるリスク(ハザード)
事業機会に関連するリスク
市場リスク/信用リスク経営上の戦略的意思決定におけるリスク
●新事業分野への進出にかかわるリスク●商品開発戦略にかかわるリスク●資金調達戦略にかかわるリスク●設備投資にかかわるリスク
*資料:経済産業省「リスク新時代の内部統制 ~リスクマネジメントと一体となって機能する内部統制の指針~」を基に作成
図3:企業におけるリスクと内部統制の関係
February 2008 Computerworld 49
門の活動を網羅的にカバーしたものである。そして、
3つ目の軸は内部統制の対応領域であり、体制・役割、
手順・基準、文書・規定、監視・管理、評価・改善の
5つからなる。
また、このサービスの評価では、COBITが推奨す
る汎用的な成熟度評価モデルである、6段階の評価
モデル(「0:存在しない」「1:初期」「2:反復可能」「3:
定義済み」「4:管理可能」「5:最適化」)を採用してい
る(表1)。
実例に見る、ITマネジメント・ドメイン別の成熟度の差
ここで、IT@Governanceのアセスメントを実施し
た6社の評価結果を、ITマネジメント・ドメイン別に見
てみることにする(50ページの図4)。これらの企業で
平均スコアが最も高いドメインはIT投資であり、次い
でITリスク、IT組織となっている。一方、最もスコ
アが低いのはIT戦略、ITユーザー、ITソーシングで
ある。すべてのマネジメント・ドメインは、平均すると
2点台のスコアとなっており、成熟度評価モデルに当
てはめると、「2:反復可能」と「3:定義済み」の間に位
置している。
6社それぞれのスコアに目を向けると、ITリスク、
ITアーキテクチャ、ITユーザーおよびITサービスと
いった情報システムの企画、開発、運用、ユーザー・
サポートなどIT実務系のドメインでは各社のばらつき
が小さいのに対して、IT戦略、IT投資、IT組織、
ITプロジェクトといったマネジメント系ドメインにおい
て、バラつきが大きいという傾向が確認できた。シス
テムを開発し、安全に稼働させるというIT部門にとっ
て最低限の実務的業務の領域については企業間の差
が比較的小さく、戦略や組織運営といったマネジメン
ト系領域では企業の取り組みのレベルによってかなり
差が開く、というわけだ。なお、IT投資については、
昨今の経済状況とコスト意識の高まりを反映して、1
社を除いて高いスコアを示している。
IT統制が重点課題となっているなか、IT部門では
まず、自社のITマネジメントの成熟度を客観的に評
価し、今後2年間で優先的に改善すべき領域を特定
しなければならない。多くの企業において、最初の取
り組みは、ITにかかわるリスクの洗い出しと評価の実
施、そしてIT関連業務における役割や手順を文書化
する作業となろう。
初期 問題が存在し、対処すべき必要性があることは認識されている。だが標準化されたプロセスは存在せず、担当者あるいは事例ごとに場当たり的な手法が用いられる傾向にある。全体としての管理手法は秩序だってはいない。
反復可能同じ業務を別の人員が担当する場合でも、同じような手順が踏まれる程度にはプロセスが開発され、整備されている。だが、標準化された手順を訓練および伝達する正式な方法が用意されておらず、個々の人員に任されている。こうして、個々の人員の知識に対する依存度が高いので誤りが発生しやすい。
定義済み手順は標準化され、文書化され、トレーニングを介して伝達されている。だが、定義されたプロセスに従うかどうかは個々の人員に任されており、定義されたとおりでないことが発生しても発見されにくい。このレベルでの手順は、十分に練られたというよりも、既存プロセスを公式化したものにすぎない。
管理可能手順の順守度を監視および計測することができ、プロセスの有効性が疑われる場合には対策を講じることができる。プロセスには常に改良が加えられ、良好なプロセスへとつながる。自動化および各種管理ツールは、部分的あるいは断片的に使用されている。
最適化継続して改良を行い、他部門と連携して成熟度評価モデルを適用してきた結果として、プロセスは十分に練られて、ベスト・プラクティスの域に達している。IT部門はワークフローの自動化を実現し、品質と有効性を向上させるツールを提供しているので、企業の適応性は高い。
*資料:ISACA(情報システムコントロール協会)のCOBITに関する資料を基に作成
1
存在しない 認識可能なプロセスがまったく存在しない。対処すべき問題が存在すると認識されたことがない。0
2
3
4
5
表1:内部統制の成熟度評価レベル
Computerworld February 200850
ITコンプライアンス[総点検]
│Part 1
│「継続的なコンプライアンス」を確立せよ
特集
継続的なコンプライアンスの確立を目指して
継続的なコンプライアンスを確立するための取り組
みが、国内でも広がりを見せている。2007年11月26日、
連結経営の研究/普及を推進する非営利組織、
After J-SOX研究会が内部統制の構築を支援する
ITベンダーやSIer、コンサルティング・ファームを中
心に発足した。同研究会は、「日本企業のグローバル
でダイナミックな発展に貢献する改革・改善運動の潮
流を創ること」を目的とし、日本版SOX法への対応で
構築された内部統制基盤を、連結経営とERMのた
めの基盤へと進化させる研究および普及活動を行っ
ていくとしている。
それでは、継続的なコンプライアンス、すなわち、
内部統制と企業リスクへの対応を継続して確保・強
化していくうえで、具体的にどのような作業が重要に
なってくるのだろうか。ここでは、内部統制の5つの
対応領域を、図5のようなライフサイクルで回していく
ことになる。それぞれの対応領域のチェック・ポイント
は以下に示すとおりである。
■体制・役割
業務担当者や組織が存在するか、役割分担、責任
者・承認者、受注・発注者などの区分が明確となって
いるかなどを確認する。
■手順・基準
手順や業務フローが明確で標準化されており、属
人性が排除されているか、判断や意思決定の際の基
準が明確となっているかなどを確認する。
■文書・規定
体制・役割および手順・基準で明確化され、合意
された内容を、規定、ガイドライン、運用マニュアル
などに文書化しているか、また、それが参照・活用さ
れているかなどを確認する。
■監視・管理
監視には、業務に組み込まれた監視と業務と独立
した監視(監査)の2つの意味が含まれている。前者は、
当事者以外が必ずチェックするプロセスが成立してい
ることや、システムによって自動的に制御が加えられ
ていることを確認する作業を指す。
一方、業務と独立した監視とは、年に一度など定
期的に行うもの、または何らかの事象(制度やシステ
0
1
2
3
4
5
IT戦略
ITリスク
IT投資
ITアーキテクチャ
IT組織
ITユーザー
ITサービス
ITソーシング
ITプロジェクト
A社B社C社
D社E社F社
平均
*資料:ITR
図4:ITマネジメント成熟度評価サービス「IT@Governance」のアセスメントを受けた6社の「ITマネジメント・ドメイン」別の成熟度比較
February 2008 Computerworld 51
ムの大きな改変)が生じた際に非定期に行うものを指
す。管理についても履歴管理と情報一元化の2つの
意味が含まれている。履歴管理は、各種業務活動、
承認、システム運用、情報アクセスなどの実行履歴
を保持することを意味し、情報の一元化とは、各種
ドキュメントおよび履歴情報が一元的に管理されてい
ることを意味する。
■評価・改善
PDCAマネジメント・サイクルがしっかりと循環し
ているかどうかを問うもの。役割分担、手順、監視が
適正に実行されているか、策定された文書が現在の
状況を正しく反映したものであるかといった点を定期
的に評価し、問題があれば見直しや改定を行う。
内部統制では、ここで示した5つの対応領域が全
社的な経営管理、意思決定、業務遂行、情報システ
ムの運営などの仕組みに組み込まれ、うまく機能して
いる状態が「有効である」とされる。
体制・役割、手順・基準、文書・規定の3領域は、
どちらかというと業務の形式的な妥当性を担保するも
のであり、一方、監視・管理および評価・改善の2領
域は、業務の質の確保とさらなるレベルアップを図る
ために継続的な取り組みがなされているかを担保する
ものである。
5つの領域は互いに連鎖したものであり、マネジメ
ント・サイクルとして継続的にレベルアップを図ってい
くべきものと言える。
* * *
以上、本稿では、統合的なGRCのアプローチから、
企業が継続的なコンプライアンスを確立するための基
本的な考え方や活用すべきフレームワークなどについ
て解説してきた。その中で、特に、リスク・マネジメン
トと内部統制は互いに密接な関連があり、基本的な
構成要素と求められる対応には同一性があることを強
調した。
内部統制をはじめとしたコンプライアンスの継続的
な改善を行っていくなかで、同時にリスク・マネジメン
トの仕組みも最適化していくアプローチこそが、有効
かつ合理的である。内部統制と企業価値の向上という
両課題は、現状をただしたうえで、改善を図るという
活動の主旨においては両立しうるものなのである。
業務の質の確保とレベルアップを図るレベル
業務の形式的な妥当性を担保するレベル
●組織の存在●所有者の明確化●職務の分掌
体制・役割
●業務の標準化●属人性の排除●判断基準
手順・基準●定期的評価●抜本的な問題解決●質的な向上
評価・改善
●実行監視●問題の発見・通知●情報の一元管理
監視・管理●文書の存在●改定と内容の妥当性●内容の周知
文書・規定
*資料:ITR
図5:内部統制の5つの対応領域のチェック・ポイント
一丸となって進めている。
例えば、グループ企業各社において、CRO(Chief
Risk-Compliance Management Officer:リスク・コ
ンプライアンス統括責任者)を任命し、コンプライアン
スおよびリスク・マネジメントにかかわる施策の立案・
推進、緊急事態への対応などを行っており、また、東
芝テック本体では、このCROを委員長とするリスク・
コンプライアンス委員会を設置し、グループ全体の体
制整備などを推進している。
予防保守と発見という両面の対応が必要
以上のような取り組みに加え、東芝テックが力を注
いでいるのが、社員一人ひとりにおけるコンプライアン
ス意識の向上である。
そのために同社は、eラーニングの啓蒙コンテンツを
用意し、社員全員が定期的に受講するようにしている。
海外のグループ企業においては、それぞれの地域の
特徴まで考慮した内容も含めてコンプライアンス教育
を行っているという。こうした啓蒙・教育活動は、コン
プライアンス上の問題発生を未然に防ぐための、いわ
ば予防保守のための取り組みだと言える。
だが、どのような予防策を実施したとしても、「問題
上場企業として全社的にコンプライアンスを推進
「TEC」というロゴが記されたPOSレジスターをコン
ビニエンス・ストアやスーパー・マーケットなどで目にし
た経験がある読者は多いことだろう。このPOSレジス
ターで国内首位の東芝テックは、流通情報システム関
連の製品と、東芝ブランドのデジタル複合機の製造と
いう2つの事業を軸に、グローバル展開する電気機器
メーカーである。
企業に対して、コンプライアンスの確立という社会
的な要請が高まるとともに、金融商品取引法(通称:
日本版SOX法)など新たな法制度への対応が求められ
る今日、東京証券取引所第1部に上場する東芝テック
も、同社グループ企業を含め、そのための取り組みを
2Part
Computerworld February 200852
│Part 2
│「予防」と「発見」の両面からコンプライアンスに取り組む
事例研究:上場企業におけるツールの選定理由と運用状況
多くの企業が全社レベルでコンプライアンスに取り組む今日、IT/IS部門が解決すべき課題も多岐にわたる。コンプライアンスに必要なツールを選定し、適切に運用していくという活動も、そうした課題の1つであろう。本稿では、東芝テックの情報システム部におけるデータベース監査ソフトの導入事例から、その選定に至った背景や運用の状況などについて紹介する。
大川 泰Computerworld編集部
「予防」と「発見」の両面から コンプライアンスに取り組む
User Profile
東芝テック TOSHIBA TEChttp://www.toshibatec.co.jp/
所在地:東京都品川区設 立:1950年2月21日資本金:399億円代表者:前田義廣(取締役社長)業 務:店舗用POSシステム、レジスター、OAシステムなどの 製造販売、デジタル複合機の製造
February 2008 Computerworld 53
が発生する可能性を完全に排除できるわけではないの
です。100点満点の予防策はありません」と、同社生
産本部 情報システム部 応用システム開発担当 グルー
プ長の戸城篤人氏(写真1)はくぎを刺す。
そこで、いざ問題が起きたときにそれを迅速に発見
することができる仕組みが必要になると戸城氏は語る。
そうした発見の仕組みの存在が認知されれば、それが
抑止力となり、新たな予防保守にもなる。つまり、コン
プライアンスを推進するためには、予防保守と発見とい
う両面から取り組まなければならないというわけだ。
情報漏洩/改竄対策にはすべてのログ取得が必須
東芝テックが全社を挙げてコンプライアンスに取り
組むなか、同社情報システム部のリーダーの1人であ
る戸城氏は、「やはり、情報漏洩やデータ改竄への対
策が、われわれの部門に課せられた大きなテーマだと
認識しています」と言う。また、日本版SOX法への対
応という観点からも、「ITを使った財務諸表にかかわる
リスクを軽減するのが、われわれの使命です。財務諸
表が簡単に改竄され、その改竄を発見できないような
システムは許されません」と語る。
それでは、情報漏洩やデータ改竄を阻止するために
は、何が必要となるのだろうか――この問いに対して
同氏は、次のように答える。
「いたって簡単なことです。情報漏洩/データ改竄
を防止する手段として私が最も重視しているのは、す
べてのアクセス・ログ/操作ログを取得しておくという
ことなのです」
もちろん、重要な情報が格納されているのはデータ
ベースであり、同氏が言うアクセス・ログ/操作ログと
は、データベースに関するものだ。
「例えば、お客様の情報が格納された取引先マスタ
から何万件ものデータを一度にダウンロードするという
操作は、通常の業務では発生しません。そうした操作
を漏らさずに発見し、その犯人を特定できるようにす
るためには、データベース・ログをすべて取得しておく
ことが必須条件になります」(同氏)
アドミン権限を持つ人々への周知を徹底
データベース・ログをすべて取得する仕組みの1つ
の目的は、万が一、社外から不正侵入があったときの
対策に役立てるということである。
それと同時に、社内においてその仕組みの存在をア
ナウンスすることで、コンプライアンス違反への抑止力、
つまり予防保守の効果も期待できると戸城氏は語る。
ただし、現実的な視点から見れば、一般の社員がアク
セス制限などの厳重なセキュリティ対策をかいくぐり、
データベース・サーバから重要な情報を盗み出せると
は考えにくい。ここで主に対象としているのは、アドミ
ニストレーター権限を持つ情報システム部自身、およ
びその権限を知る可能性があるSIerやソフトウェア・
ベンダーといった開発委託先のパートナーである。
東芝テックの情報システム部には、工場勤務の社員
も合わせて60名程度が在籍しており、開発委託先の
パートナーは時期により人数が変動する。前述のよう
写真1:東芝テック 生産本部 情報システム部 応用システム開発担当 グループ長の戸城篤人氏
「予防」と「発見」の両面から コンプライアンスに取り組む
Computerworld February 200854
ITコンプライアンス[総点検]
│Part 2
│「予防」と「発見」の両面からコンプライアンスに取り組む
特集
に日ごろからコンプライアンスに積極的に取り組む同社
において戸城氏は、そうした人々のモラルに信頼を寄
せている。それでも、IT全般統制の観点からは、特
別な権限を持つ人々がいる以上、それに見合ったセ
キュリティ確保の仕組みを用意し、その周知を徹底さ
せることは不可欠であろう。
業務への影響を最小限にするのがもう1つの条件
データベース・ログ取得の仕組みは、日本版SOX
法への対応が1つのきっかけとなり、検討を始めたと
いう。いくつかの製品を検討したうえで、2007年6月に、
インサイトテクノロジーが開発/販売するデータベー
ス監査ソフトウェア「PISO」の採用を決定するに至っ
た(図1)。 PISO採用の決め手となったのは、まずは戸城氏が
こだわった、すべてのデータベース・ログを確実に取
得できるという点だ。
「他のデータベース監査ツールだけではなく、ネット
ワーク監視ツールなども含めて検討しました。しかし、
ネットワーク監視という手法では、データベース・サー
バのコンソールを直接操作されたとしたら、その操作
を検知できません」(同氏)
データベース・ログをすべて取得できるという条件と
ともに戸城氏が重視したポイントは、データベースを利
用する基幹システムのパフォーマンス低下を最小限に
とどめることだったという。
「どのようなソフトウェアを選んだとしても、基幹シス
テムへの負荷が発生します。しかし、毎日稼働してい
る基幹システムにおいて、業務に支障をきたすほどの
パフォーマンス低下が起こることは絶対に避けなけれ
ばなりません」(同氏)
このパフォーマンスへの影響という点についても、
PISOは許容できるレベルにとどまっており、以上の2
点から、戸城氏はPISOの採用を決定した。
ログ取得の対象は9つの基幹システム
東芝テックにおけるPISOの導入作業は、2007年8
月から9月の2カ月間で行われた。2カ月という導入期
間について戸城氏は、「長いか短いかは判断しかねます
が、少なくとも、基幹システムを利用しているエンドユー
ザーに影響を与えることなく、導入作業を終えられた
と考えています」と評価する。
また、PISOを利用する際には、監査対象のデータ
ベース・サーバにエージェント・ソフトウェアをインストー
ルすることになるが、「手を加えるとしても、基幹システ
ムのトラブルは絶対に避けなければいけません。その
ため、インサイトテクノロジーさんには、導入に際して
はスピーディーかつ慎重にと、当初からお願いしてい
ました」(同氏)
導入作業の完了後、東芝テックでは10月からPISO
の本稼働を開始した。PISOは現在、Linuxを搭載し
た2台のx86サーバで稼働している。運用については、
稼働状況の確認などは行っているが、ログ取得の一
連の処理に人手が介在することはないという。
2007年6月 7月 8月 9月 10月 11月 12月
PISOの採用を決定。導入の準備を進める
PISOの導入期間。対象は9つの基幹システム
運用を開始。1カ月分のログを蓄積
引き続き9つの基幹システムからログを取得
ログの分析作業。10月に蓄積したログからアラートを上げる閾値を検討
図1:東芝テックにおける「PISO」導入/運用に関するスケジュール
February 2008 Computerworld 55
「人手が介在したら、ログが改竄される可能性が出
てきます。すべての処理が自動で行われなければ、わ
ざわざログを取る意味がありません」(同氏)
ログ取得の対象となっているのは、生産管理、販売
管理、経理、人事など、計9つの主要な基幹システム
である。これらの基幹システムは、オラクルの「Oracle
E-Business Suite」を中心に開発されたもので、その
データベースには、すべて「Oracle Database」が利用
されている。
もともとPISOは、Oracle Databaseを対象にしたツー
ルであり、「Oracle7」から最新の「11g」まで幅広いバー
ジョン対応を1つのセールス・ポイントとしている。「再
構築の計画はあるにしても、現時点では、さまざまな
バージョンのOracle Databaseを利用している」(戸城
氏)という東芝テックにおいては、このPISOの特徴も
ニーズにマッチしていた。
膨大なログから不正なものを見極める分析作業を進める
データベース・ログを取得するシステムの導入作業
が完了しても、実際の運用フェーズにおいては、蓄積
されたログから情報漏洩やデータ改竄の可能性があ
るアクセス/操作を“発見”するための仕組みを構築
することが必要になる。特に東芝テックにおいては、
データベースに対するアクセス/操作をすべて記録し
ておくという、PISO導入のそもそもの目的に加え、
前述のようにログ取得の対象が9システムにも及ぶ。
「データベースに対する参照、更新、削除、追加といっ
た操作を本当に逐一記録していくわけですから、1日
だけでもログはかなりの量になります」と戸城氏が言う
ように、蓄積されるログが膨大な量になることは想像
に難くない。
膨大なログから不正なアクセス/操作を発見できる
ようにするために同社は、まずPISOの本稼働が開始
した10月の1カ月間にわたってログを蓄積することから
始め、11月と12月の2カ月間で、蓄積されたログを分
析するという作業を行っている。
「どのようなアクセス/操作が行われた場合に、ア
ラートを出すようにするのかということを検討していま
す。要するに、正常なログと不正アクセス/操作の可
能性があるログとを区別する閾値を決めているわけで
す」(戸城氏)
この分析作業は、インサイトテクノロジーの協力の
下に進められている。膨大なログを分析する作業は、
ユーザー企業が単独で行うには時間もかかるし、また、
適切な閾値を見極めるためには相応のノウハウが必要
になるからだ。
監査リポート作成機能も今後の視野に入れる
不正なログを見極める閾値の明確化のほかに戸城
氏は、このシステムの今後の展開として、監査リポー
トや財務諸表の一部といったドキュメントを自動作成
する機能の実装を検討している。
「日本版SOX法などで求められるドキュメントを作成
するようにして、当社の財務諸表にリスクがないことを
証明できるようにしたいと考えています。これについて
も、人手を介在させるのではなく、自動で行うことが
重要です」(同氏)
人手が介在するような場合は、データが改竄される
可能性をぬぐいきれない。また、むしろこちらのほうが
起こりうる可能性が高いだろうが、人手の場合は悪意
がなくても、ヒューマン・エラーによってドキュメントの
不備が発生するというおそれもある。こうした事態を
避けるためには、ドキュメント生成についても自動で行
うことが重要になるわけだ。
* * *
戸城氏が指摘するように、本稿で取り上げたデータ
ベース・ログを取得する仕組みだけで、コンプライアン
スを確保し、また、日本版SOX法に対応するために
必要な施策を網羅できるわけではない。だが、問題の
予防保守と発見という明確な指針を示し、具体的な
施策を着実かつ迅速に実施していこうとする姿勢は、
コンプライアンスに関する取り組み全般にわたって通
用するものではないだろうか。
度が高く、影響力も大きいのはSOX法(Sarbanes-Oxley
Act:米国企業改革法)だろう。ほかにも、「家族の教
育上の権利およびプライバシー法」(Family Educa
tional Rights and Privacy Act:FERPA)、「医療保
険の相互運用性と説明責任に関する法律」(Health
Insurance Portability and Accountability Act:
HIPAA)、「金融制度改革法」(Gramm-Leach-Bliley
Act:GLBA)といった連邦法がある。また、連邦政府
の法律に加えて、米国証券取引委員会(SEC)のような
連邦機関も、管轄内の企業に対する規制を定めている。
■州法
米国の各州においては、主にプライバシーに関する
独自の規制が設けられている。それらの中でも、「カリ
フォルニア州個人情報取扱法」(California Informa
tion Practice Act)は、厳格な内容を持つ州法として
広く知られている。同法は、カリフォルニア州上院法
案「SB1386」とも呼ばれ、個人情報の紛失や盗難に遭
遇したときに、その事実を直ちに公表することを義務
づけたものだ。対象となるのは、カリフォルニア州に事
業所および顧客を有するあらゆる企業である。SOX法
ほどではないとしても、同州の規模を考慮すれば、こ
の法律の影響力は他の連邦法に匹敵すると言っても
過言ではないだろう。
法律・規制と共に増え続けるコンプライアンス・コスト
企業が日常活動の中で考慮すべき法律や規制は増
加の一途をたどり、その対応のための業務も複雑で高
コストになってきている。
筆者が所属する調査会社、Nemertes Researchは、
セキュリティと情報保護に関する調査を実施した際
に、コンプライアンスに関する支出の総額がいくらに
なるのかという質問を投げかけた。その結果、ほとん
どの回答者が具体的な数字を把握していないことが
判明した。他の予算と明確に区別した形でコンプライ
アンス予算を確保している企業は少ないのだ。しかし、
コンプライアンス・コストが莫大な金額になっていると
いう見解については、大半から同意を得られた。
米国企業が対象となる4種類の法令・規制
米国企業が順守を求められる法律や規制としては、
以下の4つが想定される。
■連邦法
コンプライアンスに関連する連邦法の中で最も認知
3Part
Computerworld February 200856
│Part 3
│コンプライアンス・コスト──米国企業の現状に学ぶ
法規制の増加を見据え、長期的な視点でIT投資を考える
コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業におけるコンプライアンスへの取り組み状況をコスト面に目を向けて解説する。
John Burke米国Nemertes Research
コンプライアンス・コスト──米国企業の現状に学ぶ
February 2008 Computerworld 57
■業界団体などによる規制
民間の業界団体も、メンバー企業に対する規制とベ
スト・プラクティスを定めている。そうした団体には、大
手クレジットカード会社が加盟するPCIセキュリティ・ス
タンダード・カウンシルや、全米証券業協会(NASD:
National Association of Securities Dealers)などがある。
■諸外国の法律
米国以外でも事業を展開する企業は、それぞれの
国が定める法律にも従わなければならない。特にカナ
ダと日本は、個人情報保護に関する法律が非常に厳
しいことで知られており、また、EUも同様である。
対応コストがかさむのは個別分野を扱う連邦法
前述のように、回答者のほとんどがコンプライアンス
にかかわる総支出額を把握していなかった。それでも、
どの規制に最もコストがかかっているのかは十分に理
解している。
現在、米国企業が最も対応に苦慮しているのは、
SOX法であろう。だが、多くの回答者がコスト的な負
担が大きいと感じているのは、HIPAAやGLBA、捜
査当局による通信傍受支援法(CALEA:Communi
cations Assistance for Law Enforcement Act)といっ
た個別分野を対象とした連邦法だ。
58ページの図1を見ると、最もコスト高な法律・規
制は何かという問いに対して、各種の連邦法を挙げ
た回答者は36.8%に達し、SOX法の26.3%を大きく
上回っていることがわかる。続いて、カリフォルニア
州SB1386を挙げた回答者が15.8%、SECや米国連
邦金融機関検査委員会(Federal Financial Institu
tions Examination Council)といった連邦機関の規
制という回答は13.2%だった。
こうした法令や規則に起因するコンプライアンス・コ
ストの負担が今後下がることを期待している回答者は
コンプライアンス・コスト──米国企業の現状に学ぶ
業界団体による規制として、広く知られているものの1つに、クレジッ
トカード業界の「PCIデータ・セキュリティ規準(PCI Data Security
Standard:PCI DSS)」がある。これは、クレジットカード・データを
取り扱う企業(小売業者、オンライン販売業者、データ処理会社など)
が、ネットワークおよびアプリケーションの安全確保やカード所有者
のデータの保護、脆弱性管理プログラムの維持に向けて、定期的に
第三者の監査を受けるよう定めた技術要件集である。
この規制を管理しているのが、PCIセキュリティ・スタンダード・カ
ウンシル(PCI Security Standards Council:PCISSC)である。同
団体は2007年11月7日に、新たなセキュリティ標準を策定する意向
を明らかにしている。これは「Payment Application Data Security
Standard(PADSS)」と呼ばれている。
PCISSCのゼネラル・マネジャー、ボブ・ルッソ氏は、「支払いアプ
リケーションのプロバイダーとその製品が、現行のPCIデータ・セキュ
リティ規準と整合性のあるデータ・セキュリティ要件を順守できるよ
うな体制を整えたい」と語っている。同氏は、まだPADSSの詳細は
明らかにできないとしているが、PCISSCのWebサイトには、
PADSSの方向性に関するFAQが掲載されている。
このFAQの中で、「PADSSは、承認や決済の一環としてカード所
有者のデータを保存、処理、転送するような支払いアプリケーション
を開発するソフトウェア・ベンダーなどに適用されるもので、それらの
支払いアプリケーションが第三者により販売あるいは配布されている
場合に該当する」と説明している。
また、「PADSSの完成後には、支払いアプリケーションの認定を行
うQSA(Qualified Security Accessor)資格を策定する予定であり、
将来的には認定済み支払いアプリケーションのリストも公開する」と
記載されている。なお、PCI DSSに関しては、すでに60人以上が
QSA資格を取得している。
一方、「QSA有資格者がPADSSに適合していると認めた支払いア
プリケーションでデータ侵害が発生した場合どうなるのか」という質問
には、「そのようなケースについては、ソフトウェア・ベンダーとのサー
ビス契約の範囲内で責任を負う」と答えている。
C O L U M N
クレジットカード業界の新セキュリティ標準が策定へEllen Messmer / Network World米国版
適用対象は支払いアプリケーションの開発ベンダー
Computerworld February 200858
ITコンプライアンス[総点検]
│Part 3
│コンプライアンス・コスト──米国企業の現状に学ぶ
特集
皆無だった。コンプライアンスへの支出が増えると予
想する回答者は60%に上り、残りの40%は少なくとも
現状が維持されると答えた。
法律が新たに追加されたり、古い法律の期限が延
長されたりして、法環境は常に変化している。今回の
回答者は、このような点を考慮したうえで、コンプライ
アンス・コストに対して楽観的な見通しは立てられない
と判断したということだ。
この結果から、長期的な視点に立ってコンプライア
ンス投資を行うという企業の姿勢が見えてくる。
コンプライアンス担当者の給与はIT予算の2〜3%
コンプライアンス・コストを正確に見積もるのは難し
いが、その内訳は担当スタッフの人件費と、ツールお
よびインフラのコストの2つに大別できる。
今回の調査では、ITセキュリティ部門におけるコン
プライアンス専属の正社員数は、ある大手運送会社の
15人から小規模な教育機関の0.5人まで、回答者によっ
て大きな開きがあった(1年当たりの一定時間数に基づ
く)。また、相加平均(すべての人数を合計し会社数で
除算)は3.25人、中央値(すべての人数の中央に位置
するデータ)は4.8人という計算になった。
セキュリティを担当する上級幹部の年収を給与と諸
手当を含めて13万ドルと仮定すると、企業はセキュリ
ティ・スタッフの給与だけで42万2,500ドルから62万
4,000ドルも支出していることになる。しかも、この金
額には、セキュリティ以外のIT幹部やIT部門以外の
スタッフの給与は含まれていない。回答者の平均IT
予算は2,000万ドルだったため、一般的な企業はコン
プライアンスのスタッフにIT予算全体の2〜3%を支出
していることになる
それでは、そもそもコンプライアンス・スタッフの業
務とはどのようなものであろうか。IT部門におけるコン
プライアンス業務の大部分は、監査と報告、そしてデー
タのアーカイブ/リカバリの監督といったもので占めら
れている。
だが、いまだにIT部門は、セキュリティ・ログを目視
で確認し、コンプライアンス・リポートを手作業で作成
しているのが実情である。こうした作業の多くは自動
化できるはずであり、より有益な時間の使い方を考え
るべきであろう。
監査の必要性は広く浸透している
社内監査を実施している企業は、回答者の約4分の
3(71%)を占めた。実施していないとしても、監査のた
めのリソースの不足がその主な理由であり、監査の必
要性は広く認知されていた。
定期的に社内監査を実施している回答者の内訳は、
年に1回が54%、四半期ごとが25%、少なくとも月に1
回が17%という割合だった。年に1回の監査は全般に
わたって実施され、四半期あるいは月ごとの場合はポ
リシーやプロシージャ、システムの一部だけを対象とす
るケースが多いようだ。
外部監査については、実施している企業は社内監
査よりも若干少なく、66%弱という結果だった。実施
している場合も、その頻度は社内監査とは大きく異なっ
36.8%
26.3%
15.8%
13.2%
5.3%
2.6%
各種の連邦法(HIPAA、FERPA、GLBA、CALEA)
SOX法SB1386などの各州法
連邦機関の法令(SEC、FFIEC、NPI)
業界団体による規制(PCI、NASDなど)
その他
図1:最もコストがかかると思う法律・規制
*資料:米国Nemertes Research
February 2008 Computerworld 59
ており、このうち74%の回答者が年に1回と答えた。
ただし、残りの回答者のうち3分の1以上(10.5%)は、
業界団体の規制や本社の意向に従って頻繁に外部監
査を行っている。
監査をどれくらい重視するかは、企業によってさま
ざまだ。それぞれの業界ごとに監査の実施を定める規
制が設けられており、業種によっては実質的な義務に
なっている。
監査を実施することは、IT部門における職務分掌
が難しい場合に、一種の安全策にもなりうる。また、
監査はIT部門がポリシーとプランにどれだけ従ってい
るかを知るうえですぐれた材料となる。コンプライアン
スを目的にIT部門が実施する作業は無数にあるが、こ
うした作業は他のセキュリティ改善作業の一部として
組み込まれていることが多い。そのため、通常は効果
測定が困難なのだ。
職務分掌を徹底している企業は半数に満たない
各種の法律・規制は、コンプライアンスのためにス
タッフの職務分掌を求めている。
複雑なビジネス・プロセスを細分化して1人のスタッ
フだけに任せないようにすることは、不正行為や人為
的ミスの防止策になる。例えば、銀行に現金を預け入
れた後に、それを預金明細書と照合するというプロセ
スを1人に任せてしまえば、その担当者は非常に簡単
に現金を盗めてしまう。
SOX法は、財務プロセスとデータについて、IT部
門の担当職務を分掌するという考え方を基本としてい
る。だが、この点は、いまだに企業を悩ませているよ
うだ。回答者のうち、職務分掌のポリシーを策定して
いる企業は半数にも満たなかった(図2)。 コストおよびシステム上の制約や人材不足といった
理由で、職務分掌が不可能になっているケースも少な
くないと思われる。そうした場合は、代替策として、
ログを完全に取得するようにして監査に役立てたり、
ビジネス・プロセスのレビューを頻繁に実施したりする
ことで、安全性を高めるように配慮すべきであろう。
コンプライアンス・ツールの導入は遅れぎみ
もう1つのコスト要因はテクノロジーである。コンプ
ライアンスにかかわる業務を手作業で行えば、多大な
コストが発生することになるものの、回答者の大多数
は作業を軽減するためのツールは導入していなかった。
現状では、監査ログの取得やアクセス制御が必要なと
きに、既存のセキュリティ・ツール群で代用するケース
が多いようだ。
また、ストレージの価格は、これまでコンプライアンス・
コストとして表面化しにくかったものの1つだ。だが、
その状況は変わりつつある。ログのほかにも、運用デー
タやアーカイブ、ログのメタデータなど、さまざまな種
類のデータを保管しておくことが求められる今日、必
要になるストレージ容量も増え続けている。
このような事情に加えて、さらに回答者の半数強は、
テープに移行すべきコンプライアンス関連のアーカイブ
を、しばらくの間SANに格納しておくということを行っ
ていた。その結果として、1次ストレージとして利用で
きる性能を備えた高価なSANの中で、監査証跡とし
てしか使う機会がないようなアーカイブが、最も大きな
容量を占めるという状態になっていた。
51.7%48.3%
NoYes
図2:コンプライアンス業務における職務分掌の有無
*資料:米国Nemertes Research
Computerworld February 200860
ITコンプライアンス[総点検]
│Part 3
│コンプライアンス・コスト──米国企業の現状に学ぶ
特集
コスト負担が大きくても永久アーカイブを実践
アーカイブ・データの永久記録を実践すれば、コン
プライアンスにかかわるストレージ・コストがますます大
きくなる。今回の調査では、回答者の4分の1以上がデー
タの永久保存を実践しているという結果が出た(図3)。コスト面の負担が大きくなったとしても、万が一、裁
判所から情報提示を求められたときに困らないように、
永久にデータを保持しておくことを選択したのだ。近
年、こうした考え方はますます広まっている。
データの種類に応じて異なる保存期間を定めている
という回答もあった。その期間は、法律で決められて
いることもあるが、多くの場合はそれぞれの企業が自
主的に設定しているようだ。一般的には、7年から10
年または法令に定められている期間プラス2、3年とい
うケースが多い。
こうした記録保持のために、ストレージ・コストはど
のくらい増加しているのだろうか。一概には言えないが、
1年ごとに必要なストレージは3ケタ増(100%以上)の割
合で肥大化している。一方、ストレージ・ハードウェア
の購入価格は、ディスク容量当たり18カ月ごとに半分
近くに下がっている。
このようにストレージの消費量が倍増してもハード
ウェアのコストが半減していることから、インフラ・コス
ト全体の増加率はおそらく1ケタ増だと予想できる。た
だし、電力の増強、冷却、追加スペースの管理といっ
た付随的なコストまでが同様に下がっているわけでは
ない。そのため、ストレージに関する所有/運用コスト
の総額は、消費スペースの増加に近い比率で上昇し
ていると筆者は考えている。
ノートPCのHDD暗号化が情報保護策として重視
回答者の多くは、コンプライアンスにかかわる業務
の一環として、情報保護にも取り組んでいる。当然な
がら、多くの回答者が情報保護を重要視しており、こ
れを2007年と2008年におけるセキュリティ支出の最
優先分野と考えているという回答は38.6%になった。
情報保護に関する問題として最も重視されているの
は、従業員のノートPCに格納されているデータの保
護である。そのためにさまざまな暗号化技術が活用さ
れており、フリーウェアのストレージ暗号化ソフトが利
用されているケースから、オンボードの暗号化チップで
ハードディスクを保護しているというケースまで、暗号
化技術の利用形態は多岐にわたる。
回答者の10%は何らかの暗号化技術をすでに導入
済み、もしくは導入作業を行っているところと答え、
現在候補となる暗号化製品を評価中だと答えた回答
者は20%以上に上った。
情報保護においては、アイデンティティ管理もかか
わってくる。回答者の27.3%が今後1年間の優先的な
支出先としてアイデンティティ管理を挙げている。
2008年に支出を検討したいとする回答者の60%は、
今後、アイデンティティ管理のための支出額が増加す
ると見込んでいる。
情報保護という取り組みには、手間とコストが必要
になる。だが、特に大企業においては、避けて通れな
いものと見なされている。
27%
27%
10%
9%
9%
9% 永久
その他
10年
法定期間+最長5年
法定期間
7年
図3:コンプライアンス・データの保持期間
*資料:米国Nemertes Research
February 2008 Computerworld 61
ログ・モニタリングはいまだに手作業が多い
ログの取得は、コンプライアンスの要諦とも言える。
ネットワーク、システムおよびアプリケーションの構成、
そしてアクティビティに関するログを取得し、十分な監
査証跡を残すことは、コンプライアンス違反がないこと
を証明するために不可欠である。
現在、ログ解析精度の向上を背景に、ログを集約
するという手法が急速に広まっている。回答者の64%
は多くのソースからログを取得し、解析/保持のため
にそれらを集約している。そのうちインフラ関連のログ
(サーバ、ルータ、ファイアウォール)をすべて取得し
ているという回答は半数近くに上り、なかには、デス
クトップ・ログまで収集している回答者もいた。
ログ集約の有無にかかわらず、回答者の90%は手
作業、もしくはツールを使ってログのモニタリングを実
施している。このうち少なくとも4分の1は就業時間中
(9:00〜17:00)のみか、より短い時間に限定してモニタ
リングを行っている。
その一方で、ログに記録されているイベントをリアル
タイムで解析し、何らかの異常が認められたときに直
に対応しているという回答者も半数に上った。こうし
た仕組みは一般的に、IDS/IPSや、そのイベント・ロ
グを取得するシステム内のアラート機能を使って運用
されているケースが多い。また、約4分の1の回答者は、
専用のログ管理システムや本格的なセキュリティ情
報/イベント管理(Security-Information and Event
Management:SIEM)ツールを使っている。
コンプライアンスと電子開示に備えて、回答者の約
78%は収集するログの一部、もしくはすべてをアーカ
イブしている。この方法では、たとえ重複する情報を
減らすログ正規化システムを使ったとしても、ストレー
ジ容量がすぐに不足してくる。膨大なディスク・スペー
スを消費するにもかかわらず、このアーカイブ・データ
がログ管理とセキュリティという当初の目的以外で使
われることは皆無に等しい。回答者の3分の2は、ログ
に対するデータ・マイニングなどをまったく行ったこと
がないと回答している。
支出がもたらすメリットを考慮して対策を進める
支出額がいくらになるのかは、コストに関する問題の
半分にすぎない。本当に難しいのは、その支出から生
まれるメリットを明らかにすることだ。
コンプライアンスのための取り組みは、そのコストに
見合ったROI、つまり見返りは期待できない。リスク
や損失、無駄なコストをいかに回避するかを考えるだ
けなのだ。
だが、その定義は困難である。考えられる1つの方
法としては、法令を順守できずに罰金を科せられる確
率と、その予想金額を見積もることだ。
今回の調査に参加した大手メーカーは、1つのバッ
クエンド・システムについて、監査を控えているからと
いって、すぐにアクセス制御を追加するなどのアップ
グレードを実施するのは無駄だと判断した。そのシス
テムは2、3年後にアップグレードが予定されていたため、
同社はあえてコンプライアンス違反の罰金を支払うこと
を選んだのだ。
* * *
コンプライアンスのための取り組みをリスク管理とし
て見れば、罰金や法的制裁、業界団体からの追放、
さらには情報漏洩に伴う顧客の離反といった、コンプ
ライアンス違反の発覚時に見込まれるリスクに対して、
回避策をいかに打ち立てていくのかという活動になる。
企業は、プロセスの改善、特に社内監査の遂行に
力を注ぎ、定義したプロセスが適切に運用されるよう
にしなければならない。監査の必要性は理解していて
も、重要なのは、コンプライアンス・ポリシーを社内で
きちんと順守できるかどうかである。
また、コンプライアンスの要件と、利用頻度がほぼ
ゼロになったデータを消去することのリスクを比較しな
がら、データ・アーカイブのポリシーを定義、もしくは
再評価すべきである。そうしたデータの提出を求める
訴訟の可能性があると法務部門が判断した場合、IT
部門は、アーカイブを永久保持するために必要となる
コストを的確に算出できなければならない。
り、行政処分を招いたりした事件の多くが、機密デー
タの取り扱いに関する企業側の認識不足を原因にし
ていたということが判明している。
企業は機密情報を安全に管理することのできる体
制を整えつつあるが、専門家によると、それでもまだ
重要なデータを保管する方法やデータを電子的に転
送するプロセスには、多くの死角が残されているとい
う。例えば、情報漏洩や外部からの攻撃に対する脆
弱性などが、そうした死角として挙げられる。
「われわれが調査したケースのほとんどで、企業は
シリアスなデータ侵害を経験していた。しかも、貴重
な情報が盗まれたことが判明するのは、大抵の場合、
犯行後かなりの時間がたってからだ。そのときには、
もうすべてが手遅れになっている」と語るのは、リスク・
アセスメントを手がけるセキュリティ・サービス・プロバ
イダー、米国Cybertrustの調査対応担当バイスプレ
ジデント、ブライアン・サーティン(Bryan Sartin)氏だ。
Cybertrustでは、「契約している企業でデータ侵害
が発生した場合、さまざまな問題について討論し、最
終的に機密データをどのように保管するかを提案す
る」(Sartin氏)といった業務を行っているが、多くの
企業で、事件が発覚するまで、最小限のデータ保護
対策しか講じられていなかったことは事実だ。
「しかしながら、たとえ企業がどれほどしっかりした
機密データ保護の試みはまだ始まったばかり
その昔、機密情報の安全は、ファイル・キャビネッ
トに入れてカギさえかけておけば守ることができた。価
値のあるデータを保管し、アクセスを制御するのは、
比較的簡単なことであり、大してコストもかからなかっ
た。ところが今日、企業はセキュリティやストレージ、
コンプライアンスの技術──重要な電子情報の視認性
を高め、外部からの不正アクセスを阻止するための技
術──に、莫大な投資を行わなければならなくなった。
もっとも、そういった技術を導入する必要性こそ認
識されているものの、価値のある機密データの詳細な
トラッキングや、不正アクセス/不正利用を防止する
ためのアプリケーションの導入といった本格的な取り
組みとなると、ほとんどの企業がまだ始めたばかりの
段階である。
データ保管プロセスの死角をなくす
法律の専門家が、企業の要請を受けて、外部から
の不正侵入や内部の人間による不法行為について調
査を行ったところでは、ブランドの信頼を揺るがした
4Part
Computerworld February 200862
│Part 4
│エンタープライズ・データを守り抜く
コンプライアンスを脅かす脆弱性をあぶり出し、有効な防御策をとる
ITコンプライアンスを確立するうえで、企業の機密情報や顧客情報を保護することは、きわめて重大な課題である。米国企業もここにきてこの問題に本腰を入れて取り組み始めている。本稿では、社内に潜む脆弱性をあぶり出すとともに、重要な情報やデータを保護する方法を、米国のユーザーおよびベンダーから学びたい。
Matt HinesInfoWorld米国版
エンタープライズ・データを守り抜く
February 2008 Computerworld 63
技術とプロセスを導入していたとしても、多くの重要
なデータが日々流出しているという現実は止めようが
ない」と、Sartin氏はデータ保護の困難さを訴える。
専門家の仕事をさらに難しくしているのが、痕跡を
残さないクラッカーの巧妙な手口だ。ここにきて、デー
タを盗むスキームが高度化し、犯行の追跡がいっそう
困難になっているのである。
そんな状況を踏まえて、多くのセキュリティ専門家
たちが、企業は価値のある情報を保護するための負
担に押しつぶされそうになっていると指摘する。その
1人である、セキュリティ・サービス・プロバイダー、
米国Mandiantのチーフ・エグゼクティブ、ケビン・マ
ンディア(Kevin Mandia)氏は、「どんなにすぐれた企
業であっても、この分野で十分信頼に足る体制を整
備できるとは限らない。考えうるあらゆる脅威からデー
タをガードし、事業を進めていくための、情報管理/
保管方法が見つからないからだ」と指摘し、こう嘆い
てみせる。
「さらに悪いことに、多くの企業では、データ保護
に関連する法規制に対して最小限の対応しか行って
いない。問題が公になったときの“アリバイ作り”程度
の対策しか講じていないのだ」
データ・セキュリティは全社的な問題と認識する
調査会社の米国Enterprise Strategy Group(ESG)
は今年、大企業への聞き取り方式で、エンタープラ
イズ・セキュリティに関する調査を実施した(表1)。6
月下旬に公表された調査結果によると、調査に協力
した大企業102社のうち3分の1が、過去1年以内に
機密データの漏洩があったことを認めている。
また、ESGでは、回答者の58%が、機密データを
脅かす最大の要因は、社内の人間の意図的または過
失による情報漏洩であるとして、外部の攻撃からネッ
トワークを守るだけにとどまらない包括的なセキュリ
ティ・プロセスの必要性を訴えている。
ESGのアナリストで、上の調査リポートを作成した
ジョン・オルトシク(Jon Oltsik)氏は、「機密データや
知的財産(IP)の確認、保護、分類に関する問題を、
人々が認識し、それなりの努力と予算を投じようとす
る意思を持ち始めたことはよいニュースだ。しかしな
がら、その一方で、情報漏洩を防ぐ手段が、いまだ
にマニュアル・プロセスに依存しているのも事実だ」と
指摘する(なお、調査はデータ保護技術ベンダー、米
国Reconnexをスポンサーとして実施された)。
続いて同氏は、「多くの企業が、十分な対策をとっ
ているとの自信を抱いているようだ。だが、データ侵
害の痕跡やセキュリティ・プロセスの欠陥が次々に明
らかになっていることからすれば、そうした自信のほと
んどは幻想にすぎない」と切って捨て、こう分析して
みせる。
「実際に、どのようなタイプのデータが従業員のデ
スクトップやファイル・サーバに保管されているかを見
せてやれば、多くの企業は問題の大きさに驚愕する
はずだ。そうした問題を抱えている企業に共通してい
るのは、部門間の協調性が欠如しているということで
ある。セキュリティは、IT部門だけの問題でもなければ、
法務部門、あるいは事業部門だけの問題でもない。
人々が全社的な問題だと認識しないかぎり、状況が
改善することはないだろう」
現在、こうした問題の解決に携わっているITコン
サルタントたちは、「超優良企業と呼ばれる会社でさえ、
データ・セキュリティ問題の全体像を把握するのに四
調査対象:ReconnexがEnterprise Strategy Groupに委託し、世界で従業員1,000人から2万人以上を擁する大企業102社を対象に実施
32% 過去1年以内に機密データが漏洩したことがある
11% 情報漏洩が発生したかどうかわからない
58%機密データを脅かす最大の要因は、社内の人間の意図的または過失による情報漏洩である
70%3カ月または1カ月に1回のペースでデータ保護ポリシーの検討を行っている
90%今後1年の間に知的財産(IP)の保護に向けて新しい技術を導入する予定がある
*資料:米国Enterprise Strategy Group
表1:3社に1社が機密データの漏洩を経験
Computerworld February 200864
ITコンプライアンス[総点検]
│Part 4
│エンタープライズ・データを守り抜く
特集
苦八苦している」と証言する。
大企業が管理する情報は、近年、爆発的な勢いで
増加しつつあり、SOX法(米国企 業改 革法)や
HIPAA(医療保険の相互運用性と説明責任に関する
法律)などの成立が、その傾向にさらに拍車をかけて
いる。そしてそれに伴い、企業には、この問題を真正
面から見据えて、オペレーションに真の視認性を確立
する必要性が出てきた。
ITコンサルティング会社の米国Getronicsでシニア・
インフォメーション・リスク・ストラテジストを務めるス
ティーブ・スーザー(Steve Suther)氏は、この状況に、
「企業の多くは、いざとなれば高度なセキュリティ技
術を適用すれば済むと強気だが、オペレーションの視
認性を高めるツールの購入予算さえ十分に用意して
いないのに、果たしてそんな芸当が可能なのだろうか」
と、警鐘を鳴らす。
Suther氏は、Getronicsに入社する前はクレジッ
トカード大手の米国American Express(AMEX)で
情報セキュリティ管理ディレクターを務めていた。当
時の同氏にとって、データ・セキュリティは「巨大な問
題」だったという。AMEXの情報や記録にアクセスし
てくる数百万社の加盟店と円滑にビジネスを展開しつ
つ、顧客ならびに社内の情報を保護しなければなら
なかったからだ。
確かに、ビジネス・パートナーを監視するのは非常
に難しい。「情報リスク管理プログラムを強制するのが
最も困難な領域の1つは、まちがいなくサード・パーティ
だ。たとえ企業が社内で効果的なビジネス・プロセス
を立案し、その管理体制を構築することができたとし
ても、重要なデータに接触することが可能なサード・
パーティのプロセスまで詳細にチェックすることはで
きない」(Suther氏)からである。
ツールを活用しデータ保護戦略を再構築
データ・セキュリティを実現するうえで、越えるべき
ハードルの数は確かに多い。だが、企業ユーザーは
着実に前進し、データ・セキュリティの強化に役立つ
ツールやプロセスを発見しつつある。
米国の不動産ファイナンス・サービス・プロバイダー、
First Americanのソフトウェア開発担当バイスプレ
ジデント、ガス・テッパー(Gus Tepper)氏は、たとえ
一夜でセキュリティの悩みをすべて解決することは不
可能であるにしても、漸進的に改善することはできる
し、そうすべきだと指摘する。
そのための最初のステップは、個々の従業員が仕
事を遂行するうえでどのようなデータにアクセスする
必要があるかを特定し、人事異動があるたびに、イン
テリジェントなツールを用いて自動的にアクセス資格
の付与/取り消しを行うことである。こうした方法は、
定期的に大規模な人事異動が行われる従業員4万人
の大企業、First Americanでも有効であることが証
明されている。
「(ツールを使ってアクセス制御を自動化することに
よって)アクセスという面で、データの安全性を十分
に確保することができると考えている。問題の多くは、
ヒューマン・プロセスを巡って発生するからだ。アクセ
スを制御することで、脅威への対応を自動化し、脅
威を最小化することは、どんな企業にとっても重要だ」
(Tepper氏)
First Americanでは、従業員のノートPCが紛失
したり、盗難にあったりした場合でも、だれかが勝手
にデータにアクセスしたりすることのないよう、マシン
に暗号技術をインストールしている。また、オフサイト・
ロケーションでも、テープ・ドライブが盗まれた場合に
備えて同様のツールを採用しているほか、米国
Securent(米国Cisco Systemsが2007年11月に買収)
が開発した、データ・ガバナンスを支援するための資
格管理ソフトウェアも導入している。
First Americanにおけるアクセス制御の状況を、
Tepper氏は「われわれのように数百ものアプリケー
ションを利用し、部門をまたいだ人事異動を普通に
行っている大企業の場合、定期的に(アクセス権の)
クリーニング・アップをする必要がある。そしてそんな
環境では、一元的に管理できるツールがなければ、
アクセス権をトラッキングすることは不可能なのだ」と
説明し、こう続ける。
February 2008 Computerworld 65
「社外からのアクセスが可能であるかぎり、常に不
用意な情報流出に備えておく必要がある。われわれは、
そのためにセキュリティ技術を積極的に導入している。
セキュリティ技術を導入し、社内のアクセス権を制御
するためのプロセスを整備したことによって、状況は
大きく改善された」
同社はまた、2006年に初めてCISO(最高情報セキュ
リティ責任者)を雇い入れ、データ保護を経営戦略の
一環と位置づけた。
大企業の多くは、データ保護戦略を再構築するに
あたって、ゼロからスタートしたいと考えるものだ。だ
が、たとえそれが可能であったとしても、ゼロから万
全な情報保護体制を作り上げるのは容易なことでは
ない。
米国カリフォルニア州サンノゼに本部を置く小売
チェーン、Orchard Supply Hardware(OSH)は、
今から5年以内にチェーン店を全米展開する予定であ
り、同社CIO(最高情報責任者)のマーティ・ホゲット
(Marty Hodgett)氏は、その日に備えて本格的なIT
システムの構築に取り組んでいるところだ。
OSHが業務にワークステーションや新しいデータ
収集システムを組み込んだことについては、Hodgett
氏は「遅れて来た近代化だ」と笑うが、それでも機密
情報をガードしながら、顧客、従業員、供給業者に
関するデータの高度利用を可能にした点については、
みずから合格点をつける。
現在、OSH株のおよそ80%は小売り大手の米国
Searsが所有しているが、OSHはSearsからのスピン
オフを目指している。そして、そのためにも、ITの近
代化とともにデータ・セキュリティの確保が必要にな
るのだとHodgett氏は言う。
「われわれはこれまで、多くの分野でSearsに依存
してきた。しかし、今後は、財務、支払い、人事シス
テム、その他の点で自主性を発揮しつつ、全米に向
けてビジネスを展開していくことになる。現在は、そ
の方向で、いかにリスクを軽減できるかを検討してい
る最中だ。そんな状況の中で、すべてをゼロからスター
トするわけにはいかない。あらゆることを一気に推し
進めようとすれば、破綻することが目に見えているか
らだ。IT基盤の構築に関して言えば、さまざまな局
面で、データ・セキュリティをいかに確保するかがカ
ギになろう」(同氏)
専門家に聞く効果的な対策と戦略
およそエンタープライズ・セキュリティに関しては、
ハードウェア・メーカーからサービス・プロバイダーに
至るまで、戦略的アドバイスを提示してくれるベンダー
には事欠かない。その1社である米国Symantecで製
品管理担当シニア・ディレクターを務めるニック・メー
タ(Nick Mehta)氏は、データ・ディスカバリ・システ
ムとマルウェア対策アプリケーションを組み合わせる
ようアドバイスする。
Symantecのメッセージング・アーカイブ・ソフトウェ
ア「Enterprise Vault」の開発/マーケティング担当
チームを指揮する同氏は、「いかに防御を固めても、
それを突破する手段は必ず発見される。そして、デー
タは必ず盗まれる。だが、暗号の紛失やビジネス・プ
ロセスの違反といったことは、そういった問題を特定・
阻止する技術さえ導入すれば、ほとんど起こさずに済
むようになる」と説く。
一方、エンタープライズ・セキュリティに力を入れ
ているハードウェア・メーカーの代表としては、米国
Intelを挙げることができよう。同社は、最近発表し
た「インテル アクティブ・マネジメント・テクノロジー(イ
ンテルAMT)」など、新しいセキュリティ機能を積極
的に自社製品に搭載し始めているのだ。ちなみに、同
技術は、マルウェアやその他の攻撃によってクラッ
暗号の紛失やビジネス・プロセスの違反を特定・阻止する技術を導入する
保護すべきデータを分類し、リスク・レベルに応じてコントロールする
経営陣に対して新規投資の必要性を訴える際は真摯な姿勢で臨む3
2
1表2:データ保護対策の専門家が語る3つのポイント
Computerworld February 200866
ITコンプライアンス[総点検]
│Part 4
│エンタープライズ・データを守り抜く
特集
シュしたデバイスを、IT管理者がリモートから修復で
きるようにするものである。
そのIntelでITセキュリティ・ディレクターを務める
マルコム・ハーキンス(Malcolm Harkins)氏は、「IT
の運用レベルは徐々に改善されているが、情報の管
理・保護に関しては、これから先も常に改善し続けな
ければならない」とアドバイスしたうえで、「情報保護は
データの分類から始まるが、いったん分類してしまえ
ば、以後、それぞれのリスク・レベルに応じてコントロー
ルすることが可能になる」と指摘する。
また、データセンター向けのセキュリティやコンプラ
イアンス技術を提供する米国Impervaのゼネラル・マ
ネジャー、ロビン・マットロック(Robin Matlock)氏は、
これまでのセキュリティ投資の負担が、新しいツール
の有効性を経営陣に訴えるうえでの障害になっている
が、それを乗り越えるためにはIT部門の真摯な姿勢
が欠かせないとアドバイスする。
「過去10年から15年ほど、ユーザー企業はセキュリ
ティ問題を解決するためにさまざまな技術を導入して
きた。しかしながら、経営側は、それらのソリューショ
ンが必ずしも有効であったとは思っていない。そのた
め、最近は、セキュリティ関連の新規投資がなかなか
認められなくなってきている。こうした状況を打破す
るために、IT部門は経営陣に対して、問題の所在と
それを解決するための新しいオプションについて明確
に語る必要がある」(Matlock氏)
独立系調査機関の米国Enterprise Strategy Group(ESG)は先ご
ろ、大規模企業がビジネス・パートナーと共有している知的財産(IP)
および企業内情報の管理方法に関する調査リポートを発表した。
同調査は、109名の企業のセキュリティ専門家/担当者を対象に
行われたものである。調査を担当したESGのシニア・アナリスト、ジョ
ン・オルトシック(Jon Oltsik)氏は、「ビジネス・パートナーとIPを共有
する大規模企業は急増しているが、情報漏洩防止のプロセスを明確
化している企業は少ない」と警鐘を鳴らしている。
Oltsik氏は「安全な情報共有のポイントは、IPの的確な分類、アク
セス権の設定、ポリシーの順守である。これらを行ったうえで、だれ
がどの情報にアクセスしたのかをセキュリティ管理者が把握する必要
がある。これらを徹底させなければ、ヒューマン・エラーが起こる確
率は非常に高くなる」と指摘している。
調査の結果、92%の企業がビジネス・パートナーと情報を共有して
いることが明らかになった。内訳を見ると、大量の情報を共有してい
ると回答した企業は28%、適量の情報を共有していると回答した企
業は32%、共有している情報はごくわずかだと回答した企業は32%
だった。
また42%の企業がIPを複数の部門で分類/管理していると回答し
た。Oltsik氏は「複数の部門にまたがってIPが存在することは、(IPに
アクセスするための)明確なポリシー/プロセスがないことを意味して
いる」と語る。
Oltsik氏は、「ビジネスの要求は、しばしばセキュリティ上の懸念を
軽視する傾向がある。それは共有情報の量と種類、そして共有する
ビジネス・パートナーの数に反映されている」と指摘する。
実際、共有する情報をだれが選定しているかを質問したところ、ビ
ジネス・マネジャーに委ねていると回答した企業は20%、現場の担当
者だと回答した企業は27%に上った。一方、明文化されたプロセス
はないが、IT管理者、セキュリティ担当者を含めた組織が決定すると
回答した企業は27%だった。なお、情報共有のプロセスが確立され
ていると回答した企業は40%にとどまった。
導入している情報漏洩防止ツールは、60%がファイアウォールの
設置とアプリケーション・ログの監視を挙げている。以下、ネットワー
ク・デバイス・ログの監視(50%)、ネットワーク・トラフィックの監視
(45%)だった(複数回答)。また約40%の企業がセキュリティ・イベン
ト情報管理ツールを、17%の企業が専門の情報漏洩防止ツールを導
入していると回答した。
しかしOltsik氏は、「これらのツールを導入しても、セキュリティ担
当者が共有情報へのアクセスをすべて把握することは難しい」と語る。
同氏によると、約20%の企業が「いつ、だれが、どの情報にアクセス
したのかをすべて特定できる自信はない」と回答したという。
「ビジネス・パートナーとの情報共有は、ビジネスの観点から見て
有益であることが実証されている。今後も共有情報は増加し、その流
れを止めることはできないだろう。CIOに求められるのは、企業レベ
ルで共有プロセスを策定し、情報漏洩リスクを最小限に抑えることだ」
(Oltsik氏)
C O L U M N
企業間で共有される知的財産、セキュリティ対策は不十分Denise Dubie / Network World米国版
「企業レベルで共有プロセスを策定すべき」と専門家は指摘
February 2008 Computerworld 67
5Part
Product Review[コンプライアンス]注目の製品が備える機能・特徴をチェック
適切な職務分掌の設定を支援するアクセス管理ソフトウェア SAPジャパンの「SAP GRC Access Control」は、
同社の基幹業務アプリケーション「SAP ERP」におけ
るアクセス管理プロセスの自動化・効率化を図るソフ
トウェアである。コーポレート・ガバナンス、リスク・マ
ネジメント、コンプライアンスのための機能を包括的
に提供することを目的としたアプリケーション群「GRC
(Governance/Risk/Compliance)ソリューション」の
1製品として提供される。
SAP GRC Access Controlは、適切な職務分掌
ルールを定義し、システム内に正しい権限設定を行う
とともに、そうした状態を維持できるプロセスを確立
する。例えば、1人のユーザーが、仕入先情報を更新
する権限と、支払い処理を実行する権限の両方を
持った場合、架空の仕入先に対して架空の送金処理
を実行するといったリスクが生じる。同製品で適切な
職務分掌の設定を行うことで、そうしたリスクを回避
することが可能になる。
特権ユーザーによる代理処理リスクと緊急時の迅速な対応を両立 また、重要な業務の担当者が不在の際や緊急時な
どに、特権ユーザーが代理で重要な業務に関する処
理を実行するといった場合は、特権ユーザーによる
不正処理というリスクが生じ
る。SAP GRC Access Con
trolでは、そのリスクの低減
と緊急時の迅速な対応を両
立するために、代理処理用
のIDを発行し、そのIDによ
る作業履歴を記録するという
機能を備えている。
なお、SAP GRC Access
Controlは、以下の4つのア
プリケーションで構成されている。
■Compliance Calibrator
ERP内における職務分掌ルールの定義を効率化す
ることができるほか、職務分掌上の潜在リスクをリア
ルタイムに分析する機能を提供する。
■Role Expert
権限を設定するときに定義する「ロール(役割)」にお
いて、潜在的なリスクを含む権限が割り当てられてい
ないかどうかをチェックする。
■Fire Fighter
緊急処理を行うユーザーに対して代理処理用のID
を付与することで、特権ユーザーが緊急処理を実行
することを防止する。代理処理用のIDを使用した作
業については履歴が残される。
■Access Enforcer
ユーザー IDの新規申請や変更に関する承認プロ
セスを自動化する。加えて、ユーザーに割り当てる権
限が職務分掌上のリスクを含むかどうかをリアルタイ
ムでチェックする。
SAP GRC Access Controlアクセス管理ソフトウェア SAPジャパン
製品名 SAP GRC Access Control開発元 SAPジャパン価格 要問い合わせURL http://www.sap.com/japan/solutions/grc/accessandauthorization/
Spec Sheet
コンプライアンスの迅速な確立
リスク分析と改善
Get Clean
継続的なアクセス管理
リスク分析、改善、予防
職務分掌ルールのベストプラクティス
Stay Clean
監視・監査の管理
Stay in Control
ロール管理、職務分掌の設計・適用
ユーザー・プロビジョニング、不適切な職務分掌
の防止
特権ユーザー管理
定期的なアクセス・
レビューと監査
「SAP GRC Access Control」による適切なアクセス管理の維持
Computerworld編集部
Computerworld February 200868
ITコンプライアンス[総点検]
│Part 5
│Pr
od
uc
t Re
vie
w
[コンプライアンス]
特集
Webコンテンツプロテクター AE Ver.4.0Webブラウザプロテクター AE Ver.4.0
情報漏洩対策ソフトウェア NECソフト/野村総合研究所
Webに配信されるコンテンツを保護 NECソフトと野村総合研究所(NRI)が提供する
「Webコンテンツプロテクター AE Ver.4.0」および
「Webブラウザプロテクター AE Ver.4.0」は、インター
ネットで配信されるコンテンツの2次利用を防止する
情報漏洩対策ソフトウェアの最新版である。両社は、
2006年10月から両ソフトウェア・シリーズの共同販売
を行っている。
両製品は、情報漏洩の出口をふさぐことを目的とし
た従来の情報漏洩対策ソフトとは異なり、コンテンツ
そのものの2次利用を制限する点が最大の特徴だ。
Webコンテンツプロテクター AEは、インターネッ
ト上のWordやExcelファイルとPDFファイルに対し
て利用制限を加えることが可能である。Webブラウザ
プロテクター AEは、HTMLファイルやJPEG/GIF
などの画像ファイル、JavaScriptを利用したWebコ
ンテンツを対象に2次利用を防止する。
対象となるファイルやコンテンツをクライアントPC
にダウンロードして閲覧することは可能だが、両製品
を導入することにより、保存や印刷、画面キャプチャ
などの行為が禁止される。
また、ユーザーがメールにファイルを添付して転送
したり、USBメモリなどの外部デバイスを利用して持
ち出したりするケースや、P2Pファイル共有ソフトに
よるファイル流出が起こった場合でも、情報漏洩を
防ぐことができる。
最新版ではログ取得管理機能が追加され内部統制の確立を支援 最新版であるVer.4.0では、ログ取得管理機能を
新たに追加している。同機能を利用すると、ファイル
の参照や印刷、画面キャプチャといったユーザーの
操作情報が詳細に記録され、サーバで一元管理でき
るようになる。これにより、企業の内部統制確立を支
援する。
加えて、ファイルに対するセキュリティ攻撃の傾向
を分析したり、万が一ファイルが流出した際にも流出
経路を把握したりできるなど、ファイル/コンテンツ
の2次利用に関するトレーサビリティを実現している。
そのほか、オフライン状態でファイルが参照される
ようなことがあっても、参照回数や参照可能時間、印
刷、画面キャプチャなどに関し通常のオンライン状態
と同じように制御できる。これはクライアント端末ごと
に固有の暗号化を施すことで実現したという。
なお、Ver.4.0では、Windows Vista、「Microsoft
Office 2007」「Adobe Acrobat Reader 8」といった
最新の動作環境/ソフトウェアへの対応が図られて
いる。
Webコンテンツプロテクター AEによるファイルの保護イメージ
従来技術による保護範囲正規ユーザーに対して安全に情報を配布
Webコンテンツプロテクターによる保護範囲正規ユーザーに渡った後の情報を保護(2次利用を防止)
インターネット(イントラネット)
Webサーバファイアウォール/アクセス制御/VPN 正規ユーザー
プリント・アウト ダウンロード/ファイル保存
画面キャプチャ
認証されていないユーザーへの流出を阻止
製品名 Webコンテンツプロテクター AE Ver.4.0 Webブラウザプロテクター AE Ver.4.0開発元 NECソフト/野村総合研究所価格 要問い合わせURL http://www.necsoft.com/soft/wcp/
Spec Sheet
February 2008 Computerworld 69
Webコンテンツプロテクター AE Ver.4.0Webブラウザプロテクター AE Ver.4.0
ALogコンバータのタスク・フロー
クライアントPC 各対象サーバ ALogサーバ
21
3
4
ログ管理サーバ
ALogコンバータ
1 2 3 4
5
5
各ユーザーがサーバにアクセス
圧縮されたWindowsイベント・ログを中央に転送
集めたWindowsイベント・ログを整形処理して視覚化・コンパクト化
Windowsイベント・ログをサーバに圧縮してからいったん保存
DB化して検索追跡
一連の作業をすべて自動化
エージェントレスで安全・簡単なログ監査を実現 網屋の「ALogコンバータ」は、重要なデータが保管
されているファイル・サーバのアクセス・ログを一元的
に収集/管理するサーバ・アクセス・ログ監査ツール
である。大量のアクセス・ログをコンパクト化して保管
し、必要に応じて不審アクセスの追跡や特定ユーザー
の行動履歴などを抽出・検索することが可能となって
いる。同製品はWindows版のほか、NetAppやEMC
のファイル・サーバ用にカスタマイズしたNAS対応版
が用意されている。
主な特徴としては、設置モジュールがエージェント
レスのため、ファイル・サーバに常時負担をかけない
ことが挙げられる。また、設置環境に対する制約が
少なく、監査対象のファイル・サーバとALogサーバ
間でファイルを共有する環境を築くだけで、権限やイ
ンフラ環境の制約を受けることなく運用できる。さらに、
遠隔地にある複数台のファイル・サーバのログ収集も
1台の管理サーバで行うことができる。
一方、中央に集約されるログは、圧縮してから転
送されるため、帯域の細いWAN環境でも大規模な
サーバ環境でも、ネットワークに負荷をかけずにログ
を収集できるとしている。
複雑なログを整形し見やすくコンパクトに ALogコンバータでは、中央に集約させたログから、
ファイル・アクセスに必要なログのみを抽出し、ログ
内容を分析しながら整形出力処理を行う。イベント・
ログをアクセス・ログに整形処理した段階で、ログ内
容が整理される。これによって保管すべきログ容量が、
Windowsイベント・ログの約1/200〜1/1,000にまで
コンパクト化されるため、データ・ストレージ容量を大
幅に節約できる。なお、これら一連の作業はすべて
自動化することが可能だ。
出力されたアクセス・ログ履歴はデータベースに取
り込んで、特定の情報のみをWebブラウザを使って
検索/追跡することができる。また、必要に応じて不
審アクセスの追跡や、特定ユーザーの行動履歴など
を抽出・検索することも可能としている。
一方、大量に備蓄されたログは、長期にわたって
運用できるよう設計されている。例えば、整形したア
クセス・ログ・ファイルをCVSフォーマットとDBフォー
マットの2つに分けて保管することで、「大容量のログ
保管」と「高速なログ検索」を両立することができると
している。
製品名 ALogコンバータ開発元 網屋価格 「for Windows」:サーバ5台/ 98万円から 「for EMC / for NetApp」:サーバ1台/ 98万円からURL http://www.vmware.com/jp/products/vi/esx/
Spec Sheet
ALogコンバータログ監査ツール 網屋
Computerworld February 200870
ITコンプライアンス[総点検]
│Part 5
│Pr
od
uc
t Re
vie
w
[コンプライアンス]
特集
Internal Eyes内部統制支援ツール/サービス 富士通
80以上のIT機能要件を基に最適な内部統制支援を行う 富士通の「Internal Eyes」は、企業における内部
統制の不備改善と強化を支援するツール/サービス
群である。これらは、富士通が長年培ってきた内部
統制に関するノウハウの中から、内部統制の整備に
不可欠でかつITで支援可能な要件を抽出したものが
基になっている。例えば同社には、米国SOX法に対
応するためのコンサルティング・ノウハウのほか、長
年顧客企業の業務システムを構築・運用してきたこと
で得られたノウハウがある。
同社は、抽出された要件を機能ごとに振り分け、
80以上のIT機能要件にまとめている。これを基に内
部統制上の各要件に合ったITツール/サービスを提
供することで内部統制の強化を支援するのが
Internal Eyesである。
各種統制に対応した豊富なツール/サービス Internal Eyesでは、「業務プロセス統制」および「IT
全般統制」に対して、横断的あるいは個別に対応する
ための豊富なツール群を提供する。
例えば、「内部統制強化コンサルティング」は、内部
統制の文書化支援、有効性評価支援などを目的とし
たもので、企業プロジェクトの効率的・効果的な推進
を促す。「内部統制ライフサイクル・マネジメント・ソ
リューション for SOX」は、内部統制プロジェクトの
構築から運用までのライフサイクルの支援を目的とし
ており、内部監査向けの「PRODocumal」などのツー
ル群を提供する。これらはいずれも横断的な内部統
制に対応する。
一方、個別対応としては、「業務プロセス統制支援
ソリューション」と「IT全般統制支援ソリューション」が
あり、目的別にさまざまなツールが用意されている。
例えば前者では、統合業務パッケージ「GLOVIA」や
重要文書の改竄を防ぐ「Interstage帳票ソリューショ
ン」などがある。後者では、統合運用管理ソフトの
「Systemwalker」やRDBMSの「Symfoware」のほか、
COBITやITILなどに準拠した高信頼システムの導
入・運用を支援するツールなどがある。
また、内部統制を推進するための教育・研修サー
ビスなども用意されている。
なお、Internal Eyesの最新版ではいくつか機能強
化が図られている。例えば、富士通が策定した内部
統制基準を満たすツールに推奨マーク(Internal
Eyes)を付ける制度が新たに導入された。このマーク
を参照すれば、顧客は自社に最適なツールを迅速に
選択できるようになる。
また、要員育成のための教育・研修コースと内部統
制の整備に活用できる各種テンプレートをセットにし
た「文書化基本セット」が新たに提供されるほか、
PRODocumalに内部統制オプションが追加された。
内部統制を支援する「Internal Eyes」の構成
業務プロセス統制 IT全般統制
内部統制強化コンサルティング
内部統制ライフサイクル・マネジメント・ソリューション for SOX
インフラ最適化 TRIOLE
富士通データセンター
教育・研修サービス(eラーニング/集合研修)
業務プロセス統制支援ソリューション IT全般統制支援ソリューション
製品名 Internal Eyes開発元 富士通価格 要問い合わせURL http://segroup.fujitsu.com/internalcontrol/internalcontrol.html
Spec Sheet
未来的テクノロジーベスト10
February 2008 Computerworld 71
Computerworld米国版は先ごろの紙面で、「Computerworld Horizon Awards 2007」を発表した。今回で第3回目となる同アワードは、米国の研究機関やITベンダーのR&D(研究開発)部門などが、近い将来の実用化・製品化を目指して開発した最先端テクノロジーを読者に紹介すべく、2005年に創設されたものだ。本企画では2007年度の“受賞作品”を一挙に紹介する。最先端テクノロジーの開発者たちのコメントから、イノベーション創出の最前線、そして企業コンピューティングの明日を感じとっていただきたい。
Robert Mitchell / Drew Robb / Gary Anthes / Robert L. Scheier / Mark Hall
特別企画 効率、生産性、そして“人間のポテンシャル”を高める
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
Computerworld February 200872
未来的テクノロジーベスト10
特別企画
「Computerworld Horizon Awards」は、米国の
研究機関やITベンダーのR&D(研究開発)部門などが
近い将来の実用化・製品化を目指して開発中の最先
端テクノロジーをComputerworld米国版読者に紹介
することを目的として、2005年に創設されたアワード
である。
今回で第3回目となるHorizon Awards 2007も、
前回に引き続き、現在、企業のIT/IS部門が抱えて
いる課題やニーズにこたえる革新的なテクノロジー/
製品について、2007年4月からオンラインによるノミ
ネートを受け付けてきた。その際、以下の評価基準の
いずれかに該当するテクノロジー/製品であることを
条件とした。
●異なるシステムや離れた場所でのアプリケーション
統合を実現する
●遠隔地のチーム/ビジネス・ユニット間でコミュニ
ケーションやコラボレーションを実現する
●企業の情報資産に対するセキュリティを提供し、
従業員と顧客情報のプライバシーを保護する
●各種法規制に対応した情報の保管やディザスタ・
リカバリへの対応を支援する
●利便性の高いモバイル/ワイヤレス・コンピュー
ティング環境を提供する
●サプライチェーンにおける通信、物流経路、可視
化を改善する
●クライアントPC、ネットワーク、ストレージなどの
効率的な運用管理を提供する
●eコマースやWeb上でのサービス展開を管理し、
利益回収までを支援する
●膨大なデータ・ストアからビジネス・インテリジェン
ス(BI)を抽出し活用する
最先端テクノロジーを紹介するComputerworld Horizon Awards 2007
調査員:アナトール・ガーシュマン氏(カーネギー・メロン大学コンピュータ・サイエンス学部名誉教授)、ポール・ギリン氏(Paul Gillin Communications会長/ TechTarget創刊編集長/ Computerworld米国版元編集長)、ホセマリー・グリフィス氏(ノースカロライナ大学チャペルヒル校情報・図書館科学部 学部長兼教授)、デビッド・オレンスタイン氏(スタンフォード大学工学部広報担当マネジャー)、エド・シム氏
(ベンチャー・キャピタリスト/ Dawntreader Ventures設立メンバー兼マネージング・ディレクター)、ジェイ・スリニ氏
(ピッツバーグ大学医療センター エマージング・テクノロジー担当バイスプレジデント)
審査員:デニス・フィッシュバック氏(CalpineのCIO兼シニア・バイスプレジデント)、デービッド G.グリーンウッド氏
(Genworth Financial戦略テクノロジー/イノベーション担当バイスプレジデント)、ノーバート・J.クビルス氏(SunterraのCIO)、ウィリアム・エドワード・ペンス氏(ナプスター シニア・バイスプレジデント兼CTO)、ベス S.パールマン氏
(Constellation Energy GroupのCIO兼シニア・バイスプレジデント)、ラリー・クインラン氏(Deloitte & Touche USAのCIO)、ハリー・ロバーツ氏(Boscov’s Department Storeシニア・バイスプレジデント兼CIO)、デービッド N.サウル氏(State Street シニア・バイスプレジデント)、ゴードン D.ウイッション氏(ノートルダム大学CIO兼アソシエート・バイスプレジデント兼IT担当准学部長)
プログラム・コーディネーター:ゲーリー・アンテス氏、エレン・ファニング氏、マリ・キーフェ氏
「Computerworld Horizon Awards 2007」調査員・審査員の一覧
February 2008 Computerworld 73
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
●与えられた予算と期限内で高品質なアプリケー
ション開発を支援する
●ハードウェアやソフトウェアのアーキテクチャを根
本的に改善する
●ユーザーのイノベーションと生産性の向上を実現
する
これらの規準に沿ってノミネートされたテクノロ
ジーや製品は255件に及んだ。選考にあたっては、専
門家の協力を仰ぎ、すべての候補を6人の専門調査
員と9人の審査員から成る審査委員会で検討し採点
した。この評点を基に選出されたのが、本稿で紹介
する受賞テクノロジー10点である。
なお、受賞テクノロジーの選考、評価に貴重な時
間を割いてくれた調査員/審査員の顔ぶれは、72ペー
ジ下の一覧のとおりである。
最先端テクノロジーを紹介するComputerworld Horizon Awards 2007
英国Eleksen Groupは、2007年1月に米国ラスベ
ガスで開催された世界最大級の家電展示会「2007
International CES」で、Windows Vistaの「Windows
Sideshow」機能に対応したコンピュータ用補助ディス
プレイ「Wearable Display Module(WDM)」を発表
した。
このテクノロジーの中核を成すのは、バッグや衣服
などに装着できるファブリック(布地)素材の感圧コン
トロール・キーパッド「ElekTex」だ。ElekTexはすで
に商品化されており、携帯電話や音楽プレーヤのリ
モート・コントローラ機能を備えたバッグや衣服が提
供されている。
WDMの最大の特徴は、バッグなどの布地と一体
化した液晶ディスプレイに、ノートPCの情報を表示
できる点にある。具体的には、ノートPCの電源のオ
ン/オフにかかわらず、Windows Sideshowの各種
ガジェット(ミニ・アプリケーション)を使って、電子メー
ルのメッセージやスケジュールなどの情報を呼び出し
てWDMの液晶ディスプレイに表示する。また、
WDMとノートPCはワイヤレスで接続されるため、バッ
グからノートPCを取り出さなくても必要な情報をすば
やく確認できるという。対応プラットフォームは現時
点ではWindows Vistaのみだが、EleksenではMac
OS Xのサポートも計画中としている。
「WDMの最初の実装は、コントロール・ボタンと小
型のカラー液晶ディスプレイを埋め込んだノートPC
用のバッグになるだろう」と、Eleksenのマーケティン
グ/ビジネス開発担当バイスプレジデント、ジョン・コ
リンズ(John Collins)氏は語る。
同社は今後、より柔軟性の高い有機ELフレキシブ
ル・ディスプレイへの移行を進め、あらゆる布地に
WDMのモジュールを埋め込めるようにする方針だ。
「有機ELフレキシブル・ディスプレイを採用すれば、
ワイシャツの袖に埋め込んだWDMから会社の情報シ
ステムにアクセスして重要情報をチェックするといっ
たことが可能になる」と、Eleksenの製品管理担当バ
イスプレジデント、バシリス・セフェリディス(Vassilis
Seferidis)氏は説明する。
ElekTexの素材は、通常のナイロンとカーボンを含
浸させた特殊ナイロンの織物層でできており、自由に
折り曲げられるうえ、洗濯もできる。素材の性質上、
さまざまな布地に縫い付けたり接着したりすることが
でき、加熱溶着も可能となっている。
米国Goodhope Bagsは、パックに埋め込んだ
ElekTexのセンサーからiPodを操作できるオリジナル・
バッグを提供している。同社の国内販売担当マネ
バッグや衣服に装着可能なSideShow対応液晶ディスプレイ
Wearable Display Module●─英国Eleksen Group http://www.eleksen.com/
Computerworld February 200874
未来的テクノロジーベスト10
特別企画
ジャー、マーク・トレガー(Mark Treger)氏は、
ElekTexについて、「布地の上から縫い付けることが
できるので、とても使い勝手がよい」と評価している。
唯一の制約はコストだ。Collins氏の見積もりでは、
WDMを装着したノートPCバッグの価格は約200ド
ルになる。だがTreger氏によると、ElekTexのコス
トは1年前の半額程度にまで下がっているという。
「当社では、ElekTexを採用したBlackBerry用の
ファブリック・キーボードを販売しているが、昨年の
価格は169ドルだった。しかし現在は130ドル以下ま
で下がっており、クリスマス・シーズンのころには小売
店で80ドル程度で販売されているだろう」(Treger氏)
「ElekTexの開発と製造プロセスの完成には何年も
かかった」とCollins氏が語るように、Eleksenは家電
向けスマート・ファブリック・コントロール・キーパッド
の開発・製造でどのライバル・メーカーよりも先んじて
いる。米国Gartnerのアナリスト、レスリー・フィエリ
ング(Leslie Fiering)氏は、「適正な触覚フィードバッ
クを実現するキーパッドの製造方法を熟知しているこ
とがEleksenの強みだ」と指摘する。
Eleksenは今後、タップやポイントだけでなく複雑
な指先のジェスチャーも認識できるファブリック・ベー
スのタッチスクリーン・ディスプレイを開発する計画だ。
Seferidis氏によると、折り曲げが可能なタッチスクリー
ン・ディスプレイは今後2年以内に実用化される見込
みだという。「単に折り曲げられるだけでなく、布地と
いっしょに洗えるものを開発するのが目下の課題だ」
(同氏)
目の動きでコンピュータを操作。“視線”がマウスの代替に
EyePoint●─米国スタンフォード大学 http://www.stanford.edu/
写真1: Wearable Display Moduleが埋め込まれたノートPCバッグ。ノートPCをバッグの中に入れたまま、布状キーパッドのElekTexを操作して電子メール・メッセージやスケジュールなどの情報を液晶ディスプレイに表示することができる
コンピュータの処理性能の向上は、単に画像処理
の改善に寄与するだけでなく、コンピュータと人の新
しいインタラクション方法を切り開くこともある。スタ
ンフォード大学博士課程の研究者、マヌ・クマール
(Manu Kumar)氏が開発した「EyePoint」システムが
その一例だ。
EyePointは、コンピュータをマウスではなく、目で
操る新しいコンピュータ操作補助インタフェースで、
ユーザーの目の動きから要求される動作をソフトウェ
アと高解像度カメラ、赤外線搭載のモニタを使って
判別し、軽くキーに触れるだけで画面をスクロールし
たり、小さい文字を大きな字にして読みやすくしたり
することができる。
Kumar氏は、「コンピュータを視線で操作すること
で、ユーザーは従来よりもインテリジェントに、かつ
直感的に使いこなしているという感覚を得ることがで
February 2008 Computerworld 75
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
きる。EyePointを試用した多くのユーザーが、しば
しばコンピュータに考えを読まれている気がしたと報
告している」と語る。
具体的には、ブラウザの画面を見つめながら、キー
ボードの「ホット・キー」を押すと、見つめていた部分
が拡大表示される。また、拡大表示された部分の中
にあるリンクを見つめながらホット・キーを放すと、リ
ンク先のURLへと遷移する(画面1)。 何十年も前から存在する「アイ・トラッキング」と呼
ばれる視覚操作インタフェースは、一般にヘッドセッ
トやモニタ・フレームに組み込まれた赤外線装置を使
用する。ユーザーの瞳孔の動きを追跡して画面のど
の部分を見ているかを計算するわけだが、この方式で
はエラーが頻発するため、用途は主にキーボードやマ
ウスを使えない身体障害者に限定された。
従来のアイ・トラッキングの精度は視角にして約1
度とされた。1,280×1,024ピクセル、96dpiの画面を
約50センチ離れた距離から眺めた場合、この角度は
ユーザーの目の位置から任意の方向の33ピクセルの
幅に相当する。したがって、この方法ではURLリン
クをピンポイントできるような精度を十分に確保する
ことはできない。
「アイ・トラッキングは、つい5年前まで設計者でさ
え使いこなせない代物だった。しかし近年のコン
ピュータ処理性能の向上により、いよいよ次世代の
操作インタフェースとして実用化される可能性が出て
きた」と、マサチューセッツ工科大学(MIT)のメディア・
アート技術研究所准教授で、米国Context Aware
Computing研究所のディレクターを務めるテッド・セ
ルカー(Ted Selker)氏は指摘する。
また、タフツ大学コンピュータ・サイエンス学部教
授のRobert Jacob氏も、「コンピュータ補助操作イン
タフェースとして目の動きを活用するKumar氏のアプ
ローチは、正しい方向性と言えるだろう」と語る。
Selker氏は、アイ・トラッキングは今後5年以内に
標準的なコンピュータ操作補助インタフェースになる
かもしれないと予測し、当面の課題となる高額なハー
ドウェア・コストも、普及に伴う大量生産によって徐々
に下がっていくとの見通しを示している。
画面1: EyePointを使って、ブラウザの一部分を拡大表示した様子。ユーザーの目の動きから要求される動作を判別する同技術は、身体に障害を持つ人々がコンピュータを操作するための次世代補助インタフェースとして実用化が期待されている
SaaS形式でPC環境を提供するWebベースの次世代OS
G.ho.st●─G.ho.st(イスラエル) http://g.ho.st/
「G.ho.st(Global Hosted Operating System」(76ペー
ジの画面2)は、イスラエル・エルサレムの新興企業
G.ho.stが開発した、任意のクライアント・デバイスか
らWebブラウザ経由でのアクセスを可能にするホス
テッド型OSである。
同社CEOのズビ・シュライバー(Zvi Schreiber)
*資料:Stanford HCI Group
Computerworld February 200876
氏は、「G.ho.stは、昨今注目されているSaaS(Software
as a Service)の考え方を取り入れた次世代の仮想コ
ンピュータ(VC)サービスだ。Webブラウザ経由で提
供される同サービスは、貴重なアプリケーションやデー
タを1台の物理コンピュータに閉じこめる従来型のOS
モデルは時代遅れというわれわれの強い信念に基づ
いて開発されている」と語る。
G.ho.stの仮想OS環境では、アップグレードやパッ
チ適用といった作業が不要で、データは常にバック
アップされる。「G.ho.stの最大の売りは、デバイスを
自由に選べることにある。学校で複数のPCを使用し
ている若者も、機密情報を記録したノートPCをなる
べく外に持ち出したくないと考えているビジネス・パー
ソンも、G.ho.stを活用することで、任意の場所から
好きなデバイスを使って自分専用のコンピューティン
グ 環 境にアクセスすることが可 能になる」と、
Schreiber氏は力説する。
G.ho.stは、同社が運営する仮想コンピュータ内で
動作するアプリケーション・サービスとして無料で提
供される。Schreiber氏によると、サードパーティのサー
ビス・プロバイダーがユーザーに製品やサービスを販
売した際に発生する手数料が主な収益になるという。
G.ho.stは現在、アルファ版が一般公開されており、
Webサイト(http://g.ho.st/)で会員登録を済ませれ
ばだれでも利用できる。「まもなくベータ版をリリース
できる見込みだ。まだ完璧と言えないが、OSとして
より本格的に使えるようになっている」とSchreiber氏
は胸を張る。
G.ho.stユーザーは「Word」や「Excel」といったロー
カルへのインストールが必要なアプリケーションは使
えないが、「Google Docs & Spreadsheets」とのよう
なWebベースのアプリケーションを代替として利用す
ることができる。Schreiber氏は、来年中にもパートナー
を探してさまざまな人気デスクトップ・アプリケーショ
ンのWebホステッド版を開発し、ユーザーのデータを
G.ho.stの環境に移行させたい考えだ。
ミネソタ州パークラピッズ在住のカトリック司祭で、
自称「コンピュータ・ナード(オタク)」のリック・ボイド
(Rick Boyd)氏は、G.ho.stを使って毎日のように
Webブラウザのブックマークを管理したり、ホスティ
ングされたファイルやドキュメントにアクセスしている
という。同氏は、「場所を選ばず、どのコンピュータか
らでも自分のブックマークにアクセスできる点が気に
入っている」と述べたうえで、「何よりも、仮想デスクトッ
プであることが実に革新的だ」と語っている。
G.ho.stは、従来のデスクトップ・アプリケーション
の外観と機能を持つWebアプリケーションを開発/
配信するためのオープンソース・プラットフォーム
「OpenLaszlo」を用いて構築されている。なお、G.
ho.stは米国Amazon.comが提供する「Amazon Web
Services(AWS)」によってホスティングされている。
「OpenLaszloとAWSを使用しているとはいえ、
G.ho.stの開発者は、堅牢でセキュアなアーキテクチャ
の構築に向けて、相当な量のプログラムを書き、複
雑なシステム統合作業を行う必要があった」と
Schreiber氏は強調する。
なお、G.ho.stでは、一部の処理とメモリ使用をサー
バからクライアントに移すことでスケーラビリティの改
善を図っているという。
画面2: G.ho.stのデスクトップ画面。Webブラウザやメール・クライアント、ウィジェットなどの各種アプリケーションがあらかじめインストールされており、3GBのストレージを無料で利用できる。日本語も対応しており、ルック・アンド・フィールはWindowsなどのOSとほとんど変わらない
特別企画
未来的テクノロジーベスト10
February 2008 Computerworld 77
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
人の言葉をコンピュータが理解する形に変換できる自然言語処理技術
Streaming Logic●─Linguistic Agents(イスラエル) http://www.linguisticagents.com/
コンピュータが日常生活の中に入り込むにつれて、
人とマシンがよりスムーズに対話できる手段が必要に
なってくる。残念なことに、コンピュータは、人間と
同じ言葉を話すわけではないのだ。
エルサレムの株式非公開会社Linguistic Agentsは、
対話をより円滑にする「Streaming Logic」というテク
ノロジーを開発した。これは、自然言語をコンピュー
タが理解できる形式に変換するというもので、変換プ
ロセスには、言語学の理論とコンピュータのプログラ
ミング言語の両方の知識が応用されている。
「自然言語に関する最新の言語理論を実装し、この
抽象的な理論を一連の規則へと組み直すことを目指
てStreaming Logicを開発した」と、Linguistic
Agentsの創業者でCEOのサッソン・マーガリオット
(Sasson Margaliot)氏は語る。
Streaming Logicでは、自然言語を認識したうえ
で構文解析を行い、言語学者が「論理形式」と呼ぶ、
文が持つ意味の規則的表現を決定する。その後、他
のアプリケーションが理解できるように、XML形式に
変換するというプロセスを経る。
Margaliot氏とチーフ・サイエンティストのアレクサ
ンドル・デミドフ(Alexandre Demidov)氏の率いるチー
ムは、5年の歳月を費やしてStreaming Logicを開発
した。昨年末にベータ版をリリースするまで、5回の
失敗を経験したという。
このテクノロジーをMargaliot氏は、検索エンジン
の精度向上やオンライン広告の改良、リッチ・コンテ
ンツを用いたWebインタフェースの開発といった分野
から実用化に着手し始めている。将来的には、クエリ
を理解して応答するサービスや音声認識の精度向上
などへの応用も考えられるという。
「コンピュータに関する知識を持たないオンライン・
ユーザーがますます増えている。だが、彼らが何語を
話すとしても、データやアプリケーションとの対話は
避けられないのだ」と、米国マサチューセッツ州ケンブ
リッジのサプライチェーン・コンサルティング企業、
ChainLink ResearchのCEO、アン・グラッキン(Ann
図1: Streaming Logicによる自然言語からコンピュータ用言語への変換の仕組み
NanoSyntacticEngine
ALM
XML
(Advanced Language Machine)
自然言語によるユーザー入力を受け付ける
「NanoSyntactic Engine」で、入力された自然言語の構文解析を行う。
解析結果を構文ツリーに変換する
「ALM」で構文ツリーを意味表現に変換する。ここで、意味データベースを用いて不明瞭さを排除する
意味表現をXML形式に変換し、コンピュータが利用できる用意する
Computerworld February 200878
未来的テクノロジーベスト10
特別企画
Grackin)氏は語る。
自然言語処理は何年も前から存在するテクノロ
ジーだが、Grackin氏によると、Streaming Logicの
ユニークな点は、単語同士の関係を分析して論理形
式を決定する方法にあるという。その方法のおかげで、
論理形式とそれが持つ意味を、話者がどの言語で話
している場合でも同じものにできる。「言語構造に着目
すれば、ある言語から別の言語に移植することが可
能になる」と同氏。Linguistic Agentsは、意味デー
タベースを拡張して、言語を追加することを計画して
いるという。
今後、Streaming Logicは、ビジネス・インテリジェ
ンス(BI)やERPといったアプリケーションにも組み込
まれることになるだろう。自然言語をコンピュータ用
の言語に変換するこのソフトウェアは、ユーザーが使
う単語を事前に定義するための作業時間を減らせる
ことから、アプリケーション開発の簡素化に役立つは
ずだ。
「そろそろ、より直感的にソフトウェアと対話できる
ようにする時期に来ている。直感的な方法として、自
然言語よりもふさわしいものがあるだろうか」と
Margaliot氏は問いかける。
“スライス”したデータを分散保存して安全かつ安価なストレージ利用を可能に
Dispersed Storage●─米国Cleversafe http://www.cleversafe.org/
クリス・グラッドウィン(Chris Gladwin)氏は、20
04年に音楽サービス企業のMusicNowを米国Cir
cuit City Storesに売却した。その後、休暇をとった
同氏は、音楽と写真のデータを整理したところ、複数
のデータ・コピーを保存するときの従来の方法は、複
雑すぎてコストも高いと気づいたという。
そこでGladwin氏は、データを分割して複数のノー
ドに保存し、必要なときに再構築できるというアルゴ
リズムを開発した。昔からの発明家である同氏は、暗
号技術にも明るかったのだ。
同年の11月にGladwin氏が設立した米国Clever
safeは、その技術を商品化することを目的とした企業
である。同氏は現在、Cleversafeの会長兼CTO(最
高技術責任者)を務めている。
Gladwin氏のソフトウェアは「Dispersed Storage」
という名称で、データをいくつかの“スライス”に分割
して暗号化を施し、それぞれのスライスを複数のサー
バに分けて保存するというものだ。データセンター内
だけではなく、インターネット上に分散配置されたサー
バを保存先とすることもできる。以前、分散保存する
サーバ台数は11台までだったが、10月のバージョン
アップで8台、16台、32台、64台と柔軟に設定でき
るようになった。
保存されるスライスは、いずれも単独では有用な
データとして復元不可能にできるため、セキュリティ
面でも有効だとGladwin氏は語る。また、データの
復元は、すべてのスライスを集めなくても行うことが
でき、復元に必要なスライス数は任意に設定可能だ。
この特徴から、Dispersed Storageで構築するデータ・
グリッドは、信頼性の面でも非常に優れていると同氏
はアピールする。データ容量の増加への対応も、グリッ
ド内にサーバを追加するだけで済むため、拡張性も
万全だという。
Gladwin氏は、Dispersed Storageの最大のメリッ
トは、バックアップやアーカイブ、ディザスタ・リカバ
リのためのコピーを不要とすることでストレージ・コス
トを削減できる点だと語る。通常のコピーを行った場
合、コピーとオリジナル・データの容量比率は5対1も
しくは6対1となるようなケースでも、Dispersed Sto
rageを使えば、1.3対1以下にまで容量を抑えられる
February 2008 Computerworld 79
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
という。同ソフトは定価が定められていないが、「少な
くとも、保存データ総量の減少に比例したコスト削減
を期待できるだろう」(同氏)
Gladwin氏らは当初、ギガバイト・クラスのデータ
保存を想定していた。だが、現在はテラバイト、場合
によってはペタバイト・クラスの利用環境まで視野に
入れているという。最初は、バックアップ/アーカイ
ブ用のテープおよび光学ドライブからのリプレース需
要が見込まれる2次ストレージ市場にねらいを定める。
米国の市場調査会社Illuminataのアナリスト、ジョ
ン・ウェブスター(John Webster)氏は、Dispersed
Storageによるデータの分散保存は「ストレージ管理
者の日常業務の進め方を一変させる可能性がある」
と、同ソフトウェアを高く評価する。
図2:Dispersed Storageで構築するデータ・グリッド・インフラの例
ソース・コンピュータ
(iSCSIイニシエータ)
アクセサー(iSCSIターゲット)
スライスストア(ストレージ)
LAN/インターネット
LAN/インターネット
ソース・コンピュータは、iSCSIイニシエータとして機能し、アクセサー上にあるように見えるデータの操作や検索を行う。アクセサーは、ソース・コンピュータのドライブとしてマウントされる形になるが、実際のデータは複数のスライスストアに分割保存する
さまざまなシーンでの活用が期待されるインクを使わない印刷技術
ZINK Paper●─米国Zink Imaging http://www.zink.com
活版印刷技術の発明者として知られるヨハネス・
グーテンベルグであれば、米国マサチューセッツ州
ウォルサムにあるZink Imagingの面々を異端者と見
なしただろう。何しろ同社は、インクを使わない印刷
技術を発明し、1456年に初めて聖書が印刷機で刷ら
れて以来の印刷技術の基本要素を排除したのだ。ち
なみに「Zink」という社名は「zero ink」の略称だ。
「秘密は紙にある」と、ZinkのCTO、スティーブン・
ハーチェン(Stephen Herchen)氏は種を明かす。同
社の科学者らは、インクの代わりに印刷技術における
もう1人の主役である「紙」に着眼し、その非凡な能力
を授けたわけだ。
Zinkは1990年代に米国Polaroidの社内プロジェ
クトとしてスタートした。その後の2005年、同社は
Computerworld February 200880
未来的テクノロジーベスト10
特別企画
Zinkを完全な独立組織としてスピンアウトした。
Polaroidが考案し、Zinkが完成させたこのテクノ
ロジーは、無色の色素結晶が無数に並ぶ層の上にポ
リマー・コーティングを施した紙を用いている。色素
結晶を異なる温度かつ一定の間隔で加熱すると、さ
まざまな印刷装置で用いられるシアン、マゼンタ、イ
エロー、ブラックという色になって紙に溶け込むとい
う仕組みだ。このプリントの耐久性は高く、長期保存
にも適しているという。
今年初めにカリフォルニア州パームデザートで開催
されたコンファレンスでHerchen氏は、火をつけたマッ
チに白い紙をかざし、結晶が溶けてさまざまな色に変
化する様子を筆者に見せてくれた。
Herchen氏によると、この開発プロジェクトに参加
した化学者と物理学者は、Zink設立後に入社した者
も合わせて50名程度になるという。彼らは、長い試
行錯誤の期間を経て、紙の上でコントロールできる分
子の組み合わせを作り出すことに成功した。完成し
た成果物は、「外観も雰囲気も普通の写真と同じだっ
た」と同氏は振り返る。
この紙を使うことに付随するメリットがもう1つある
とHerchen氏は語る。それは、インク・カートリッジの
廃棄という環境に問題がある行為から、消費者が解
放されることだという。
米国IDCのアナリスト、ロン・グラーツ(Ron Glaz)
氏は、このテクノロジーの革新性は認めながらも、す
ぐに既存のプリンタに取って代わるとは考えていない。
「これは、ニッチ市場向けの製品だ」と同氏。
ZinkのCMO(マーケティング最高責任者)、スコット・
ウィッカー(Scott Wicker)氏は、Glaz氏の意見には
異を唱えないが、このテクノロジーのユニークな点は
「これまでは考えられなかったようなシチュエーション
で、印刷が可能になることだ」と指摘する。インク・カー
トリッジを使わないため、デジタル・カメラのような小
型デバイスにプリンタ機能を組み込めるというわけだ。
Wicker氏によると、同社で製造できる用紙サイズ
に制限があるわけではないが、今のところ市販されて
いるものは、2×3インチ(約5.1×7.6センチ)のサイズ
となっている。
写真2: Zink技術を実装することで撮影だけでなく、印刷も可能にしたデジタル・カメラ
あらゆる物にはり付けられ無線でデータを発信できる超小型のメモリ
Memory Spot●─米国HP Labs http://www.hpl.hp.com/
「Memory Spot」は、無線でデータを発信できる超
小型のメモリである(写真3-1)。サイズは2ミリ×4ミリ
角と小さいため、あらゆる物に張り付けたり埋め込ん
だりすることができ、無線ICタグ(RFID)の強化版の
ように機能する。
このメモリの発端となるアイデアは、1990年代後半
February 2008 Computerworld 81
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
に米国Hewlett-Packard(HP)研究部門「HP Labs」
で生まれた。同ラボの研究員が1インチ角の回路基板
を写真の裏にはり付け、画像に関係のある音を録音/
再生できることを示したのである。しかし、「オーディ
オ写真」と形容されたこのコンセプトは、名案ではあっ
たが実際には成功しなかった。
問題の1つは、回路基板の接点が壊れやいことだっ
た。米国カリフォルニア州パロアルトにあるHP Labs
でアソシエイト・ディレクターを務めるハワード・タウブ
(Howard Taub)氏は、「実装のしかたがまずかった」と
振り返る。
しかし、オーディオ写真が切り開いた道によって、
HPは昨年、Memory Spotにたどり着いた。
Memory Spotを発明したのは英国ブリストルにあ
るHP Labsのシニア・リサーチャー、ジョン・ウォーター
ズ(John Waters)氏。同氏の設計目標は、非常に小
型であまり電力を必要とせず、比較的高度なプロセッ
サを備えたデバイスを作ることだったという。
「難題はこれらすべてを統合することだった。昔は
“高速化、改良、低価格化——この3つのうち2つは
実現できる”と言われていた。だが今日の世の中では、
そのすべてが求められる」(Taub氏)
現行のMemory Spotチップは0.5MBのデータを
格納でき、内蔵アンテナを介して10Mbpsで読み書き
ができる。また、デジタル・マイクロプロセッサと無線
信号用のアナログ回路も備える。さらに、電磁場を介
してエネルギーを転送できる「誘導結合」と呼ばれる
作用で給電されるため、バッテリは不要だ。
Taub氏によると、現在、米国陸軍をはじめさまざ
写真3-1: 2ミリ×4ミリ角の超小型の無線データ・チップ「Memory Spot」(各鉛筆の中心にあるのが実物)
写真3-2:音や動画を記録できる写真や絵はがき、入院患者の医療データを記録できるリストバンドなど、Memory Spotの応用の幅は広い
Computerworld February 200882
未来的テクノロジーベスト10
特別企画
まな関係者がMemory Spotを評価中だ。用途は動
画付き絵はがきから超セキュアなパスポートやIDカー
ド、医療記録が添付された入院患者のリストバンドな
ど、多岐にわたるという(81ページの写真3-2)。
HPは、NFC(Near Field Communication)技術
の導入と標準化を推進する非営利組織「NFCフォー
ラム」と連携して、Memory Spotリーダーを携帯電話
に組み込めるか検討中だ。「例えば、Memory Spot
が埋め込まれた映画のポスターから、映画の予告編
を携帯電話に転送することもできるようになる」(Taub
氏)
米国カリフォルニア州サンノゼに本拠を置く
Creative Strategiesの社長、ティム・バジャリン(Tim
Bajarin)氏は、Memory Spotについて、「在庫などの
RFIDタイプの用途だけでなく、あらゆる種類のもの
に利用できる」と絶賛する。
Memory Spotは市場投入の準備がほぼ整ってい
る段階にある、とTaub氏。実は「商品化にかかわるビ
ジネス上の問題はテクノロジー上の問題よりも難しい」
(Taub氏)のだという。
グリッド対応サイト間での医用画像の準リアルタイム転送を可能にするプロジェクト
Globus Medicus●─米国南カリフォルニア大学 http://www.usc.edu/
「Globus Medicus」(注1)は、グリッド・コンピューティ
ングを利用して、CT画像やMRI画像などを、医療セ
ンター間で準リアルタイムにやり取りすることを可能
にしたプロジェクトである。Globusとは、米国南カリフォ
ルニア大学(USC)などが設立したグリッド向けソフト
ウェアの開発団体であり、オープンソースのグリッド・
コンピューティング・ミドルウェア「Globus Tolkit」の
開発で知られる。Medicusプロジェクトは、このGlo
bus Tolkitを用いて開発された。
具体的には、医用画像の標準規格であるDICOM
(Digital Imaging and Communication in Medi
cine)準拠の画像を医療センター間で自在にやり取り
するため、画像データの転送や管理などを担うGlo
bus Toolkitの各コンポーネントを「DICOM Grid In
terface Service」で統合(DICOMドメインとGridド
メインを橋渡し)する構造になっている(図3)。
Medicusを利用することで、例えば医師は、セカン
ド・オピニオンが必要な患者の画像をほかの地域にい
る専門家たちと直ちに共有できるようになる。従来の
方法では、ネットワーク速度や、各病院が保有するシ
ステムの互換性の問題などによって、大量のファイル
の遠隔共有はほぼ不可能だった。
英国の調査会社Quocircaのビジネス・プロセス分
析担当サービス・ディレクター、クライブ・ロングボト
ム(Clive Longbottom)氏は、「アクティブな3Dグラ
フィックスを必要な場所で見ることができれば、可能
な限り速やかに正しい診断を下せるようになる」と語
る。そして、それを可能にするのがグリッドであると
指摘し、「グリッドは従来のスーパーコンピュータより
も格段に高いリソース能力を格段に低いコストで提供
する」(同氏)と続ける。
Medicusプロジェクトのリーダーで、USCロサンゼ
ルス小児病院の放射線医学/生体工学担当助教授、
スティーブン G.エルベリック(Stephan G. Erberich)
氏は、「Medicusではさらに、DICOM準拠の画像を
グリッドを使って配布・検索することを可能にした」と
説明する。認定ユーザーはシステム上にある患者の
任意のファイルに対して、条件付きでアクセスできる。
同プロジェクトは2003年にスタートし、41の医療セ
ンターが参加するに至った。まもなく小児がん研究グ
注1: Medicusは「Medical Imaging and Computing for Unif ied Information Sharing」の略
February 2008 Computerworld 83
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
ループの230のセンターすべてを網羅する予定だ(米
国およびカナダ)。
当初の開発者の1人であるErberich氏によると、
同プロジェクトは当初、いくつかの課題を抱えていた
という。例えば、患者が画像へのアクセスを管理でき
るセキュリティ・システムを開発する必要があった。
また、さまざまな研究センターが保有するシステム
間の障壁を取り除くことも不可欠だった。「Medicus
は医療技術の縦割り構造を乗り越えた」とErberich
氏。今では、「放射線医師はグリッド越しに医用画像
を入手し、その数日後ではなく数分後には診断報告
を行えるようになった」(同氏)という。
図3:Globus Medicusの構成
Globus MyProxy
DICOM GridInterface Serviceユーザー認証と
承認組織間における
シングル・サインオンの確立
放射線医師
DICOM機器
DICOM準拠画像
DICOM準拠画像のやり取り
データの記録と転送
GlobusGridFTP
GlobusRLS
記録データのマッピング
GlobusOGSA-DAI
データ・アクセス
SQLデータベース
Globus GridShibInternet2 Shibboleth
組み込みシステムで使用可能なメモリ容量を倍増するメモリ圧縮技術
CRAMES●─米国ノースウェスタン大学 http://www.northwestern.edu/
モバイル・デバイスは、小型であるがゆえに搭載す
るメモリ容量が本質的に制限され、実行できるアプリ
ケーションも制約される。
「モバイル・デバイスは、小型化に加えて低消費電
力化も求められる。そのため、メモリ容量は常に制限
される」と、無線/モバイル関連のコンサルティング
●─米国NEC研究所 http://www.nec-labs.com/
Computerworld February 200884
未来的テクノロジーベスト10
特別企画
会社米国Farpoint Groupの社長で、Computerwo
rld米国版のコラムニストを務めるクレイグ・マサイア
ス(Craig Mathias)氏は語る。「メモリ圧縮技術は、
既存ストレージの利用効率を高め、メモリ容量を有効
活用することに役立つ」(同氏)
NECは2007年夏、携帯電話の「N904i」に搭載す
る「CRAMES(Compressed RAM for Embedded
Systems)」という新しいメモリ圧縮技術を開発した(写真4)。CRAMESは、ソフトウェア的にデータ圧縮を
実行することで、メモリの利用効率を倍以上に高める
ことが可能な技術である。加えて、低消費電力化を
図り、パフォーマンス・ロスは2.7%に抑制している。
NECの研究部門である米国NEC研究所は、8年
前にメモリ圧縮技術の研究開発を始めた。2004年に
は、研究所のコンサルタント、ハリス・レカツサス(Haris
Lekatsas)氏と部門長のシュリマート・チャクラダール
(Srimat Chakradhar)氏は、メモリ圧縮技術のOS
への統合を検討しだした。
一方、CRAMES自体は、米国ノースウェスタン大
学の大学院生、レイ・ヤン(Lei Yang)氏と、同氏の
研究顧問である助教授のロバート P.ディック(Robert
P. Dick)氏により開発された。「(CRAMESは)メモリ
の特定領域を透過的に圧縮/伸張して、組み込みア
プリケーションのメモリ・フットプリントを劇的に縮小
する技術だ」とDick氏は語る。「オンライン圧縮/伸張
をすべてソフトウェア的に処理することで、ハードウェ
ア・プラットフォームの再設計を回避できる」(同氏)
Dick氏によると、さまざまな研究者がこれまでも圧
縮ソフトウェアの利用を試みてきたが、圧縮ソフトは
消費電力が高いうえに、パフォーマンスにも影響が出
てくるため、モバイル・デバイスでの利用は避けられ
ていた。ノースウェスタン大学の開発チームは、多く
のメモリが必要となるアプリケーションにおいても、低
消費電力での稼働を実現する研究開発を進めていた。
開発チームは、圧縮されたメモリを管理するために、
Linuxカーネルのスワッピング・メカニズムを用いて、
圧縮すべき記憶領域を決定することにした。開発当
初は、定評のあるLZO圧縮アルゴリズムを用いるこ
とで、パフォーマンス・ロスを10%程度に抑えること
に成功した。しかし、より低いパフォーマンス・ロスを
目指し、開発チームは「PBPM(Partial Based
Partial Match)」と呼ばれる新たな圧縮アルゴリズム
を開発した。
さらに開発チームは、メモリ不足のときのみデータ
を圧縮する技術や、記憶領域の断片化を解消する新
しいメモリ管理技術、必要に応じて消滅プロセスを削
除可能にするLinuxカーネルの採用など、当初開発
したCRAMESに対して段階的に改良を加えている。
これらにより、消費電力の低減とパフォーマンス・ロ
スを2.7%へ抑制することに成功したという。
Dick氏は、「組み込みシステムの設計者、特に携帯
電話やPDAの設計者は、競争力を維持するために、
より多くの機能をデバイスへ毎年搭載していく必要が
ある」と語る。「CRAMESにより、NECは、ハードウェ
アの設計サイクルに依存せず、より多くの機能をデバ
イスに搭載することができ、増大する新たなメモリ需
要に対応することができる」(同氏)
写真4:CRAMESを搭載するNEC製携帯電話「N904i」
February 2008 Computerworld 85
C o m p u t e r w o r l d H o r i z o n A w a r d s 2 0 0 7
オンライン取引の安全性を保証する“IDパスポート”を発行
Norton Identity Client●─米国Symantec http://www.symantec.com/
米国Symantecの「Norton Identity Client」(画面3)は、電子商取引の安全性を保証する証明書を
サービス利用者に発行することで、安全・簡単に決
済が行えるよう支援するソフトウェアである。特徴は、
ユーザーが電子商取引サービスにアクセスする際に
用いるパスワードやプロトコルといった個人情報(ID)
を管理するための共通インタフェースを提供すること
にある。
Symantecのアーキテクチャ/戦略担当シニア・ディ
レクター、ティム・ブラウン(Tim Brown)氏は、「企業
は電子商取引において顧客に関する基本的属性を確
認しなければならない。一方、顧客も取り引きの前に
信用できるサイトかどうかを確認する必要がある」と指
摘する。
Brown氏によると、Norton Identity Clientの開
発にあたっては、できるだけたくさんの種類の認証プ
ロトコルをサポートするよう配慮したという。
「極力シンプルなインタフェースでユーザーとシステ
ムをつなぎ、オンライン上でビジネスを安全に進める
うえで欠かせない機能を提供することを目標とした」
(同氏)
Norton Identity Clientの最初のバージョンでは、
同社の調査研究機関である「Symantec Security Re
sponse」が収集したデータに基づき、各Webサイトの
評判や信頼度に関する情報をユーザーに提供する計
画だ。ユーザーはそれを受けてどのような情報を相手
に開示するかを決められるようになり、信頼度の低い
サイトで買物をしなければならない場合は、Sym
antecが発行する1度しか利用できないクレジットカー
ド番号を使用することで金銭的リスクを最小限にとど
めることができるという。また、子供が利用できるコ
ンテンツを制限する保護者機能や、年齢や所属組織
といった他のID情報の認証もサポートする予定とし
ている。
Norton Identity Clientは、激しい規格争いが繰
り広げられるID管理分野において「スイスのような中
立的存在だ」と、米国ボストンの調査会社、Yankee
Group Researchのアナリスト、アンドリュー・ジャクィ
ス(Andrew Jaquith)氏は指摘する。
同氏によると、Norton Identity Clientは、Micro
softのID管理技術「Windows CardSpace」や標準化
団体Liberty Alliance Projectの認証技術、URL
をIDとして利用する認証プロトコル「OpenID」など、
多種多様な認証プロトコルと連携するので、ユーザー
は認証された自分のIDを1カ所で管理できるようにな
るという。
Symantecは、今後1〜2年かけてNorton Identity
Clientを全世界で展開していく計画だ。同社では、
正式なパートナーシップを交わしていなくても、Nor
ton Identity Clientは大半のWebサイトに対応する
予定としている。
画面3:Norton Identity Clientの画面
「話題の製品の機能を詳しく知りたい」「自社では、どのような技術を使うのが最適なのだろうか」──企業において技術や製品の選択を行う「テクノロジー・リーダー」の悩みは尽きない。そこで、本コーナー[テクノロジー・フォーカス]では、毎号、各IT分野において注目したい製品や技術をピックアップし、その詳細を解説する。
[テクノロジー・フォーカス]
Storages[ストレージ]
TechnologyFocus
ディザスタ・リカバリの迷路を解く
February 2008 Computerworld 87
Computerworld February 200888
Technology Focus
こうした状況に対応するため、さまざまな方法を企
業は模索するようになった。例えば、一部の企業では、
緊急時にCPUリソースをすばやく移転できるディザス
タ・リカバリ・ホット・サイトの運営を外部パートナーに
委託している。しかし、最近では、リカバリ・サイトの
外部委託を止め、社内で対応するべきだと考える企
業が増加してきている。
マサチューセッツ工科大学(MIT)のCIO、ジェリー・
グロチョウ(Jerry Grochow)氏は、ディザスタ・リカ
バリの問題点を次のように説明する。「あるアプリケー
ションを利用するために必要な機器の数を調べてみる
と、10台以上もあった。しかし、そういったことは別
に珍しくもない。SAPアプリケーションのプログラマー
に、『復旧するにはどのマシンが必要か』と聞いても、
おそらく明確な答えは返ってこないだろう。なぜなら、
認証サーバが稼働しなければ、ユーザーはログオンさ
えできないという事実をプログラマーは知らないし、
そのサーバが別のデータセンターにあることも知らな
いからだ」
もはや企業のIT資産は、IT部門でコントロールし
きれなくなってきた。Grochow氏は以前、証券会社
に勤めていたが、その会社では外部の契約業者40社
複雑さをきわめる今日のディザスタ・リカバリ計画
昔はよかった。ITマネジャーにとってディザスタ・
リカバリ(災害復旧)計画の立案は、さほど難しい仕事
ではなかったからだ。毎晩、あるいは週末ごとに、メ
インフレームのデータをテープ・ストレージへバック
アップすれば済んでいた。
几帳面な性格なら、テープをオフサイトへ移したり、
不測の事態を想定して別のデータセンターを立ち上
げたりしたかもしれないが、それで十分だった。ディ
ザスタ・リカバリ・テストを実施するにしても、テープ
を取り寄せ、データを正確に読み取れるかどうかを
チェックするだけであった。
しかし、コンピュータの分散化やネットワーク化、
異なるハードウェア・システムの混在、さまざまなOS
の利用、仮想化技術の導入など、ITシステムを取り
巻く環境はここ数年で複雑さを増している。そのため、
現在、ディザスタ・リカバリ計画を立案・テストするこ
とは、さまざまな要素が絡み合い、非常に困難である。
IT管理者が毎晩安心してベットに向かうことは、ほと
んど不可能になりつつある。
S災害時でもビジネスを継続するためには、ディザスタ・リカバリ(災害復旧)として、バックアップ・サイトの構築が不可欠である。特に近年、企業はITシステムの停止による甚大な損失を目の当たりにして、ディザスタ・リカバリを重く受け止めるようになってきた。しかし、サーバ仮想化に代表される新技術が、企業のIT環境を効率化する一方で、システムの複雑化を招いている側面もある。そのため、自社に合ったディザスタ・リカバリ体制を整えることは容易ではないのが現状である。本稿では、実際に企業がどのようにディザスタ・リカバリを講じているのか、実例を交えて解説する。
Gary AnthesComputerworld米国版
torages[ストレージ]
ディザスタ・リカバリの迷路を解く複雑な状況の中、自社にとってのベスト・プランにたどり着くためには
February 2008 Computerworld 89
StoragesStorages
された」とMueller氏は語る。
Mueller氏によれば、新しいデータセンターの構築
には莫大なコストを費やしたが、その分満足のいく施
設を構築できたという。2カ所のデータセンターは、
冗長化された光ファイバ回線や電話システムで結ば
れ、メインフレームの相互バックアップが行われる。「わ
れわれは、顧客をサポートするサプライチェーンや当
社のIT環境に対し、リスクを勘案して大規模な投資
を決断したが、その方向性に間違いはなかった」
(Mueller氏)
Schneiderの投資はデータセンターの構築だけにと
からさまざまなデータが自動的に送られてきていた。
金融機関などではこのような外部機関との接続が100
件を超えるところもある。「自動的に送られてくるデー
タが複雑に絡み合っている場合、どのようにデータ処
理アプリケーションをリカバリすればよいというのか」
と、同氏はシステムの高度化がもたらすディザスタ・リ
カバリの難しさを指摘している。
システムが高度化しアウトソーシングが困難に
ウィスコンシン州グリーンベイのトラック輸送会社、
Schneider Nationalは、以前、ディザスタ・リカバリ・
ホット・サイトを提供するサービス・プロバイダーと契
約していた。しかし、最近、自社で2つ目となるデータ
センターをディザスタ・リカバリ・サイトとして構築した。
Schneiderの技術サービス担当バイスプレジデント
であるポール・ミューラー(Paul Mueller)氏は、「シス
テムが複雑になればなるほど、プロバイダーが提供す
るホット・サイトでの復旧は困難になる」と語る。
Schneiderが運用していたシステム環境をアウト
ソーシングにより再現することは難しく、そのため同
社が実施していた半期ごとのディザスタ・リカバリ・テ
ストでは、必ずしも満足のいく結果を得られなかった
という。「テストを実施すると、テープが修正されてい
ないといった問題が毎回発生した。リストアできるか
どうかは、ハードウェアやOSの構成などに常に左右
リカバリ・サイトの自社構築傾向が強まる─ガートナーが指摘COLUMN 1
米国Gartnerが発表したリポートによると、ディザスタ・リカバリにアウトソーシングを活用していた大手企業が、ここにきて自社でディザスタ・リカバリ・サイトを構築する傾向が強まってきたという。それには以下の4つが大きな理由として挙げられると、Gartnerは指摘している。
①復旧までの時間を24時間以内、できれば4時間以内に短縮したいという考え②顧客自身のデータセンターからアウトソースしたディザスタ・リカバリ・
サイトまでの距離が遠いことによる、移動コスト/時間の浪費③3年から5年という長期契約が前提④柔軟性に欠けるテスト・オプションとテスト環境
一方でGartnerは、サービス・プロバイダーとの契約を解除する前に、人員や機材、電力消費量、冗長性、ディザスタ・リカバリの専門性などに関して、自社のニーズに過剰な点はないかどうかを再点検してみることも重要だとアドバイスしている。
画面1:�代表的なサーバ仮想化ソフト「VMware�ESX�Server」。サーバ統合が進み効率化が図られる反面、ディザスタ・リカバリは複雑なものとなってしまう
Computerworld February 200890
Technology Focus
プグレードする必要はない」とDowd氏は説明してい
る。
仮想化がディザスタ・リカバリを複雑に
テキサス州リチャードソンの冷暖房システム・ベン
ダー、Lennox InternationalのCIOであるロッド・フ
ローリー(Rod Flory)氏は、サーバの効率性と柔軟
性を高めるために、サーバ仮想化ソフトウェアを導入
した。しかし、それが逆にディザスタ・リカバリを困難
にしたという。
「VMwareの導入により、サーバを増設しなくても、
メモリやCPUを変更するだけで柔軟にサーバ・プラッ
トフォームを強化することが可能になった。しかし、
その結果、四半期ごとにわれわれのシステム環境は
変化するようになった。そうした変化にホット・サイト
を追随させることは非常に困難だ」とFlory氏は説明
する。
同社はディザスタ・リカバリ・テストを毎年行ってお
り、「5人のスタッフを数週間専任させるなど、1つのプ
ロジェクトと言えるほどの規模でディザスタ・リカバリ・
テストを実行している」(Flory氏)。ディザスタ・リカバ
リ・テストは現状、問題なく完了しているが、同社はディ
ザスタ・リカバリ専門業者へのテスト委託を将来的に
検討している。「鳥インフルエンザのような状況がある
かもしれない。ディザスタ・リカバリを知っている人間
が5,6人いたとしても、全員がダウンしてしまう事態も
想定できる」(同氏)
また、Lennoxのシステムはこれまで本社に一元化
されてきたが、最近では電子メールやCADといった
複数の機能が、ディザスタ・リカバリが考慮されてい
ないリモート・サイトのサーバへ分散化されつつあると
いう。
本社のディザスタ・リカバリ対策に、こうしたリモー
ト・サイトを組み込むことは容易ではない。それぞれ
のサイトが、必ずしも本社と同じシステムを運用して
いるわけではないからだ。「システム構成は各サイトご
どまらず、コンサルタントの助けを借りて、70人のマ
ネジャーと一部の有力顧客にインタビューを行った。
それにより、システム停止を引き起こす条件や時間ご
との推定損失額、各マネジャーが目指すリカバリ・タ
イムを把握することができたという。
「それらをアセスメント文書にまとめ、データセンター
がダウンしたときのダメージがどれほどの規模かを示
せれば、非常に説得力を持った情報となる」と
Mueller氏は述べている。
アリゾナ州テンペのSonora Quest Laboratories
のCIO、ボブ・ドウド(Bob Dowd)氏は、ディザスタ・
リカバリとして完全に冗長化したホット・サイトを構築
する余裕はないが、災害回避のための対策はいくつ
か講じていると語る。同社は、夜間に患者2万人の医
療検査を行い、翌朝、医師へ検査結果を届けている。
このような高度に自動化されたプロセスにおいて、長
時間にわたってシステムが停止すれば、ビジネスに甚
大な被害が出ることは容易に想像できる。
「われわれはコンピュータ・ルームを強化し、可能な
限り冗長性を高めた。たとえ1つのノードがダウンして
も、瞬時に別のノードがフェールオーバする」とDowd
氏。テンペのデータセンターは、冗長ディスクと2つ
のネットワーク・コアを持ち、単一障害点がない。加
えて、1日2回のバックアップを実行し、1回目はサー
バへ、2回目はテープに格納してオフサイトへ送って
いる。
それでもDowd氏は、データセンターがフェニック
ス空港の滑走路の突端近くに立地することを懸念し
ている。しなしながら同氏は、安全性を確保しつつ、
安価な方法でリモート・サイトへのバックアップを実
現する手法を考案している。
テンペでは、研究用システムのテスト環境にデータ
センターの一部を割り当てているが、実質的にそれは
本番環境をスケール・ダウンした環境と同じである。
それをアリゾナ州ツーソンのラボに移動すれば、テン
ペのバックアップ・サイトとして利用することが可能に
なるという。「あくまで事業を支援するバックアップ・
サイトという位置づけであるため、必ずしも頻繁にアッ
February 2008 Computerworld 91
StoragesStorages
こうした体制を実現すれば、ディザスタ・リカバリ
の面倒なテストも不要になる。なぜなら各サイトは常
時稼働しており、基幹系アプリケーションは2カ所以
上で実行されているため、事実上、毎日テストを行っ
ているようなものだからだ。「この手法を利用すれば、
たとえ何か障害が発生したとしても、完全なお手上げ
状態にはならないだろう」とGrochow氏は語る。「逆に、
アーキテクチャに致命的な単一障害点が多く存在す
るのであれば、詳細なディザスタ・リカバリ対策を構
築しなければならない」(同氏)
また、Grochow氏は、「ディザスタ・リカバリのコン
セプトは変わりつつある」と分析している。「われわれ
のシステムは複雑になりすぎて、災害時にサードパー
ティの提供するホット・サイトを利用することが、もは
やできなくなった」と語り、現在ディザスタ・リカバリ・
サイトを構築するには、自社で対応する必要があると
の考えを示している。
とに異なる。Dellのサーバを利用しているところもあ
れば、IBMのサーバを導入しているところもある。主
要な15ないし20拠点を見ても、共通のアーキテクチャ
がまったく存在しない」とFlory氏は言う。
Lennoxでは今後、リモート・サイトを共通アーキテ
クチャへ移行させる考えだが、実現までにはまだ時間
がかかるだろう。
一方、MITでは、2カ所のキャンパス内データセン
ターに加え、さらに2カ所の賃貸施設を補完的にディ
ザスタ・リカバリ・サイトとして運用する考えだと、
Grochow氏は述べている。
それら4カ所のデータセンターは、すべてを常時稼
働させ、少なくとも2カ所で基幹系アプリケーションを
同時に実行する計画である。しかし、キャパシティが
多すぎたり、過度に冗長化されているわけではないた
め、維持費はそれほどかからないと、Grochow氏は
説明する。
ディザスタ・リカバリを容易にする3つの要素COLUMN 2
「私はITに33年間かかわってきたが、ディザスタ・リカバリが困難になったとは決して思わない」と語るのは、ミネアポリスの医療保険会社、UnitedHealth Group InternationalのCIO、ロッド・ハミルトン(Rod Hamilton)氏だ。 企業によって使用アプリケーションやIT環境、ビジネス・ニーズは大きく異なるが、次に示す3つの要素がディザスタ・リカバリを容易にしていると、Hamilton氏は語る。
①通信コストの劇的な低減 「35年前、インターネットは存在しなかった。そのため、2カ所のサイトを接続するには莫大なコストがかかった」とHamilton氏は語る。「現在、リモート・サイトに対するリアルタイムのバックアップは、経済的に何の問題もなく実現できる」
②業務プロセスのアウトソーシング/オフショアリング Hamilton氏は、業務プロセスをオフショアに移すためにはプロセスの移植性を高める必要があるとする。そして、移植性を高めればディザスタ・リカバリも容易になるという。
③Webベース・アプリケーション Webベース・アプリケーションの増加も重要である。なぜなら、インター
ネットを経由して、ユーザーや開発者があらゆる場所からアプリケーションにアクセスできるようになるからだ。Hamilton氏によると、従来、同社のマイアミ・オペレーション・センターは、ハリケーンが襲来するたびにシャットダウンを余儀なくされてきたという。 しかし、現在では、Webベース・アプリケーションを利用することで、従業員が自宅から仕事をできるようになった。「リダイレクトすれば、バックエンドをどこへでも移すことができ、インターネット上のユーザーはそれに気づくことさえない」と同氏は言う。 Hamilton氏はまた、Webベースのサービスを利用することで、負担の大きなユーザー・サポートやデスクトップ・システムの修復作業から解放されると語る。個々のクライアントにアプリケーションをインストールしなくても、Webポータル経由で必要な機能をクライアントに提供することができるからだ。
「私はアプリケーション開発の革命的な変化を経験してきた。伝統的なメインフレーム・システムでは、中央からのサポートが要求されたが、その分デスクトップ側では何もする必要がなかった。一方、クライアント/サーバ・システムでは、デスクトップ側で入念なソフトウェアの管理が必要になった。システムがWebベースに移行して、流れは再び元に戻った」とHamilton氏は語っている。「Webベース・アプリケーションは、管理の面から見れば、古きよき時代への回帰と言えるだろう」
大学間でのリカバリ・サイト構築プロジェクトが始動
米国の東西両端に位置するメイン州とカリフォルニア州にある大学で、北米大陸をまたいだハードウェアとソフトウェアの共有化を図ろうとするディザスタ・リカバリ(災害復旧)のための共同プロジェクトが進められている。 プロジェクトの舞台は、東海岸のメイン州ブランズウィックにあるBowdoin大学と、西海岸はカリフォルニア州ロサンゼルスにあるLoyola Marymount大学である。両大学のITスタッフたちは、すでにそれぞれのキャンパスに相手のディザスタ・リカバリ・サイトを構築しているほか、協調型ITベンチャーに取り組むさまざまな組織にとって、指針となるようなプラクティスも実践している。 両大学のキャンパスには、ブレード・サーバと米国VMwareのサーバ仮想化ソフトウェア「VMware ESX Server」を基盤とするほぼ同一のサイトが設置され、VPN(Virtual Private Network)で構築されたセキュアなインターネット回線
(30Mbps)で接続されている。 各大学のIT部門は、相手が購入したハードウェアとソフトウェアのホスティングおよび管理を互いに担当することになる。いずれかの大学で災害もしくは障害が発生すると、もう一方の大学が相手のホット・サイトを始動させ、緊急時の規定に従って運営を行うようになっている。被災した大学のITスタッフたちは、大陸の反対側に設置された自分たちの“データセンター”にアクセスし、業務を継続することになる。 Bowdoin大とLoyola大の共同プロジェクトは、緊急事態用Webサイト、「Microsoft Exchange Server」による電子メールおよびDNSサーバの相互運用に向けた取り組みから始まった。両大学は2007年秋にも新たな仮想サーバを追加する予定だが、この新サーバではNTI Groupの「Connect-ED」といったMicrosoftの「Active Directory」ベースのプログラムと、学習管理/給与管理/学生情報システムなどの業務アプリケーションがサポートされることになる。 「両大学のプロジェクトはディザスタ・リカバリ計画の好例だ」と称賛するのは、コロラド州ボルドーを拠点とするIT調査会社、Enterprise Management Associatesのシニア・アナリスト、マイケル・カープ(Michael Karp)氏だ。ストレージを専門とする同氏は、かねてより小規模企業を対象とした協調型ディザスタ・リカバリの必要性を提唱している人物でもある。 同氏は、「プライバシーからデータの可用性、記録管理、その他の詳細な部分まで、両大学が抱えるIT環境の課題はほぼ共通している。また、ほとんど同一のインフラを所有しているため、管理コストもほぼ同じくらいになる」と、今回のプロジェクトが理想的である理由を説明する。
低コストでのディザスタ・リカバリが可能に
ある調査リポートでは、企業の約30%が災害や緊急事態に
対して、まったく備えがないという調査結果を報告している。その理由の1つは、ディザスタ・リカバリのコストの高さにあると言える。 だが、Bowdoin大とLoyola大のプロジェクトでは、コストは思いのほか低く抑えられたようだ。両大学によると、2006年6月から2007年7月までにかかったプロジェクト費用は、各大学当たり約3万5,000ドルで、主たる費目は1カ月当たり15時間から20時間の人件費(数回にわたって互いを訪問し合ったITスタッフの出張旅費などを含む)であった。 また今後は、ブレード・サーバおよび1TBのネットワーク・ストレージの導入、ソフトウェア・ライセンスの購入、新たなアプリケーションの導入など、1大学当たり約5万4,000ドルの追加費用を見込んでいる。 両大学の調査では、プロジェクトで構築したサイトと同レベルのIT環境で商用のディザスタ・リカバリ・ホット・サイトを利用した場合、1カ月当たり10万ドル、年間にして120万ドルのコストがかかると試算している。 なお、大学間の災害復旧コラボレーションはBowdoin/Loyolaプロジェクトだけではない。例えば、同じマサチューセッツ州内ではあるが、すでにBabson大学とFranklin W.Olin工科大学がオフサイト・ストレージとテープ・バックアップ機能を共有している。
“違い”が生む補完効果
共同でプロジェクトを進める間柄でありながら、Bowdoin大とLoyola大のように、「距離」だけでなく、「感性」や「文化」の点においても著しくかけ離れている例は珍しい。 Bowdoin大が、都心から離れたのどかな地域に立地する学生数1,700人ほどの比較的小さな大学であるのに対し、カリフォルニアに位置するLoyola大は、さまざまな人種の学生約8,700人が通う大規模な大学だ。 しかしながら、両大学のこうした“違い”は、障壁になるどころか互いに補完し合えるため、かえって強みになっているという。 そもそもこのプロジェクトのアイデアは、数年前の夏に開催された大学向けのコンピューティング・コンファレンスで、Bowdoin大のCIO、ミッチ・デービス(Mitch Davis)氏と、Loyola大のCIO、エリン・グリフィン(Erin Griffin)氏が出会ったことによって生まれたものである。 そのときDavis氏は、ディザスタ・リカバリに関するセッションで、ディザスタ・リカバリ対策にかかる膨大なコストを削減できる小規模機関による協調型プロジェクトの利点を力説したという。 その説に感銘を受けたGriffin氏は、Davis氏を呼び止め、すぐにそれを実践する方法について話し合った。だが、具体的にプロジェクトが動き出したのは、それからしばらくたってからであった。 プロジェクトが本格化したのは、猛威をふるったハリケーン、
Computerworld February 200892
Technology Focus
北米大陸を横断するディザスタ・リカバリ・プロジェクトの全貌Side Story John Cox
カトリーナによって災害復旧の重要性がより強く認識されたあとのことだ。2006年夏には、プランニングと意思決定作業が開始され、基礎技術としてVMwareを採用することが決まり、続いて、DNSホスティングからVoIPなどの基本的なインフラ部分の仕様が決定されていった。
お互いが知識を共有し作業をスムーズに
とはいえ、Bowdoin/Loyolaプロジェクトは、始動してからこれまで、順風満帆に進展してきたわけではない。 Loyola大のシステム管理担当ディレクター、ダン・クーク(Dan Cooke)氏も、「正直言ってプロジェクトに着手したころは、あまりにも作業量が膨大であることに、少々おじけづいた」と当時を振り返る。しかしながら、Bowdoin大と共同で作業を進めるうちに、「そのプロジェクトが現実的で、実現可能なものに見えてきた」(同氏)という。 同氏をそう思わせるに至った背景には、Loyola大とBowdoin大とが、新製品とテクノロジーの導入を通じて、IT知識をスムーズに共有できたという事実があった。 例えば、Bowdoin大のシステム・エンジニア、ティム・アントノウィクズ(Tim Antonowicz)氏によれば、「当大学では、当時すでに70%以上の物理サーバに仮想化ソフトを導入していたが、彼ら(Loyola大)にはサーバ仮想化に関する知識や経験がまったくなかった」という。 そこで、同氏はすぐにカリフォルニアに飛び、VMwareの導入を現地で支援することにした。その結果、Loyola大のスタッフも、現在ではBowdoin大と同じくらいVMwareに精通するようになった。このように、両大学では知識の共有化が図られていったのである。 一方、Bowdoin大がLoyola大と同じインフラに移行するべくExchange Serverに切り替えた際には、Loyola大のスタッフがBowdoin大のスタッフのアドバイザー役を務めた。Bowdoin大のCIO、Davis氏は、「Loyola大のおかげで速やかに、しかもスムーズに(Exchangeに)切り替えることができた」と述べている。実際、Exchange Serverを立ち上げた際にヘルプデスクが受けた問い合わせは、8件だけだったという。 このように互いの知識や経験を共有していく中で、双方のマネジャーやスタッフたちは、大陸をまたいでアドバイスを求め合ったり、ブレーン・ストーミングやトラブル・シューティングなどを当たり前のようにやるようになっていった。言ってみれば、互いが互いのIT部門(ITスタッフ)を「形式ばらないヘルプデスク」と見なすようになっていったのである。 例えば、「Loyola大のDan(Cooke氏)に『こんな問題、見たことある?』とインスタント・メッセージを送ると、彼から『その問題なら、こっちでは3週間前に起きたけど、こんな方法で解決したよ』といった返事が 返ってくる」(Bowdoin大のAntonowicz氏)といったようなやりとりが行われてきたわけだ。 そのほか、毎週火曜日には双方のプロジェクト・チームがビデオ・コンファレンスを行い、プロジェクトの進捗状況や問題点の確認、今後の計画について話し合っている。ちなみに、その
会議の内容と決定事項は、あとで出席者以外も閲覧できるように録画されている。
厚い信頼関係がプロジェクトを成功へと導く
Bowdoin大のDavis氏は、このプロジェクトを成功させるうえで、「密接な関係を築くことが不可欠だった」と語る。良好な関係が構築できなければ、Loyola大やBowdoin大の担当者がプロジェクトのスタート当初に抱きかけた「恐れ」や「将来的な不安」を、完全に払拭することは不可能だったからだ。 「ある日突然、自分たちのキャンパスからさまざまなモノが消え、コントロールの利かない遠くの場所に移される」(Davis氏)のだから、信頼関係の構築は不可欠である。 もちろん、信頼関係が確立された今でも、インプリメンテーションのスピードや優先事項を巡って、双方で対立することもある。 「あるとき、(Loyola大の)Erin(Griffin氏)が、あるプロジェクトを優先的に片づけたいと言ってきたが、こちら(Bowdoin大)ではそれを次の段階、しかも低い優先順位に位置づけていたため、どちらの意見に従うかを徹底的に話し合った。このような意見の対立は決して突発的に発生するわけではない。日ごろからIT環境の最適化を互いに考えているからこそ起きるのだ」
(Davis氏) Davis氏とGriffin氏は、このプロジェクトをテンプレート化することで、高等教育機関のみならず、協調型プロジェクトを検討する多様な機関が利用できるようにしたいと考えている。 Griffin氏は力説する。「私たちは、多様なコラボレーティブITプロジェクトのためのメソドロジーを構築しているのだ。その成果物には、ホット・サイトと同じくらいの価値が必ずあるはずだ」
February 2008 Computerworld 93
StoragesStorages
北米大陸を横断するディザスタ・リカバリ・プロジェクトの全貌
ALM
XML
(Advanced Language Machine)
自然言語によるユーザー入力を受け付ける
「NanoSyntactic Engine」で、入力された自然言語の構文解析を行う。
解析結果を構文ツリーに変換する
「ALM」で構文ツリーを意味表現に変換する。ここで、意味データベースを用いて不明瞭さを排除する
意味表現をXML形式に変換し、コンピュータが利用できる用意する
Loyola Marymount大学
Bowdoin大学
一方の大学で災害が発生すると、もう一方の大学でリカバリ・サイトが本格的に稼働する
VPN
北米大陸を横断して構築されているBowdoin大学とLoyola�Marymount大学のディザスタ・リカバリ・サイト
嘘か
真実か?
PLC(Power Line Communication:電力線通信)に対応した製品の提供が始まってから約1年が過ぎた。コンシューマー向けの製品は徐々に浸透してきているが、企業でのPLC導入はこれからが本番になると見られる。PLCの導入が期待されているのはオフィス、工場、ホテルなどとされているが、通信速度や使い勝手の問題から、「企業では普及しないのでは?」といった声も聞かれる。この定説が本当かどうかを、現行のPLCの問題点や企業での導入メリットを挙げながら検証する。
三上 洋
疑
い
も
し
な
か
っ
た
こ
と
を
改
め
て
検
証
し
て
み
よ
う
第21回
IT業界の定説
Computerworld February 200894
設置環境によって性能が異なるベスト・エフォート型の技術
約1年前の2006年12月に、「コンセントでインターネッ
ト」のうたい文句で、PLCは華々しくデビューした。
電源コンセントにつなぐだけでLANが使えるとあって
注目され、一時期は在庫切れになるほどの高い人気
となった。
PLCは、電源ラインをネットワークの配線として使
う通信技術である(図1)。PLCアダプタと呼ばれる機
器が、信号を短波帯の周波数(3〜30MHz)に変換し、
電源ラインに載せてデータをやり取りする。PLCアダ
プタはハブやルータなどのネットワーク機器に接続す
る親機と、そのクライアントとして使う子機の最低2台
が必要になる。通信速度は、PLC規格の1つ(後述)
であるHD-PLC方式を例にとると、TCP速度で最大
50Mbps前後であるが、これは理想的な環境によるも
の。実際には30〜50Mbpsが最大で、環境によって
はそれ以下になり、場合によっては接続自体ができな
くなることもある。PLCは電源ラインの長さ、分岐な
どの配線状況、併用する機器などによって通信速度
が大きく異なる、ベスト・エフォート型の技術だという
ことを念頭に置いていただきたい。
PLCには、「HD-PLC」「HomePlug」「UPA」の3種
類の規格があり、それぞれ別個の製品が国内で流通
している(表1)。現時点では、国内で最初のPLCアダ
プタ製品を出荷した松下電器産業のHD-PLCが最も
PLC(電力線通信)、企業では普及しない? 嘘か
真実か?
February 2008 Computerworld 95
的な問題となるのが、「実際に試してみないと接続で
きるかどうか不明」という点だろう。96ページの図2に、
現在までに挙げられている問題点をまとめた。
PLCでの接続距離は、分岐がない理想的な状況
であれば100〜150mほど(HD-PLCの例)と言われて
いるが、そんな理想的な環境は実地ではありえない。
何らかの分岐があるはずで、場合によっては接続でき
ないこともある。
図2の①のように、分岐がいくつもあれば、接続で
きたとしても通信速度は大幅に低下する。また延長
用のテーブルタップも速度低下の原因となる。各社と
も「PLCアダプタは原則としてコンセント直結」となっ
ているため、他の機器と併用している場合は速度が
かなり落ちるだろう。
また図2の②のように、分電盤を途中に挟むと、多
くの場合は接続できなくなるか大幅に速度が低下し
てしまう。同じ分電盤を使っていても、系統が異なる
だけで大幅なダウンとなる。分電盤がどこにあるかビ
ル管理者に確かめる必要があるのが面倒だ(UPA方
式のリピータを使えば分電盤を挟んだ場合でも接続
シェアが大きく、OEMも含めて各社がこの規格に対
応したコンシューマー向け製品を販売している。また、
HomePlugは、米国のIntellon製チップを使うもので、
シャープや台湾のZyxelなどがこの規格の製品を販売
している。HD-PLCと同様、こちらもコンシューマー
向け規格であり、家庭内での使用が想定されている。
一方、3つ目のUPAは前の2規格と趣が異なる。同規
格はスペインのDS2製チップを使うもので、どちらか
というと企業ネットワーク向けと言える。もともとが屋
外のアクセス線でのサービスを目指した規格だけあっ
て、リピータ(中継)機能を備え、オフィスやホテルなど
の利用にも向いているのが特徴だ。UPA規格のPLC
アダプタは、企業向けとして、NECネッツエスアイや
住友電工などから販売されている。
最大の問題は「接続できるかどうか」
PLCにはいくつか問題点が存在するが、最も根源
既存のネットワーク
ハブ
ルータ
PLCアダプタ親機
PLCアダプタ子機コンセント コンセント
PC
PLCアダプタは最低2台必要
短波帯(3~30MHz)の信号を重ね合わせる
通信速度は電源ラインの長さや環境に依存する
ベスト・エフォート型の技術=環境によって通信速度は異なる
図1:PLCの基本
規格 UPA HomePlug HD-PLC
標準化団体 UPA(Universal Powerline Association)
HPA(HomePlug Powerline Alliance)
CEPCA(Consumer ElectronicsPowerline Communication Alliance)
チップ DS2製 Intellon 松下電器産業
参加メーカー住友電気工業、NECネッツエスアイ、伊藤忠商事、PCNネットワークス、東芝など
Zyxel、NETGEAR、シャープ、住友電気工業など
松下電器産業、三菱電機、三洋電機、日立製作所、東芝、ヤマハ、パイオニア、NECパーソナルプロダクツ、ソニーなど
概要スペインを中心に屋外のアクセス線としても利用されている。リピータ機能があるため企業利用に向いている
アメリカを中心に家電メーカーなどが参加。松下電器産業のHD-PLCと互換性を持たせることも検討されている
映像・音楽など屋内での高速接続を目的に開発。松下電器産業のOEMによるアダプターを各社が発売
表1:日本国内のPLCには3つの規格がある
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?I T 業 界 の 定 説
Computerworld February 200896
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?
可能)。
さらに③のように、他の機器が発するノイズの影響
もある。例えば液晶テレビやコピー機、ドライヤーや充
電器などが速度低下の原因となる。筆者が経験した
家庭内の例では、それまで20Mbps前後の速度が出て
いたのに、携帯電話の充電器を同じコンセントに接続
したところ、5Mbps前後までダウンしたこともあった。
PLCによる電波障害問題行政訴訟や異議申し立ても
このように、PLCは細かな環境の違いで、通信速
度が大幅に落ちるだけでなく、接続できなくなる場合
も多い。あくまでもベスト・エフォート・サービスである
ため、実際に試してみないと接続できるかどうか、通
信速度がどれだけ出るかわからないという問題点があ
る。有線LANのようにケーブルさえ引けば確実につ
ながるというものではなく、事前の実地テストが必須
となる。
またPLCには電波障害の問題もある(図2の④)。
家庭内・企業内の電源ラインは、ほとんどがシールド
のない単なる2本の電線にすぎない。そこに短波帯の
信号を載せるため、周囲に電波が漏洩してしまい、
短波ラジオ、アマチュア無線、電波天文観測などに
妨害を与える可能性がある。仮にPLCを導入した建
物のそばにアマチュア無線家がいたとすれば、電波
妨害の抗議を受けるかもしれない。
この点については、アマチュア無線家などによる行
政訴訟が起こされており、東京高裁で控訴審が行わ
れているほか、PLCを認可した総務省電波審議会へ
の異議申し立ても出されている。
セキュリティの問題は企業利用での懸念事項
もう1つ、そもそも企業にとってPLCが必要なのか
という問題もある。オフィスが普通に有線LANケー
ブルを引き回せる構造であれば、わざわざ不安定な
PLCを使う必要はない。また、会議室などでは無線
LANを利用するケースが増えているため、あらためて
PLCを導入する必要がないという企業もあるだろう。
オフィスではPLCのみでネットワークを構築するとい
①電源ラインの分岐や接続ルートによって通信速度がダウンする②分電盤を越える接続は難しい(リピータが必要となる)
③他の機器からのノイズにより通信速度がダウンしてしまう④電源ラインからアマチュア無線、電波天文観測などに電波障害を与える
サーバへ
PLC親機
PLC子機
PLC子機
分電盤
PLC子機分岐
他の機器の影響液晶テレビドライヤーケータイ充電器
電波の漏洩
1
4
2
3
図2:PLCの問題点
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ? 嘘か
真実か?
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?
February 2008 Computerworld 97
うパターンは考えにくいと言えるのかもしれない。
またネットワーク管理者としては、管理とセキュリ
ティの問題が気になるところだ。PLCアダプタの接続
はとても簡単で、親機と子機の2台で同時にボタンを
押すだけで接続できる。これはコンシューマー向けに
設定を簡単にしているためだが、オフィス利用では問
題となる。PLCアダプタを無断で持ち込まれると、
内部でネットワークを利用される可能性があるからだ。
PLCアダプタ間での信号は、厳重な暗号化によって
保護されているが、物理的に内部に持ち込まれてしま
えば情報漏洩につながる可能性もあるだろう。
このように、PLCには接続自体の問題のほか、通
信速度、電波障害、ネットワーク管理などの問題が存
在する。それでは、PLCを使うメリットはいったいど
こにあるのだろうか。次節より探ってみることにしよう。
部屋数の多い学校や社員寮などで導入が進む
PLCが実際に、どのようなシーンで導入されてい
るかについて、企業向けPLC製品を販売するNEC
ネッツエスアイのSI&サービス事業本部・情報ネット
ワークソリューション事業部、木村順一氏は次のよう
に説明する。「まず、学校でPLCを利用する例が増え
ています。現在、文部科学省によって全国の小中学
校へのインターネット導入が進められていますが、校
舎の多くが古いため、有線LANを引けない、もしく
はコストがかかり過ぎて工事できないという状況にあ
ります。そこでPLCを使って、各教室でネットワーク
が利用できるようにするという事例が増えているので
す。また、ホテルでの利用も増えてきています」
同社の企業向けPLC製品は、PLCアダプタに
DS2製チップを採用したUPA方式である。UPAの
特徴であるリピータ機能が備わっていることで、通信
距離が長くなるほか、分岐があっても接続しやすくな
るというメリットがある。学校やホテルなど、建物中に
多く部屋があって、かつ電源ラインが長くなるような
環境では、この方式のPLC製品が有効と言える(図3)。
同様の例として、竹中工務店の社員寮(神戸市)で
もPLCが導入されている。ここでは住友電工のPLC
アダプタ(UPA方式)が選ばれており、社員寮の90室
にPLCネットワークが構築されている。分電盤を挟
んではいるものの、リピータ機能のあるPLCアダプタ
PLC子機 PLC子機 PLC子機
PLC子機 PLC子機 PLC子機
客室 客室 客室
PLC子機 PLC子機 PLC子機
客室 客室 客室
フロント 管理室 会議室
分電盤
リピータ
分電盤
リピータ
分電盤
リピータ
インターネット
電気室電力線
サーバ室
配電盤
分電盤
PLC親機
ルータ
サーバ
図3:ホテルでのPLC導入例
*資料:NECネッツエスアイ
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?I T 業 界 の 定 説
Computerworld February 200898
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?
によって接続が可能になっている。
事例から見えてくるPLCの企業での使い道
NECネッツエスアイによれば、数はまだ少ないが、
全国に支店を持つ大規模企業での導入事例もすでに
存在する。同社のある顧客企業がそうで、その企業
には社内網が存在するが、回線が細いためにテレビ
電話会議システムの導入が難しかったという。そこで
PLCを活用し、社内網とは別にテレビ電話会議シス
テム(写真1)を導入した。
NECネッツエスアイ企画部コーポレートコミュニ
ケーション室の中澤弘巳氏は、「この企業では、アク
セス線としてBフレッツを使い、各会議室へはPLC
で接続してテレビ電話会議システムを構築していま
す」と説明する。この例では、テレビ会議のために別
個にネットワークを構築したわけだが、末端をPLCに
したおかげで、コストを抑えながら高速接続が可能に
なったという。つまり、既存の回線に問題がある環境
で新たにネットワークを構築する場合には、接続の一
部にPLCを用いるのが有効と言えそうだ。
さらに、全国で展示即売会を行う企業での導入事
例もある。この企業では各地の会場を巡って展示即
売を行っているため、現地に行かないとネットワーク
が利用できるかどうかがわからないという問題があっ
た。そこで同企業ではPLCアダプタを携行し、現地
でPOS(Point Of Sales)などの売上げ管理に利用し
ているそうだ。
このように、毎回異なる場所で業務を行う企業な
どでは、コンセントさえあればネットワーク環境を構築
できるPLCが重要な役割を担うことになるかもしれな
い。ともかく、イベントや展示などが多い部署では、
PLCのセットを常に持っておくと便利だろう。
LAN導入が難しい場所でPLCは有効な手段に
現在では、コンビニエンス・ストアでのPLCの導入
事例も出てきている。コンビニではバックヤードの店
長室と、店舗のレジでの管理が必要となる。古い店舗
で有線LANがない場合には無線LANを使うことにな
るが、壁を隔てるため接続できないシーンも多い。
NECネッツエスアイによれば、店長室と店舗をPLC
で接続する例が増えてきているという。工事なしで接
続できるPLCが、ネットワーク構築にコストをかける
余裕のない企業にも有効であることを示す事例である。
また、有線LANを引きにくい古い建物やロビーなど
でPLCを利用するのも、この技術のよい活用方法で
ある。ロビーでの事例としては、NECネッツエスアイ
自身が本社で利用している。同社の本社ロビーは大理
石のフロアなので、有線LANを敷設することができず、
写真1:PLCを使ったテレビ会議システムの例(下はPLCモデムの拡大写真)
左は、NECネッツエスアイのPLCを使ったテレビ電話会議システムの例。テレビの下側にPLCモデムが設置されている。同社のある顧客企業では、既存の社内網が細いためにテレビ電話会議システムを導入することができなかった。そこでBフレッツとPLCを使った独自のネットワークを構築してテレビ電話会議システムを導入したという
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ? 嘘か
真実か?
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?
February 2008 Computerworld 99
の中・大規模向けPLC製品「ALシリーズ」を例にとれ
ば、PLCアダプタをすべてサーバ側で一元管理する
ことが可能だ。同製品は、7レベルのQoS(Quality
of Service)設定で優先制御・帯域制限が行え、利用
するアプリケーションの種類に応じて制御できる。ま
た、子機間通信を遮断できる同社独自の機能が備わっ
ており、プライバシーが要求されるホテルや研修設備
などでの利用にも向くとしている。
よって、当然のことではあるが、企業でPLCを導
入するのであれば、コンシューマー向け製品ではなく、
企業向けのセキュリティ/管理機能が備わったUPA
方式のPLC製品を選ぶべきである。UPA方式を選
んでおけば、リピータ機能によって大規模なネットワー
クでの利用も可能になる。
もう1つの選択肢「テレビ同軸ケーブル方式」
さて、PLCのように電源ラインを利用するタイプで
はなく、テレビ・アンテナの同軸ケーブルを利用する
ネットワーク・モデムも開発されているのはご存じだろ
うか(図4)。技術的な仕組みはPLCと同じで、短波
そのためロビーに置くPCは、PLC接続を利用してい
るそうだ。このように、何らかの理由で有線LANの敷
設がかなわない場合には、PLCの出番となる。
企業向け製品なら、十分なレベルのセキュリティ機能を備える
ここまでに紹介した事例からわかるように、ネット
ワーク構築コストを抑える目的や、通常の有線LAN
の敷設が困難な場合、または一時的なネットワーク利
用の用途であれば、PLCの利用価値は高く、企業に
メリットをもたらす。ただし、企業ネットワークで使う
以上、セキュリティやネットワーク管理機能がしっか
りしているかどうかを確認する必要がある。
前述したように、PLCの3規格のうち、HD-PLC
とHomePlugはコンシューマー向けであり、ネットワー
ク管理機能は貧弱だ。また、ボタン1つで接続できて
しまうため、セキュリティ面でも不安が残る。
その点、DS2チップ/ UPA方式のPLCアダプタ
を採用した企業向け製品であれば、セキュリティ/
ネットワーク管理機能は十分なレベルに達している。
今回、取材に協力してくれたNECネッツエスアイ
インターネット
ルータ スイッチ
テレビ共聴アンテナ
テレビ電波コンピュータ室
居室 居室
居室
混合器
混合器
OFDM信号2MHz~30MHzHE(親機)
テレビ
LPF
CPE(子機)
CPE(子機)
PC
PC
図4:高速同軸ケーブル・モデムのイメージ図
*資料:NECネッツエスアイ
第 2 1 回 P L C( 電 力 線 通 信 )、 企 業 で は 普 及 し な い ?I T 業 界 の 定 説
Computerworld February 2008100
帯の周波数を重ね合わせるものである。
このテレビ同軸ケーブル方式の優位性は、同軸ケー
ブルによってシールドされているため電波の漏洩が起
きにくく、減衰を抑えられる点にある。このことは結
果として、通信速度の向上につながる。また、PLC
とは異なり、総務省の型式認定が不要である点は、
提供側にとってメリットとなる。
具体的な通信速度は、PLCなら10Mbps程度を想
定している場所で、テレビ同軸を使ったシステムなら
50Mbps程度を確保することも可能になるという。
NECネッツエスアイによると、「減衰が少なく高速
な同軸ケーブル方式は、PLCで指摘されているいく
つかの問題点を解消できる技術です。例えば、テナ
ント・ビルや分譲マンションでは、異なる規格のPLC
が使われるケースも考えられますが、異なる規格の
PLCが混在すると干渉を起こし、接続しにくくなると
いう問題が生じます。同軸ケーブル・モデムであれば
競合がなく、マンションやビル全体でのネットワーク
構築が可能になるのです」という。
同軸ケーブル方式の場合、途中にブースタが存在
する場合にはバイパスを入れる必要があるものの、工
結論 条件が合致した場合、企業でのPLCの利用は有効であり、特定の用途/環境では普及する可能性がある。
よって、「PLC(電力線通信)、 企業では普及しない」
……というのは
●イベントなどで一時的にLAN導入が必要な企業、コストの問題や建物の構造的な問題などでLAN導入が難しい企業、既存の回線に問題がある企業などに、PLCは有効な選択肢の1つとなる。
●業務上、さまざまな地域でネットワークに接続する必要がある企業や、ホテルのように部屋数の多い建物にネットワークを引く必要のある企業などにPLCは有効であり、すでに導入例も多い。
●PLCにはいくつかの問題点があるが、DS2チップを搭載したUPA方式の企業向けPLCアダプタ製品を選択することで、企業においても十分に活用できる。
嘘
事自体は難しくない。PLCと同様、有線LANを引き
回す工事よりもコストを抑えることができるだろう。
PLCに不安がある場合には、同軸ケーブル・モデム
が有効な手段となりそうだ。
* * *
以上、見てきたように、いくつか問題点があるものの、
PLCは企業や学校のさまざまな場所/用途で実際に
活用され始めている。
PLCが、すでにLANが整った環境での利用や恒
常的な利用には向かないのは自明だが、工事を行うこ
となくネットワークを構築したい、ないしは、そうせざ
るをえないような場合には有効である。その通信速度
や電波障害に不安があるなら、テレビ同軸ケーブル
方式という選択肢もある。
PLCを導入するにあたっては、ネットワーク管理
者みずからが製品を選び、セキュリティや管理機能を
チェックするべきである。UPA方式が有利であること
は上述したとおりだが、コンシューマー向け製品に比
べれば、当然、より多くのコストがかかることは覚悟
しておく必要がある。
IT
K
EY
WO
RD
35
Computerworld February 2008102
MAIDは、ハードディスク・ドライブ(HDD)におけ
るディスク回転のオン/オフを細かく制御することで、
消費電力を抑えたストレージを実現する技術だ。頻
繁かつ高速アクセスが求められるHDDと、低消費電
力だがアクセス速度が遅いテープ・ドライブとのギャッ
プを埋める技術として登場した。
一般に、HDDへの全データ・アクセスは、全ディ
スク容量の20%程度の物理領域に対して頻繁に発生
している。仮に利用しているHDDが100台あるとする
と、そのうち20台に対してアクセスが頻発し、残りの
80台はアクセス頻度が低いということになる。
MAIDはデータ・アクセスにおけるこの“偏り”に着目
した技術で、基本的にすべてのHDDのディスク回転
を止めておき、アクセスがあった場合にのみ対象のディ
スクを回転させる。これを実現するために、MAIDで
は少数のHDDをRAIDで束ね、複数のRAIDグルー
プを形成している。そのうえで、RAIDグループごと
にHDDのオン/オフを細かく制御している。
大容量のストレージ製品は、すべてのディスクを常
時回転させることで、アクセスを待機している状態を
保っている。別の言い方をすれば、アクセスがさほど
ないディスクを無駄に回転させているわけだ。MAID
技術のメリットは、アクセスがあったディスクのみを回
転させるため、他のディスクのむだな回転を抑えてス
トレージの消費電力を低減することが可能な点である。
MAID技術のメリットはストレージの省電力化だけ
ではない。ディスクの回転が抑制されると、HDDの
MTBF(平均故障間隔)を伸ばすことにもつながる。
すなわち、ディスクの製品寿命を延ばすことができる
わけである。このことは、長期的な視点で見れば、運
用コストの削減にも寄与してくる。
しかし、MAIDにもデメリットはあ
る。そもそもHDDは、ディスクの回
転が安定しないとデータの読み書き
ができない。そのため、MAIDを使
用すると、いったん停止したディス
クが安定稼働するまでに10秒ほどの
待ち時間が発生してしまう。
グリーンITに対する意識の高まり
から、MAID技術を採用したエコ・
ストレージ製品が大手ベンダーから
続々と提供され出している。しかし、
上述したデメリットにより、各社の
MAID採用ストレージ製品はバック
アップ用として提案されているもの
が多い。
HDDのディスク回転を制御し低消費電力のエコ・ストレージを実現
MAID
Computerworld 編集部
(Massive Arrays of Inactive Disks)
▼35
IT KEYWORD
MAID採用ストレージ
RAIDグループA
RAIDグループB
RAIDグループC
RAIDグループD
RAIDグループE
RAIDグループF
通常のストレージ
電源がオン状態のHDD
MAID技術を採用したストレージと通常のストレージとの違いMAIDはストレージにおけるグリーンITとしてメイン・ストリームになりつつある
February 2008 Computerworld 103
P R O F I L E
ささき・としなお。ジャーナリスト。1961年兵庫県生まれ。毎日新聞社記者として警視庁捜査一課、遊軍などを担当し、殺人事件や海外テロ、コンピュータ犯罪などを取材する。その後、アスキーを経て、2003年2月にフリー・ジャーナリストとして独立。以降、さまざまなメディアでIT業界の表と裏を追うリポートを展開。『ライブドア資本論』、『グーグル——既存のビジネスを破壊する』など著書多数。
場の空気はそんな感じではない。「オタク
の世界はよくわからないなあ」といった失
笑のようなものがそこには流れていたよ
うに私には受け止められた。
濱野氏の語るニコニコ動画や初音ミク
の世界は、確かに2ちゃんねる的な文化
の圏域にある。けれども、そこで扱われ
ている技術は決して半端なものではなく、
CGMのアーキテクチャとして一級のレ
ベルにある。その意味で、社会の情報
化を考えるうえでは避けては通れない
ケースと言ってよい。しかし、そうした
興味深いケースを、失笑で終わらせてしまっているとこ
ろに、このフォーラムと、そこに参加している活動家た
ちの限界を感じてしまった。
濱野氏の話とは対照的に、地域情報化での活動家
たちの話は、いたって真面目なものであった。地域の
老人や身体障害者をITによってどう支援するのかといっ
たテーマが真剣に語られるのだが、インターネットの進
化の波に乗り遅れている感は否めなかった。
インターネットの最先端に触れ、そこから情報化を
語る濱野氏と、そうしたトレンドとは無関係に、従来型
のやり方で真面目に地域情報化に取り組んできた活動
家たち――両者の間には大きなデバイドがあって、シ
ンポジウムに同席していても、そこには何ら共有できる
基盤が存在しないように見えてしまうのだ。
そんな中、唯一の救いだったのは、この分野のオピ
ニオン・リーダーとして知られ、齢70歳を超えている公
文俊平氏が、盛んにニコニコ動画や初音ミクに言及し
ていたことだったかもしれない。
「CANフォーラム」という団体があるの
をご存じだろうか。1997年に設立され、
地域情報化を支援する任意団体として
活動してきた。会長は慶応義塾大学教
授の国領二郎氏である。このCANフォー
ラムの10周年記念シンポジウムが11月
25日、東京都港区の国際文化会館で開
かれ、私はゲスト・スピーカーとして、ディ
スカッションに参加した。
CANフォーラムに集まっている人たち
は、アクティビスト(活動家)であり、地
域情報化への取り組みを実践してきた有
志の集まりである。さらに言えば、1990年代に設立さ
れたこともあって、年齢層は比較的高い。1970年代生
まれが主流を占めるブログスフィアの人たちとはかなり
違う層と言える。
その辺りを理解したうえで、私はディスカッションに
臨んだはずだった。しかし議事の途中から、かなり強い
違和感を感じるようになった。きっかけは、同じくゲスト・
スピーカーとして招かれていた社会学者の濱野智史氏
が、来場者に向かって「ニコニコ動画」の話をしたこと
だった。濱野氏は、WIRED VISIONで連載中の「情報
環境研究ノート」が好評で、気鋭の研究者として注目さ
れている存在だ。
その彼がニコニコ動画や「初音ミク」、それらをベース
に次 と々生まれてきているCGM(Consumer Generat
ed Media)の最前線を語るのだから面白くないはずはな
いのだが、会場からはなぜか笑いが漏れる。話の面白
さに笑いが広がるのならもちろんよいのだが、どうも会
インターネット劇場
佐々木俊尚T o s h i n a o S a s a k i
CANフォーラムで感じた「デバイド」
Entry
19
Computerworld February 2008104
P R O F I L E
えじま・けんたろう。インフォテリア米国法人代表/ XMLコンソーシアム・エバンジェリスト。京都大学工学部を卒業後、日本オラクルを経て、2000年インフォテリア入社。2005年より同社の米国法人立ち上げのため渡米し、2006年、最初の成果となるWeb2.0サービス「Lingr(リンガー)」を発表。1975年香川県生まれ。
私は元来、ほとんどテレビを観ないの
ですが、最近ではDVDをよく購入する
ようになりました。映画が数ドルから10
ドル程度、テレビ・シリーズの1シーズ
ン分が30ドルから40ドル程度と安価
に入手できるので、ポンポンと気軽に
購入するうちにハマってしまったのです。
先日購入したデジタル・テレビの大画面
を、せっかくなので楽しみたいという気
持ちもあったのでしょう。
しかし、人間の欲というものは際限が
ないもので、DVDのある生活にどっぷり浸かってみる
と、今まで感じていなかった不満が出てきます。
DVDの単価が下がり、コンテンツが充実してくるに
つれ、気軽にどんどん買いたいと思う一方で、どんど
ん買うと収納に困るので何とかしたい、と思うように
なってきたのです。また、ディスクをいちいち入れ替
える必要があるのも面倒くさく感じるようになってきま
した。
そこで、自分が購入した映像コンテンツがハードディ
スクに一元的に格納されていると、収納場所もとらな
いし、コンテンツのカタログから目的のものを瞬時に見
つけ出して再生できるようになるという、理想的な環
境になります。
こうした環境を実現するには、例えばDVDを字幕
ごとリッピングしてH.264などでエンコーディングし直
すなどの作業が必要になります(現行の著作権法では、
本人が所有しているDVDの私的複製に限ってリッピ
ングが許されています/注)。こうすれ
ば、容量も約5分の1ぐらいになり、
4.7GBのDVDが1GB以下に収まるよ
うになり、300GBのハードディスクに
約300本のフルタイム映画が入る勘定
になります。Apple TVのようなデバイ
スを使えばワイヤレス通信でリビングで
も再生が可能です。
一方、iTunes Storeなどで購入して
ダウンロードするのも、DVDと同じぐら
いのコストで購入でき、リッピングの手
間がないぶん便利です(ただし、現状では字幕が入っ
ていないので少し損した気分になりますが)。
さて、これは最近、まさにわれわれが音楽CDで体
験したことでもあります。個人的にもCDは買ってもそ
のままで聴くことはまずなく、iTunesでリッピングして
PCやiPod、Apple TVで再生して楽しんでいます。
その後、無用の長物となったCDは、引っ越しのたび
に捨てられています。
こうしてみると、巷ではBlu-rayだのHD-DVDだの
という規格争いが起きているらしいですが、ハイデフ
のテレビを所有していてもDVDの画質で十分すぎると
感じる私のような人間にとっては、むしろDVDが最後
のディスク・メディアで、未来はメディアレスにあると
いう気がしてなりません。
IT哲学
江島健太郎K e n n E j i m a
ディスク・メディアはもういらない
Entry
29
注:「アレコレ動画編集 -DVDリッピングは違法にあらず-」 (http://www.anizon.net/movie/edit/ripping.html)
February 2008 Computerworld 105
P R O F I L E
くりはら・きよし。テックバイザージェイピー(TVJP)代表取締役。弁理士の顔も持つITアナリスト/コンサルタント。東京大学工学部卒業、米国マサチューセッツ工科大学計算機科学科修士課程修了。日本IBMを経て、1996年、ガートナージャパンに入社。同社でリサーチ・バイスプレジデントを務め、2005年6月より独立。東京都生まれ。
最近私が作ったプレゼンテーション
資料やコンサルティングの成果物を読
み返していて、「疎結合」や「緩やかな」と
いう用語が多いことに気づきました。タ
イト(tight)ではなく、あえてルース
(loose)なアプローチが必要なケースが
増えているということでしょう。
例えば、情報統合という課題を考え
てみても、タイト型とルース型の両アプ
ローチがあります。タイト型、つまり、
密結合型のアプローチは、実際にデー
タを標準化し、1つの場所に集約するこ
とです。典型的にはデータ・ウェアハウスがこのような
アプローチです。整合性の要件が最優先である場合
には、データを物理的に集約しなければ必ず問題が生
じますので、タイトなアプローチは必然的と言えます。
一方、コンテンツ(非定型データ)の場合には、この
ような物理的集約が必ずしも有利とは限りません。企
業内に分散したあらゆるコンテンツを一箇所に集約す
るのは現実的に困難です。このような場合には、サーチ・
エンジンを利用したルース型、すなわち、疎結合型の
アプローチが有効なことが多いでしょう。コンテンツ
をファイル・サーバやドキュメント管理システムなどの
元の場所に置いたままで、サーチ・エンジンによりイン
デックスを作成することで、ユーザーは関連する情報
を一括検索し、高速にアクセスすることができるよう
になります。
一方が善でもう一方が悪ではない 当然ですが、このようなルース型では、タイト型で
提供されるデータの完全な整合性や堅
牢なバージョン管理は実現できません。
例えば、サーチ・エンジンだけでは、リ
ンク切れや同じ文書の複数バージョン
などの問題を完全に解決することは不
可能です。しかし、ルース型はタイト型
と比較して、実装の迅速性や柔軟性と
いう点で圧倒的に有利です。要は両者
の組み合わせが重要ということです。
他にも、マッシュアップはルースな統
合の例と言えます。分散トランザクショ
ンが提供完全なデータ整合性を確保す
ることはできませんが、複数アプリケーションの統合
による価値を迅速に実現することができます。
このように、ルースなアプローチが企業内で普及し
始めているということは、情報システムに求められる
要件の重要性が、完全性よりも柔軟性へとシフトして
きていることが大きいでしょう。特定の処理を確実に
実行することも重要ですが、環境の変化に迅速に対
応することがより重要になってきているということで
す。過去と比べて、「緩やかであること」「ルースである
こと」の価値は大きくなっていると言えます。
しかし、長い間情報システムに携わってきた方にとっ
ては、「タイト/密結合であることは“善”で、ルース/
疎結合であることは“悪”である」というような固定観念
が残っているのではないでしょうか。このような考え方
は大きな機会損失につながりかねないと思います。よ
い意味でのルースさが求められるアプリケーションも
多数存在することを忘れてはならないでしょう。
テクノロジー・ランダムウォーク
栗原 潔K i y o s h i K u r i h a r a
「ルース」であることの価値
Entry
29
