You are on page 1of 77

アスペルガー症候

群を抱えたITプロ
たちの
「苦悩」
と「現状」
7
[コンピュータワールド]2008年7月号
月刊
発行・発売 (株) IDGジャパン 〒113-0033 東京都文京区本郷3-4-5
TEL:03-5800-2661(販売推進部) © 株式会社 アイ・ディ ・ジー・ジャパン
世界各国のComputerworldと提携

TM
contents
July 2008 Vol.5 No.56

Features 特集&特別企画
“過剰な守り”
がビジネスを阻害していないか?──バランスが肝心

特集
セキ
[再考]
ュリティ・
マネジメント
60

自社のIT/情報資産を取り巻く脅威を知り、適切な対策を実施する
Part 1 62 時代の要請に応えるセキュリティ・マネジメント
「構築の実際」
平井哲生/金子浩之

巧妙化が極まるクラッキング、増え続ける攻撃の手口
Part 2 70 ネットワーク・セキュリティ──最新の脅威とその対策
武田圭史

ささいなミスも命取りに──10の
「やってはいけないこと」
Part 3 80 企業を危うくする
「よくあるセキュリティ 集」
[NG]
Matt Hines

インテルとAMDの戦いが再び激化、ユーザーはどう備える

クアッドコア時代が到来
マルチコアCPU最新事情
特別企画 87

George Jones

88 Intel: TICK TOCK戦略に基づき、サーバ/デスクトップ/モバイルの各レイヤでマルチコアCPUを展開


92 AMD: あらゆるレンジでクアッドコアCPUを投入し、価格性能比での巻き返しを狙う
 
Event Report イベント・リポート
RSA Conference 2008 San Franciscoリポート
6 業界のビッグネームたちが語る、情報セキュリティ対策の
“勘所”
大川 亮

Hot Person ホットパーソン


[話題のITパーソン]

10
ザック・ネルソン氏
米国NetSuite 社長兼CEO

「すべてのSaaSは、やがて単体提供からスイート提供へと向かう」

July 2008 Computerworld 3


contents
7

Hot Topics ホットトピックス


IT Inside Topics[ニュースなIT]
14
-Moc
k
IT業界で闘う“アスピーズ”
Chew アスペルガー症候群を抱えたITプロたちの と
「苦悩」「現状」
Tracy Mayor/Computerworld編集部

News & Topics ニュース&トピックス   24

Technology Focus テクノロジー・フォーカス


Computing 98
-
「GPUコンピューティング」
の可能性
Mock 中村維男/橋本昌嗣/正田秀明
Chew

Running Articles 連載
ITキャリア解体新書
(第4回)
106 プロジェクト・マネジャー
横山哲也

Opinions 紙のブログ
109 インターネット劇場
佐々木俊尚

110 IT哲学
江島健太郎

111 テクノロジー・ランダムウォーク
栗原 潔

Information インフォメーション
38 THE SECURITY INSIGHTリポート
55 本誌リポート提供サービス のご案内
86 のご案内
「定期購読お申し込みでCD-ROM年鑑プレゼント」
108 IT KEYWORD
112 本誌読者コミュニティ&リサーチ のご案内
113 エンタープライズ・ムック のご案内
「ITマネジャーのための内部統制/日本版SOX法講座」
114 バックナンバーのご案内
116 イベント・カレンダー
117 おすすめBOOKS
118 読者プレゼント
119 FROM READERS & EDITORS
120 次号予告/AD.INDEX

July 2008 Computerworld 5


「すべてのSaaSは、やがて単体提供から
スイート提供へと向かう」
ネルソンCEOが語る、ERPを核とする統合型SaaS
「NetSuite」
の強み
米国NetSuiteは、基幹業務を担うERP、営業業務や顧客管理を支援するCRM、販売・決済システムを構築するeコマースという
3領域のアプリケーションをSaaS
(Software as a Service)
モデルで提供する
「統合型SaaS」
のベンダーである。
今年4月には、グローバル企業における各国の支社のリアルタイム・ビジネス管理を可能にする
アドオン製品
「NetSuite OneWorld」
を発表するなど、SaaSの適用領域の拡大に努めている。
編集部は4月17日、米国カリフォルニア州サンマテオにあるNetSuite本社を訪れ、
社長兼CEOのザック・ネルソン
(Zach Nelson)
氏にインタビューを行い、
統合型SaaSの強みや開発環境面での競合との違い、クラウド・コンピューティングの可能性などについて聞いた。

聞き手・構成 河原 潤
本誌編集長

Hot Person[話題のITパーソン]

Zach Nelson ザック・ネルソン氏


米国NetSuite 社長兼CEO

10 Computerworld July 2008


「C/Sアプリケーションと同様、 したのは分野ごとの単体製品だ。CRM 目がeコマースである。逆に、現在のと
SaaSでもスイート提供が主流になる」 ベンダー、HRベンダー、ERPベンダー ころ、本来の意味での製造業向け製品
──NetSuiteは1998年にSaaS専業 といった具合に、それぞれの分野に特 はまだ提供していない。NetSuiteが、
ベンダーとして創業し、今年で10年目 化した専業ベンダーが相次いで登場し この業界の要件に応える各種の機能を
となる。自社のサーバやアプリケーショ た。こうしてC/S市場はプレーヤーの まだ持ち合わせていないからだ。
ンの運用を外部に委ね、サービスとして 乱立状態となったが、市場がその後ど  NetSuiteの今年のバージョンアップ
利用するSaaSモデルは、ユーザー企業 うなったかというと、最終的には複数の の中には、
「WorkOrder」
という、製造
の間でどのぐらい浸透したのだろうか。 分野を包括するアプリケーション・スイー 業向けの新機能が含まれている。厳密
N e l s o n氏:NetSuite、 あ る い は ト製品が多く選ばれるようになっていっ には、資材の組み立てなどを行う軽製
Salesforce.comの成長を見てのとおり、 た。つまり、SAPやOracleのようなベ 造業の業務プロセスに対応する機能で
SaaSは今や大多数のユーザー企業に ンダーが勝者となったわけだ。 あり、今後、製造業全般に対応できる
受け入れられている。たいていの技術  10年前、創業にあたってわれわれは、 よう拡張していく計画だ。
トレンドは国や地域で進展のスピードが SaaSという市場が将来行き着く究極
異なるが、SaaSに関しては米国だけで の形は何かをじっくり考えた。
その結果、 ──業種別展開として、ISV
(独立系ソフ
なく、欧州、アジア、そして日本でも急 SaaSこそスイートというモデルに行き トウェア・ベンダー)
やSIer、
速に浸 透しつつある。日本 法 人は、 着くのではないかという結論に達し、目 VAR
(付加価値再販業者)

2007年に本格的な市場参入をはたし 標を定めた。そして次に、この最終的 どパートナー企業に、業種
たばかりだが、ワールドワイドで見ても な目標を達成するのにはどうしたらよい 特化型のソリューションの
Hot Person
非常に高い成長率で伸びている。 かを検討した結果、ERPからスタート 開発を促進するための開発 ザック・ネルソン氏
するのがベストであると判 断した。 プラットフォーム
「NS-BOS」
──ERP、CRM、eコマースの統合型 ERPがバックボーンにあるスイートこそ を推進している。パートナー
SaaSがNetSuiteの最大の特徴となっ SaaS市場の最終的な勝者になる。そ 企業側での活用は進んでい
ている。現在のところ、SaaSでの提 う信じて出発した。 るのか。
供が進んでいるのはCRMやeコマース、 N e l s o n氏:NS-BOSプラットフォー
HR
(人事・人材管理)
などで、その領域 SaaS開発プラットフォーム ムは、当社の戦略上、非常に重要な存
はある程 度限 定されているようだ。 「NS-BOS」
で、パートナー発の 在 だ。 わ れ わ れ が 販 売 業 向 け の
SaaSの適用領域について、どのよう 業種別ソリューションを促進 NetSuiteをリリースし、それをパート
に見ているのか。 ──統合型SaaSを構成する新アプリ ナー、ディベロッパーが、販売業の中
N e l s o n氏:確実に広がっていくと考 ケーションとして、ERP、CRM、eコマー でも細分化された、例えば電器製品販
えている。今から10年後には、SaaS ス以外のSaaSを提供する計画はある 売業向けにカスタマイズしたNetSuite
モデルで提供されていないアプリケー のか。 を提供する──NS-BOSはそうしたビ
ション分野を見つけるほうが難しくなっ Nelson氏:これら3つのアプリケーショ ジネスを可能にするものだ。
ているだろう。 ンは、どの業種のビジネスにおいても  NS-BOSは、2通りのビジネス・モデ
 現在の市場では、CRMやHRなどを 共通するコア要素である。業務アプリ ルを対象にしている。1つは、カスタマ
単体提供するポイント・ソリューション ケーション・ベンダーが最初に直面する イズでの利用をメインとするVARや
としてのSaaSが主流をなしているが、 困難は、どの業種に向けて、どんな機 SIer、もう1つはISVである。NetSuite
今後、流れは確実にスイートに向かっ 能を自社製品に実装するのかを決める を扱う多くのVARは、すでにNS-BOS
ていくと見ている。当社は創業以来の ことだが、3つのコア要素は、あらゆる を恒常的に使っている。カスタマイズを
基本戦略として、SaaSでスイートを展 業種の業務プロセスに対応するうえで 1度行い、
そうして出来上がったソリュー
開するためにERPを提供している。 基本となるものだと考えている。 ション・セットをコーディングなしで複数
 1990年代後半にクライアント/サー  業種について言うと、われわれが得 の顧客に販売できるよう、レプリケー

(C/S)
システムの市場が進展したが、 意としている業種がいくつか挙げられ ションを作成するといった用途が典型
それと同様のことがSaaS市場でも起き る。最も強みを持っているのが販売業、 だ。一方のISV向けの展開は現在、市
ようとしている。当時、C/S市場を牽引 流通業で、その次がサービス業、3番 場を検証しているところだ。

July 2008 Computerworld 11


 業種特化型のNetSuiteを当社みず 時点でSalesforce.comもツール群をそ のSaaSアプリケーションは、すべて
からが提供したほうがよいのはどの業 ろえてくるだろう。 NetSuiteのERP、あるいはCRM、e
種か。パートナーの協力の下で提供し  開発環境に対する両社の考え方の コマースがベースとなって、その上に
たほうがよいのはどの業種か。そうした 違いは、両社のパートナー、ディベロッ 構築されることになる。
見極めを行うのと同時に、すでに多く パー・コミュニティが、どのような形で
のパートナー・ベンダーにおいて業種別 ツールを使っているかに大きく表れて ユーザーからの要望に応えて
ソリューションの開発が進んでおり、合 いる。
「ディベロッパーの皆さんは、当 開発された
「OneWorld」
計約600種類のソリューションが構築さ 社の用意するForce.comのデータベー ──グローバル企業が各国に展開する
れている。 スを使って独自のアプリケーションを 支社のリアルタイム・ビジネス管理を支
作ってください」
──。Salesforce.com 援する
「NetSuite OneWorld」
が発表
SaaS開発環境における のアプローチは、彼らのディベロッパー された。この構想はかなり以前からあっ
Salesforce.comとの に対して、そのような説明がなされる。 たものか。
アプローチの違い だが、その際、Force.comの開発スタッ N e l s o n氏:NetSuiteのシングル・イ
──SaaS開発環境は、競合ベンダー クの中には、Salesforce.com独自の ンスタンス・アーキテクチャを、一企業
であるSalesforce.comも
「Force. CRMアプリケーションが入っていない。 が持つ複数の組織で活用していくとい
com」
として提供している。NS-BOS したがって、同社のディベロッパーは、 う考え方は、当社の開発チームの間で
とForce.comとで、最も大きな違いは そうしたアプリケーションの構築から独 何年も前から検討されてきた。そこで
何か。 自に検討する必要がある。 われわれは、この構想の具現化に向け
N e l s o n氏:SaaSアプリケーションを  一方、
NetSuiteは、
「当社のデータベー て、データ・モデルの再構築に着手し、
構築するための開発ツール自体は、基 スを使って独自のアプリケーションを リリースに至った。
本的に同じと言ってよい。NS-BOSで 作ってください」
ではなく、
「当社のアプ  OneWorldの製品化は、われわれの
ディベロッパー向けに提供されるツー リケーション群をベースに、独自のアプ 顧客からのニーズの高まりによるもの
ル群は現在のところ、Force.comのそ リケーションを作ってください」
というア だ。企業規模がだんだん大きくなるに
れよりも少し先を行っていると思う。具 プローチをとっている。Force.comと つれ、グローバル・レベルでリアルタイ
体的には、
「SuiteBundler」
や「Suite 違ってNS-BOSでは、その開発スタッ ムな統合管理を可能にするようなシス
Script D-Bug」
のような特徴的なツー クの中に3つのコア・アプリケーション テムが必要だという声が多く上がり、そ
ルの存在がある。ただ、あくまで現時 が 含まれ ているのだ。したがって、 れに応えていくことになったわけだ。
点での話であって、おそらく、どこかの NetSuiteのパートナーが手がける独自
──OneWorldの発表会では、
「今後、
あらゆる規模の企業に、リアルタイム・
ビジネス管理へのシフトを促していく」
というアピールがあった。OneWorld
は中堅企業がメイン・ターゲットとなっ
ているが、システムのスケーラビリティ
は、NetSuite自体のそれも含め、どの
Profile ぐらいまで対応できるのか。
ザック・ネルソン Zach Nelson Nels o n氏:NetSuiteのスケーラビリ
Oracle、Sun Microsystems、McAfee、 ティだが、何ユーザーまで対応可能か
Ne t work Associa t esなどでマーケティン
グ、 営業、 製品開発などの部門の要職を歴任。 といった意味での制限は特にないと考
2002年以降、Ne t S ui t eの社長兼CE Oと
して同社経営の舵をとる。IT業界で20年に
えてほしい。
だが、
ERPの場合、
そのユー
わたるビジネス・リーダーシップの経験から、
ザー企業固有の要件に応える機能の実
同社の顧客ベースを世界各国の数千社にま
で拡大させている。St anf or d大学で理学士 装を追求する必要があり、その機能の
号と理学修士号を取得、 また、アプリケーショ
ン統合分野で特許を取得している 数や
“重さ”
がスケーラビリティを決定づ
けることになる。

12 Computerworld July 2008


 現行バージョンに備わる機能群を 商慣習にしても、各支社がそれぞれの ──NetSuiteやSalesforce.comが
もって考えると、中・大規模の販売会社、 ビジネス管理を完結した形で行えるよ 提供するSaaSモデルのERPやCRM、
サービス提供会社、eコマース企業の要 うになっている。あと、日本には、手形 それからGoogleの
「Gmail」
など、クラ
件には十分対応が可能だ。そして、標 という独特の決済の仕組みがあるが、 ウド・モデルで提供されるサービスが多
準のNetSuiteに加えてOneWorldを使っ OneWorldの日本版では、それにも対 くの企業で導入され始めている。一方、
てもらうことで、これら以外のユーザー・ 応していく計画だ。 業務アプリケーションやデータを外部
セグメントにも対応できるようになる。 に委ねることに抵抗を感じている企業
OneWorldの登場以前は、例えば複数 「SaaSは、クラウド・コンピューティング も、特に日本企業の場合少なくない。
の支社のシステムの統合が必要な場合 のサブセットである」 SaaSやクラウドが本格的に普及してい
は、それを可能にする製品を提供して ──発表会では、クラウド・コンピュー くためには、そうした心理的な障壁も取
いなかったので、NetSuiteが選ばれる ティングへの言及もあった。注目のキー り払っていく必要があるが、
“保守派”

ことはなかった。だが、今後はそうした ワードとなっているが、あなたが考える マインドを変えることが可能なのか。
状況も大きく変わっていくはずだ。 クラウドとはどのようなモデルなのか。 N e l s o n氏:逆に言うと、米国のビジ
 もう1つポイントを挙げるなら、中堅 N e l s o n氏:クラウド・コンピューティ ネス・シーンでは考えられないような動
企業向けで、複数の支社の統合を可 ングは、昔、AT&Tが使っていたクラ きが日本で起きている。日
能にする既存の製品は機能のレベルが ウド・テレフォニーという言葉から来て 本の携帯電話の高機能化
あまり高くなかった。この事実もOne いるのだと思う。電話機をプラグインす と、ユーザーの活用ぶりに
Worldが変えていくことになる。例えば、 れば、すぐに電話をかけられるようにな 驚いている。携帯電話を
Hot Person
現在
「J.D.Edwards」
などを使っている る状態を指していた言葉で、それを可 使って支払いをすることが ザック・ネルソン氏
ユーザーは、OneWorldのデモンスト 能にする機能はすべてクラウドの中に 普通に行われているようだ
レーションを見るなり、すぐに高い評価 あるという意味だ。クラウド・コンピュー が、米国ではまずやらない。
をしてくれると思う。 ティングは、その進化版と考えてよい どの国にも保守的な考え方
だろう。クラウドの中にある機能を使い、 を持つ層は一定数存在する。もしかし
──OneWorldが導入されたNetSuite 今度は電話ではなくコンピュータをつ たら、
SaaSのUIを携帯電話に入れたら、
のグローバルなシステムは、各国の支 なぐというイメージだ。 日本の保守的なユーザーも違和感なく
社/支店のビジネス管理にどのような  クラウド・コンピューティング・モデ 使ってもらえるのかもしれないが。
メリットをもたらすのか。 ルにおいて、デバイスをプラグインさえ  さておき、心理的な障壁の問題は当
Ne l s o n氏:OneWorldは、グローバ すれば、多種多様なサービスを享受で 然、
きちんと考えなくてはならない。ただ、
ル企業で利用する1つのアプリケーショ きるようになる。例えば、ゲームで世界 SaaSやクラウド・コンピューティングの
ンにおいて、各国の支社が完結した1 各国のプレーヤーと対戦したり、Net ような動きを後押ししてくれるのは若い
つの企業として機能することを前提に Suiteのような業務アプリケーションを 世代が中心だ。ネットに親しみ、クラウ
設計されている。例えば、あるグロー ただちに自社で利用できたり、あるい ド・コンピューティングを使って育って
バル企業の日本支社は、階層的に見れ はeBayや楽天のオークションで気に きた世代が学校を出て就職すると、こ
ば、本社という上位の階層があるが、 入った商品を落札したりといったこと れまで使っていたコンシューマー向けの
この日本支社のマネジャーは、日本支 が簡単に行える。どれも今、われわれ アプリケーションだけでなく、業務アプ
社がただ1つのエンティティとみなして がすでに経験していることだ。 リケーションも同じように使いたいと思
ビジネス管理が行える。  われわれが注力するSaaSは、クラ うようになるのではないだろうか。
 OneWorldを導入することで、例え ウドから享受できるサービスの1形態だ  一方、年配の世代には、SaaSを使
ば日本支社のスタッフが商品の販売状 と考えている。クラウドから業務アプリ うことによって、いかに業務効率が高
況を見る際には、消費税が付された状 ケーションとビジネス・サービスを使え まり、コストが削減できるのかというメ
態でそれを確認することができる。同 るようにするものだ。クラウド・コン リットを説いていきたい。コストは非常
じタイミングで、ドイツ支社の場合は付 ピューティングという大きな概念があ に重要な要素だ。往々にして、金銭的
加価値税
(VAT)
が付されている、と り、そのサブセットの1つがSaaSという 効果が明らかであれば、心理的な障壁、
いった具合だ。こうして、
税制にしても、 ことになる。 懸念などは克服されるからだ。

July 2008 Computerworld 13


3
643
7 0 6 79 2
11
42 841971
69 53 0 28
482
5

862803 7 95
2
383
79323846 2643

illustration:iwai Design

I T I n s i d e To p i c s
ニュースな IT
IT業界で闘う
“アスピーズ”
アスペルガー症候群を抱えたITプロたちの と
「苦悩」「現状」

優秀なプログラマーやエンジニアの中には、
驚くほどの集中力で高度な仕事をこなす反面、人づきあい、会議、営業トークを苦手とする人も多い。
そんな彼らは、もしかしたら
「アスペルガー症候群」
を抱え、
対人関係の構築に苦しんでいる
「アスピーズ」
かもしれない。
本稿では、IT業界で働くアスペルガー症候群を抱える人たちに焦点を当て、
彼らが今、直面する問題と苦悩をつまびらかにするとともに、
今後、われわれが改善すべき課題について考えてみたい。

Tracy Mayor
Computerworld米国版

14 Computerworld July 2008


超人的な記憶力を持つものの まま口にしてしまうのである。こうした遠慮のなさが、

くだらない冗談が理解できない 職場でトラブルを引き起こしてしまうのだという。

 オーストラリア郊外在住のライノ
(Ryno)
氏は、自ら 医学界でも見解が分かれる

「燃え尽き症候群で障害と共に生きる人間」
と表現 アスペルガー症候群の定義
する50代の元システム管理者である。
 Ryno氏はシステム管理という仕事に愛着を持ち、  紹介した3人のITプロフェッショナルには、共通点
技術者として職務を遂行していた。しかし、会社生 がある。それは自閉症であるということだ。Bob氏と
活の中で、親愛の情を込めて背中をポンとたたかれ Ryno氏は自閉症の中にカテゴライズされる
「アスペル
たり、会議に出席したりといった、職務に伴う対人的 ガー症候群
(Asperger's Syndrome)
(アスペルガー

なコミュニケーションに耐えることができなかったとい 障害:Asperger's Disorderとも呼ばれる)
であり、
う。
「システムの効率化を図ったり、ダウンタイムを低 Jeremy氏は
「 高 機 能自閉 症
(High-Functioning
減させたりすることはできる。しかし周囲の人々を喜 Autismb:HFA)
」だ。ただし、アスペルガー症候群
ばせるような行動が、わたしにはできなかった」
(Ryno や高機能自閉症といった用語の定義については、医
氏) 学界でも意見が割れており、しばしば激しい論争も
 ハイテク業界で26年のキャリアを持つデータベー 起きている。基本的には、アスペルガー症候群も
ス・アプリケーション・プログラマーのボブ
(Bob)
氏は、 HFAも何らかの自閉症の特徴
(周囲への反応が一般
数学と論理学を得意としている。同氏は、本人いわ 的でない、社会的相互交渉がうまくいかないなど)


「変わった記憶力」
の持ち主で、質問に対する答え あるものの、典型的な自閉症に見られる
「認識障害」

が思い出せなくても、その答えをどの本で目にしたか 「コミュニケーション発達障害」
、「言語発達遅滞」

を、ページ、段落、そして文章の一言一句に至るまで、 いった症状がない状態を指している。
正確に思い出すことができるという。  米国精神医学会が発行した
『精神疾患の分類と診
 Bob氏には、このほかに2つの変わった癖がある。1 断の手引
(Diagnostic and Statistical Manual of
つは強いストレスを感じると、言語能力が低下するこ Mental Disorders:DSM-IV-TR)
』によると、一般
と。そしてもう1つは、物事を文字どおりに
(つまり、 に
「アスピーズ」
と呼ばれるアスペルガー症候群の人
空気を読まずに)
解釈してしまうことだ。
「わたしが皮 は、非言語的なシグナルを読み取ることが苦手だとい
肉を皮肉として受け取らないことについて、上司はい う。また、周囲とうまく交友関係を築けなかったり、
らだたしく感じているだろう。だが上司は、少なくとも 特定の習慣や儀式的な行為に執着したり、手や指を
わたしの行動が故意でないことは理解してくれてい ひらひらさせるなどの特定の動作を繰り返したりする
る」
(Bob氏) 特徴が見られることがあるという。
 ジェレミー
(Jeremy)
氏は、プログラミングに対する  オーストラリア・ブリスベン在住で、アスペルガー症
深い洞察力があり、ソースコードを内部から見渡すこ 候群の臨床医兼作家として世界的に知られているト
とができるかのように、プログラミングの問題を把握 ニー・アトウッド
(Tony Attwood)
博士は、より人格/
できる。また、取引先のCEOやCIOと、ビジネスや 性格的な観点からアスペルガー症候群を定義している。
技術に関する非常に専門的な内容を議論するのも得 「多くのアスピーズは、知識や真理を探求する強い欲
意だ。匿名を希望する本人の意向もあり、その専門 求を持っている。ただし、それらを探求する手法の優
分野は明かせないが、Jeremy氏は業界の誰もが知っ 先順位が、一般の人とは異なっているのだ。アスピー
ている大物プログラマーである。 ズが最優先にするのは問題
(課題)
解決であり、探求
 そのJeremy氏が苦手とするのは、つまらない発言 の過程で発生する他者の感情的なニーズや社会との
をする同僚をうまくあしらったり、職場に存在する
“官 かかわりなどは軽視することがある」
(Attwood氏)
僚主義的な習慣”
に折り合いをつけたりすることだ。  Attwood氏が指摘する
「他者との関係性に関する
例えば、どう考えても失敗するようなアイデアをだれ 問題」
は、まるでIT技術者が抱える問題のことを言っ
かが提案した場合に、Jeremy氏は思ったことをその ているように聞こえないだろうか。

*本文中、ファースト・ネームのみの人物は仮名
July 2008 Computerworld 15
管理センターの概算では、8歳児の150人に1人の割
「紋切り型の見解ではあるが、 合で、何らかの自閉症の症状があるとされている。
ハイテク業界のアスピーズ率は  この数字は以前の統計と比較し、急速に増加してい
一般社会のアスピーズ率よりも高い」 る。その理由がより正確な診断が下せるようになったた
Bob氏
(アスピーズのデータベース・アプリケーショ めなのか、より幅広い症状まで自閉症とするようになっ
ン・プログラマー)
たためなのか、本当に自閉症を抱える人が増加してい
るためなのか、あるいはこれらの要因やその他の要因が
複数関係しているためなのかははっきりしていない。
 米国Yale大学の発達障害クリニックが発表したア  こうした背景から、成人したアスピーズの人口を把
スペルガー症候群に関する論文にも、同様の記述が 握するのはさらに困難だ。通常、アスピーズの知的能
見られる。その一部を紹介しよう。
「アスペルガー症候 力は平均的かそれ以上であることが多い。そのため、
群を抱える人は、物事への関心の向け方が特異的で その症状を隠して職場や社会に適応できてしまうこと
あることが多く、一般的でない。また極めて限定的な が少なくないからだ。その結果、診断を受けることな
対象物
(時刻表、蛇、天気、揚げ物用の鍋、電柱の く一生を過ごしてしまう人も多いという。
絶縁体など)
に関心を抱くことがある」  米国国立精神衛生研究所の広報担当者によると、
 
“極めて限定的な対象物”
にはテクノロジーも含まれ 成人したアスピーズの人数を把握している政府機関
るだろう。前出のRyno氏がAttwood博士の診察を最 や学術研究は、同研究所が知るかぎりでは存在しな
初に予約したとき、受付の女性はこう尋ねたという。 いという。
「Rynoさんの最大の関心事は何ですか」
と──。  統計がないのであれば、アスピーズたちのエピソー
 
「図らずも彼女は、診断の手がかりとなる重要な質 ドに頼るしかない。アスペルガー症候群を自覚してい
問をしたことになる。最大の関心事を尋ねるのは、ア るIT技術者に、IT業界とアスピーズの関連性を尋ね
スペルガー症候群かどうかを見極める第一歩であるか たところ、前出のRyno氏からは以下のようなメールを
らだ」
(Ryno氏) もらった。
 Ryno氏が強い関心を持っているのは、
「コンピュー
タ」
と「コミュニケーション」
だ。IT業界にはRyno氏と アスピーズ ⇒ 魚としてのIT技術者 ⇒ 水
(訳注:
「fish」
には「何らかの欠陥を抱えた人」
という意味がある)
同様の関心を持つ人が、数え切れないほど存在する
はずである。
 またデータベース・アプリケーション・プログラマー

アスペルガー症候群と のBob氏からは、
「紋切り型の見解ではあるが、ハイテ

IT業界の深い関係とは ク業界のアスピーズ率は、一般社会のアスピーズ率
よりも高い」
という返答をもらった。
 自閉症という症状が最初に報告され、正式にそう  このテーマを語ってもらうのに、
テンプル・グランディ
命名されたのは1943年のことだ。自閉症は神経発達 ン
(Temple Grandin)
氏ほどの適任者はいないだろう。
障害が原因だと考えられているが、その解明はいまだ
十分に進んでおらず、原因や症状、研究、治療法など、
あらゆる側面で現在も激しい議論が続いている。
 特に、知能指数が比較的高いアスペルガー症候群
とHFAはその定義が難しく、診断が確定されなかっ
たり症状が過小評価されたりすることがしばしば起こ
る。そのため全体の人数が正しく把握されておらず、
また症状への理解も進んでいない。
 米国では近年、
自閉症
(アスペルガー症候群を含む)
と診断されるケースが急増している。米国疾病予防

16 Computerworld July 2008


Grandin氏はアスペルガー症候群を抱えながら博士 人たちに向いている職業には、コンピュータ・プログ
号を取得した大学教授であり、動物の環境に配慮し ラミング、製図
(コンピュータを使用するものを含む)

た家畜施設の設計者として世界的に知られている。 コンピュータのトラブル・シューティング/メンテナン
現在はセカンド・キャリアとして、アスペルガー症候 ス、Webデザイン、ゲーム・デザイン、コンピュータ・
群についての執筆と講演活動に注力している
(注1)
。 アニメーション作成などが挙げられている。
 
「アスペルガー症候群とITとの間に相関関係はある  一方、非視覚的思考をする人たち
(Grandin氏は具
のか──。もしアスペルガー症候群というものが存在 体的に
「数学や音楽、事実問題を得意とする人たち」
しなければ、コンピュータは誕生しなかっただろう。 と定義している)
は、コンピュータ・プログラミング、
“ギーク
(Geek)
”や“ナード
(Nerd)
”とは、要するに軽 工学、在庫管理、物理学が適しているという。
度のアスペルガー症候群のことだ。アスピーズの関心  なぜアスピーズは、技術的な仕事に興味を持つの
は、人ではなくモノに向けられている。そしてモノに だろうか。
関心を抱いた人たちが、現在われわれが使用してい  米国ワシントン州シアトルの郊外にあるデモインと
るコンピュータを作ってくれたのだ」
(Grandin氏) いう町で
「Becker&Associates」
クリニックを開業し、
発達障害のセラピーを行っているスティーブ・ベッカー

些細なことがネックに (Steve Becker)


氏は以下のように語る。

アスピーズの就職事情  
「成人したアスピーズは、他者とどうやってかかわっ
ていけばよいのかを理解することができない。彼らは
 Grandin氏はアスピーズなどに向き/不向きな職業 パーティや社会的な交流ではなく、一定のルールが
を、
能力別にまとめて公開している 2)
(表1、 。
コンピュー ある作業のほうに魅力を感じている。
そんな彼らにとっ
タ技術に関する職業は、大方の予想どおりリストに登
注1:
『我、自閉症に生まれて』
『自閉症の才能開発』
など、日本語にも翻訳されて
場している。例えば、視覚的
(ビジュアル)
思考をする いる
(両書とも発行:学習研究社)

表1:Grandin氏のWebサイトで公開されている、高機能自閉症/アスペルガー症候群を抱える人に適した能力別職業リスト
(Webサイトを基に編集
部で作成) (http://www.autism.com/individuals/jobs.htm)
視覚的思考の人 非視覚的思考の人
コンピュータ・プログラマー コンピュータ・プログラマー
図版設計者 エンジニア
広告デザイナー ジャーナリスト
フォトグラファー/ビデオグラファー 図書館員
工業デザイナー 会計士
動物の調教師 コピー・エディター(校正者)
自動車デザイナー タクシー・ドライバー
コンピュータ修理師/トラブルシューター 在庫管理者
小工具修理師 ピアノ/楽器の調律師
Webデザイナー 銀行の出納係
建築業全般 事務員(ファイリングなどの書類管理)
ゲーム・デザイナー 統計学者
CGアニメーター 物理学者

表2:Grandin氏のWebサイトで公開されている、高機能自閉症/アスペルガー症候群を抱える人に適さない職業リスト
職種 理由
レジ係 異なる複数の要求を短時間に判断する必要があるため
忙しいレストランのコック 同時に複数の作業をこなす必要があるため
ウエイター/ウエイトレス 同上
タクシーの配車係 同上
旅行代理店 フライト変更など予測不可能な問題に対応する必要があるため
先物取引のディーラー 将来を予測して行動することが求められるため
航空管制官 予測不可能な情報を瞬時に判断する必要があるため
予約係 予約が立て込んだ場合、柔軟な対応が求められるため
電話オペレーター 問い合わせが立て込んだ場合、柔軟な対応が求められるため

July 2008 Computerworld 17


いるよりもはるかに多様だ」
と指摘する。同氏によると、
「もし、アスペルガー症候群というものが アスペルガー症候群であることを隠して社会に適応
存在しなければ、コンピュータは する術を身につけた人は、トップ・グループで活躍す
誕生しなかっただろう」 るか底辺で生きていくかのどちらかになることが多い
Temple Grandin氏
(アスピーズの作家)
という。
 Becker氏やMeyer氏が懸念しているのは、業界の
底辺で働くアスピーズだ。アスペルガー症候群を抱え
てビデオ・ゲームやソフトウェア・プログラムを作る仕 ながら企業に就職した人は、データ入力業務や保険
事よりも適しているものがあるだろうか。ソフトウェア・ 金請求処理などの単純作業であれば、長期にわたっ
プログラムを設計する際には、特定のルールと規約に て従事することができる。だが、会議への出席など、
従えばよい。だが人生には、マニュアルは存在しない より高度な社会的相互交渉が求められる地位に昇進
のだ」 したとたん、大変な苦しみを味わうことになるからだ。
 なおBecker&Associatesでは、成人したアスピー
ズのための小規模なグループ・セッションを継続的に ニュートンもアインシュタインも……
実施しているという。 天才、偉人とアスピーズ
 Becker氏は顧客のプライバシーに配慮しながらも、
米国Microsoftや米国Boeingといった地元の大手企  アスピーズがIT業界に多いというのであれば、彼ら
業をはじめ、数百にも及ぶ両社の関連企業に勤める と同僚になる確率はほかの業界よりも高いことになる。
多くの人々やその子供たちが、同氏のクリニックに通 ひょっとしたら直属の上司がアスピーズかもしれない
院していると打ち明ける。同氏がカウンセリングをし し、その上の上司がそうかもしれない。あるいは上司
ている顧客の中には、ソフトウェア/航空宇宙のエン と部下の全員がアスピーズである可能性もある。
ジニアをはじめ、科学者、博士号取得者など、その  前出のGrandin氏は、
「IT業界で活躍する有名人た
業界のトップ・クラスの人材も含まれているという。 ちのプロフィールを読んだりテレビで見たりするが、
 しかしアスペルガー症候群を抱えながら業界のトッ だれがアスペルガー症候群であるかは見分けがつく。
プで活躍する人々がいる一方、同じ業界でも下請け、 実名を挙げることはしないが、大物業界人の中にも明
孫請けの立場で苦労しているアスピーズも数多く存 らかなアスピーズはいる」
と指摘する。
在する。  アスピーズは特別な存在ではない。それどころか、
 
『T h e A s p e r g e r S y n d r o m e E m p l o y m e n t 天才、偉人だっているのだ。科学者のアイザック・
Workbook
(アスペルガー症候群の雇用ワークブック)
』 ニュートン
(Isaac Newton)
、物理学者のアルバート・
の著者で、米国で歴史のあるアスペルガー症候群サ アインシュタイン
(Albert Einstein)、詩人のエミリー・
ポート・グループを運営する、米国オレゴン州ポート ディキンソン
(Emily Dickinson)
などはアスピーズだっ
ランド在住のロジャー・マイヤー(Roger Meyer)
氏は、 たと指摘されている。また、映画やテレビでおなじみ
「アスピーズが就いている職種は、一般に考えられて のミスター・スポック
(『スタートレック』
の登場人物)

ミスター・ビーン、シャーロック・ホームズもアスピー
ズの特徴があると言われている。そして、アスピーズ
と指摘されることが最も多い有名人は、ほかならぬ
「マ
スター・ギーク」
ことMicrosoft会長のビル・ゲイツ
(Bill
Gates)
氏である。
 ただしGates氏は同時に、
「もし本当にアスペルガー
症候群なら、あのように人前で堂々とふるまえるわけ
がない」
と、当のアスピーズから
「アスペルガー症候群
説」
を否定されている人物でもある。実際のところは
どうなのか。この質問を直接、Gates氏専属の広報担

18 Computerworld July 2008


当者に尋ねてみたが、コメントは差し控えたいとの返
答だった。
 Becker氏は、
「仕事が技術的であればあるほど、ア
スピーズは完璧にこなすことができる。しかし人によっ
ては、管理職として部下を監督することが困難な人も
いる」
と指摘する。
 Meyer氏も、
「対人関係の構築が困難なために昇進
できないこともある。このためアスペルガー症候群を
抱えながら働いている人々は、IT業界の中でも賃金
の低い業種や、アウトソーシングの対象になりやすい
職務に固定されてしまうことがある」
と説明する。
 Meyer氏は、
「アスピーズは1つのことに没頭し、ルー
ルに従って何らかの診断を下す作業が得意だ。例え 症を抱える社員に対しては、何の支援もしていない。
ばソースコードのミスを発見するといった作業は、豊  Microsoftの広報担当者は、同社にはアスピーズ
富な知識を駆使して解決してしまう。また型破りであ のグループや彼らを支援する制度は存在しないとコメ
りながら効果的な方法を考えつくことも多い」
と、アス ントしている。過去には、アスペルガー症候群の社員
ピーズの特徴がIT業界でプラスになるとしつつも、
「た が支援策を求めてきたことがあったが、そうした場合
だしこうした仕事は、自動化やアウトソーシング化が には、障害者担当のケース・マネジャーが、
「ケース・
進んでいる。アスピーズが就職できるチャンスは縮小 バイ・ケース」
で「しかるべき支援」
をしていたという。
しているのが現状だ」
と問題点を指摘する。  なお、米国Intel、米国Yahoo!、米国Googleにア
スピーズに関するに取材を申し入れたところ、Intelと

問題が表面化しづらい? Yahoo!は取材拒否
(返答拒否)
、Googleは広報担当

進まないアスピーズ支援 者を通じて
「その質問には答えられない」
と回答してき
た。
 アスピーズが多いとされるIT業界。では、IT企業  アスピーズへの支援が困難である理由の1つには、
は彼らのためにどのような支援制度を設けているのだ 車椅子を利用せざるをえない障害や、外国人社員が
ろうか。 直面する言語的な障壁とは異なり、その
“差異”
が目
 Becker氏とMeyer氏は、
「一般的な医療保険制度 に見えず、周囲からの理解を得られないことが挙げら
を利用してセラピー費用を負担するといったケースを れる。
「視覚的にすぐわかる障害のほうが、同僚らの
別として、アスペルガー症候群/HFAを抱える社員 理解を得やすいということはあるだろう。問題を抱え
の職務訓練や各種支援を制度として設けている企業 ると顔が真っ青になるというような症状が、アスペル
の存在は聞いたことがない」
と口をそろえる。 ガー症候群にあればよかったのだが……」
とRyno氏は
 IT業界にアスピーズが多いのであれば、彼らを支 嘆く。
援するため、少なくともその存在を認知するために、  Jeremy氏も、
「(言語の異なる)
外国人の相手をする
なぜ業界として積極的に行動しないのだろうか。 ときのように、その
“差異”
がすぐにわかれば、アスペ
 IT企業は、人種的、身体的、発達的背景を持つ ルガー症候群を抱える人に対しても寛大になれるの
社員たちを支援するため、他業界の企業よりも積極 だろうが……」
と支援が難しい理由を説明する。
的に活動している。例えば、Microsoftもその1社だ。  もう1つの理由として、その特徴からアスピーズは
同社には少なくとも20以上の
「アフィニティ・グループ」 組織を作るという行為が苦手であるという事情もある。
(マイノリティ支援グループ)
があり、アフリカ系アメリ Microsoftで組織されている支援グループは、いずれ
カ人、シンガポール人、シングル・マザー/ファーザー、 も当事者である社員が自発的に結成し、運営している
聴覚障害者、視覚障害者、同性愛者/両性愛者、 ものだ。アスピーズの場合、当事者の社員が単独も
性同一性障害者などを支援している。しかし、自閉 しくは仲間と共に交流グループを立ち上げることは非

July 2008 Computerworld 19


常に考えにくいのである。またアスピーズは通常、ア 画面1:Edanと名乗るアスピーズが2002年に開設したWebサイト
(http://www.aspergia.com/)
スペルガー症候群であることを職場で公言していな
い。せいぜい1人か2人にしか打ち明けていないことが
多いのだ。
 アスペルガー症候群であることを公言すべきかどう
かについては、
今も論争が続いている。Ryno氏の場合、
最後となった職場でアスペルガー症候群であることを
公言した。しかし、同氏はそのことを後悔していると
いう。偶然にも上司が軽度のアスペルガー症候群だっ
たにもかかわらず、だ。
「アスピーズが上司になったの
は、そのときが初めてだった。わたしがなぜ他人と目
を合わせようとしないのか、会議を嫌うのか、くだら
ない冗談を適当にあしらうことができないのかを説明
せずに済むのは、とても新鮮な経験だった」
(Ryno氏)
画面2:自閉症を自覚するAmanda Baggs氏が自身の日常を撮影した
「In My Language」

自分の五感を通じた“世界” を理路整然と語っている

アスペルガー症候群は か?
「疾患」
(http://www.youtube.com/watch?v=JnylM1hI2jc)

カミングアウトの葛藤

 
「世界には約2,000万人のアスピーズがいます。こ
れだけの人数が一堂に会すれば、だれもわたしたちを
『変わった人』
などと呼ばないでしょうし、だれもわた
したちが
『症候群』
や『病気』
を抱えているなどと見なさ
ないでしょう」
 これは、エダン
(Edan)
氏と名乗るアスピーズが
2002年に開設したWebサイト
「Aspergia.com」
に掲載
した文章である
(画面1)
。ここでEdan氏が想定してい
るのは、集中力が短時間しか持続せず、常に他者と
交流することを必要とする
「定型発達者」
がマイノリ
ティで、アスペルガー症候群が
「障害」
ではなく正常だ
と見なされる世界である。
 Aspergia.comは、アスペルガー症候群をはじめと うに思う」
(Ryno氏)
する、自閉症を抱える人を支援するWebサイトの先駆  Ryno氏はアスピーズの上司と2人でシステム管理
け的な存在だ。
「定型発達者以外はすべて障害者であ 者の負担を最小限に抑えたユーザー・サポート・シス
り、治療が必要である」
という世間の考えに対し、ユー テムを設計したものの、周囲からの反発を買い、その
モアや正当な理論を交えて反論しようとする動きは、 システムはほとんど利用されなかったと語る。そして
少しずつ広がっている。 同氏は、社内規定に違反してアダルト・コンテンツを
 その最新の事例が
「In My Language」
と題するア ダウンロードした社員のインターネット・アクセスを再
マンダ・バッグス
(Amanda Baggs)
氏の動画だ
(画面 度許可するよう幹部職員に命じられたあと辞職した。
2)
。この動画は
「YouTube」
で大変な人気を集め、世 同じくアスピーズの元上司は現在、多くの人が集まる
界中の主要メディアでも紹介されている。 懇親会や会議など、以前はほとんど参加を免除され
 一方、Ryno氏のように、アスペルガー症候群であ ていた行事への参加を強制されるようになったという。
るとカミングアウトしたことを後悔している人もいる。  Jeremy氏もこれまでの経験から、アスペルガー症
「デメリットばかりで、得るものはほとんどなかったよ 候群を抱える社員が周囲に理解を求めたとしても理

20 Computerworld July 2008


解を得られる可能性は低く、最終的には職を失う結 め、
日々の過ちをお互いに修正し、
周囲に自分を
“適合”
果になると感じている。 させていくことができるが、Jeremy氏にはそれができ
 
「自分では物事をきちんと見ているつもりなのだが、 ない。
「周囲の人たちは、わたしの悪い点を指摘しよう
白黒がはっきりしない
“境界”
にあるような問題を、う とはしない。だから問題が顕在化するまで、自分が過
まく理解することができない。また、わたしは集団の ちを犯していることに気づかないのだ。わたしは多く
一員であるという感覚を持てずにいるが、他の人たち のことに気づいてはいるが、重要なシグナルを見逃し
は組織への強い帰属意識を持っている」
とJeremy氏 ている。見逃したシグナルはブラック・ホールのような
は語る。 もので、あまりに多くのシグナルを見逃すと、最終的
 会社の同僚たちは組織の一員という自覚があるた にわたしはその穴から外に吸い出されることになって

c o lumn

日本国内におけるアスピーズ支援はスタート地点に立ったばかり
Computerworld編集部

米国同様、日本にもアスペルガー症候群を抱えながら就労している人は多い。しかし、彼らの就労支援を「制度」として設けている企業はほとんどな
いようだ。アジア地域の中では比較的進んでいると言われる日本の支援体制だが、欧米に比較するとまだ課題は多いという。その課題とは何か──。
ここではNPO法人東京都自閉症協会で理事を務める尾崎ミオ氏の話を中心に、日本におけるアスピーズの現状とその支援課題を紹介する。

 日本では2005年4月1日に
「発達障害者支援法」
が施行され 文部科学省が2002年に公表した
「通常の学級に在籍する特別
た。これは、アスペルガー症候群やその他の広汎性発達障害 な教育的支援を必要とする児童生徒に関する全国実態調査」

を持つ人を支援する法律である。発達障害を早期に発見し、 よると、学習面や行動面で著しい困難を示す生徒の割合は、
ライフ・ステージに合わせて適切なサポートを行うことで、発達 通常学級に通う生徒全体の6.3%に上るという。つまり30人ク
障害者の社会生活/自立を支援することを目的としているもの ラスであれば、1~2人は何らかの発達障害である可能性を抱
だ。 えた生徒ということになる。
 尾崎氏は、
「発達障害者支援法が施行されたことで、アスペ  このような事情をかんがみ、文部科学省は2008年、
「特別
ルガー症候群や高機能自閉症という言葉が、少しずつではある 支援教育」
を掲げ、通常の学級などに在席する障害のある幼
が認知されるようになったと感じる。以前は
『自閉症』
と言えば、 児/児童/生徒を指導/支援する取り組みを開始した。
しかし、
引きこもりなどと誤解されることも多く、特に知的障害をともな 現場の教師からは
「学級運営すら困難な状態では、障害児支援
わない高機能自閉症やアスペルガー症候群の存在はほとんど まで手が回らない」
との声が上がっているという。尾崎氏は
「支
知られておらず、その特徴が正しく理解されていなかった」
と語 援が現場任せになってしまっているなどの課題はあるが、国や
る。 教育機関が発達障害者を支援するという動きは評価できる。
 発達障害者支援法の施行後、厚生労働省は
「発達障害者就 やっと支援活動のスタートラインに立ったというのが実感だ」

労支援者育成事業」
を立ち上げた。これは
「若年コミュニケー 語る。
ション能力要支援者就職プログラム」
「発達障害者の就労支援
者育成事業の拡充」
「発達障害者を対象とした職業訓練」
などを 分業体制の確立で特徴を発揮できる環境を
積極的に実施することで、発達障害者の就労を支援しようとい  では、日本でもIT業界にはアスピーズが多いのか。この点に
うものである。しかし、これらは
「モデル事業」
として始まったば ついて尾崎氏は、
「正確な統計がないので、あくまでも主観だが」
かりであり、特にアスピーズの就労支援については、一部の企 と前置きをしたうえで、
「アスピーズの中には決められたルール
業や就労支援者が草の根的に支援を行っているのが現状だ。 に沿って行う作業を得意とする人が少なくない。そういった仕
「アスペルガー症候群の特徴を理解し、彼らが就労しやすい環 事がIT業界に多いのであれば、アスピーズ率が高くなっても不
境を提供する」
というレベルには到達していない。 思議ではない」
と語る。
 米国同様、日本でもアスピーズの人数を正確に把握している  尾崎氏はアスピーズの就労支援として、
「分業体制の確立」

機関は存在しない。その理由について尾崎氏は、
「アスペルガー 挙げている。
「現在の企業では、プログラマーであっても営業的
症候群、高機能自閉症、注意欠陥/多動性障害、学習障害は なスキルや会議への出席など、アスピーズにとって不得意なス
その特徴が重なっていることが多く、明確な線引きができない。 キルも要求されることが多い。アスピーズはその特徴が千差万
また、診断する医師によっても判断が分かれているのが現状だ。 別だ。
『他人と同じことがなぜできないのか』
と“同化”
を求められ
そのような状況では、アスピーズだけを数えることは難しい」
と てもそれができない。それよりも、会議や営業は他の社員と分
指摘する。 担できる体制を整え、得意分野に集中できる環境を与えてほし
 本文でも紹介したとおり、米国では近年、自閉症と診断され い。そうすれば、持っている力を発揮できるアスピーズは多い
るケースが急増している。その傾向は日本でも同様のようだ。 はずだ」
(尾崎氏)

July 2008 Computerworld 21


オフィス環境は改善できる。
「仕事を依頼してくる人は、  また公式には発表されていないが、Microsoftはア
仕事を入力したら数週間後にその成果物を スピーズ支援のために
「バディ制度」
導入しているとい
出力してくれる機械のような役割を、 う。これは定型発達者
(非自閉症者)
とアスピーズとが
わたしに望んでいるように感じる」
ペアを組み、会議などの社会的相互交渉の必要性を
Jeremy氏
(高機能自閉症のプログラマー)
教える制度だ。多くのアスピーズはこの制度を
「実際
に行われているのであれば、評価できる」
としている。
 アスピーズの希望はシンプルだ。それは
「自分たち
しまう。その繰り返しだ」
(Jeremy氏) に適した役割
(仕事)
を、企業環境の中で見いだす機
 これは、仕事ができるかどうかの問題ではない。そ 会を与えてほしい」
というものである。企業は社員の聴
の証拠に、Jeremy氏はプログラマーとしての腕を高 覚能力、性的指向、人種、宗教を考慮し、適切な役
く評価されており、次々に仕事が舞い込んでくる。問 割
(仕事)
を見いだすように支援している。その支援対
題は人間関係をうまく築けるかどうかなのだ。 象にアスピーズも入れてほしいというだけのことなの
 
「(仕事を依頼してくる)
人は、仕事を入力したら数 だ。
週間後にその成果物を出力してくれる機械のような役  前出の精神分析医Becker氏によると、先進的なハ
割を、わたしに望んでいるように感じる」
(Jeremy氏) イテク企業は、
(徐々にではあるが)
アスピーズを支援
する取り組みを実施し始めているという。Becker氏

アスピーズが切望する は
「アスピーズ支援の取り組みは始まったばかりで、

よりよい職場環境とは 全体的にはまだ十分ではない」
と指摘したうえで、以
下のように語る。
 アスピーズが職場で抱えている
「社会的相互交渉が  
「少なくとも現時点では企業にも
(アスピーズ支援の
困難」
という課題は、先進的な人事部門でさえ理解で 体制が整っていないことに対する)
釈明の余地はある。
きないほど微妙なことなのかもしれない。しかし、だ ほとんどの企業は、アスペルガー症候群を抱えた人
からといって、アスピーズの支援に消極的であること 物と接した経験がない。アスペルガー症候群という定
を正当化する理由にはならない。専門家は、
「アスピー 義が生まれたのは比較的最近のことであり、成人アス
ズに配慮した環境作りといっても、大がかりなもので ピーズという存在については、ほとんど知られていな
ある必要はない。また、
“アスピーズに特化した”
と考 かった。多くのIT企業は、アスピーズを貴重な戦力
える必要もない」
とアドバイスする。 として支援したいと考えているが、そのやり方がわか
 Grandin氏らは、オフィス環境に物理的な工夫を らないだけなのではないだろうか」
するのも1つの施策だと指摘する。
多くのアスピーズは、  こうした状況も、将来的には変化していくはずだ。
照明の明滅、エアコンやコピー機の動作音、電話の  
「今後5年から10年のうちに、より多くの企業がアル
呼び出し音を不快に感じている。オフィス内での ペルガー症候群やHFAを、普通の特徴としてとらえ
ちょっとしたしゃべり声すら苦手だという場合も多い。 るようになるだろう」
(Becker氏)
そういった音のしない空間を確保したり、防音設備を
整えたり、あるいはホワイト・ノイズを流したりすれば、

「システムの効率化を図ったり、
ダウンタイムを低減させたりすることはできる。
しかし周囲の人々を喜ばせるような行動が、
わたしにはできなかった」
Ryno氏
(アスピーズの元システム管理者)

22 Computerworld July 2008


マイクロソフト、ヤフー買収を断念──金額面で歩み寄れず交渉決裂
NEWS
3カ月におよぶ歴史的な買収劇に幕。ヤフーCEOのヤン氏、
「買収提案はもはや過去の話だ」

 米国Microsoftは5月3日、米国Yahoo! た。しかし、Yahoo!側はこの金額を
「過小 す声明文を発表した。
に提案した買収案を白紙撤回すると発表し 評価しすぎだ」
と一蹴。これに対しMicro  Yahoo!の取締役会代表を務めるロイ・
た。約3カ月におよぶ歴史的な買収劇は、 softは株式公開買付
(TOB)
に応じるよう ボストック
(Roy Bostock)
氏は声明文の
交渉決裂で幕を閉じた。 Yahoo!の取締役会に圧力をかけるなど強 中で、
「Yahoo!はオンライン広告市場にお
 買 収 断 念 に 関 す る 声 明 文 の 中 で、 硬姿勢に出たものの、Yahoo!側はこれを いて、
大きく成長す可能性を秘めた企業だ」
MicrosoftのCEO、スティーブ・バルマー 拒否。5月に入ってMicrosoftはYahoo! と述べ、1株当たり37ドルの評価は妥当な
(Steve Ballmer)氏は、
「Microsoftが 株式を1株当たり33ドルで評価し、50億 要求であることを強調した。
Yahoo!に 対して 提 案した 買 収 案 は、 ドルの追加金額を提示したが、Yahoo!は  また、Microsoftに批判的な人物として
Yahoo!をはじめ市場全体にとって意義の 1株当たり37ドルの評価を要求したため、 知られるYahoo!の共同創設者でCEOの
ある行為だったと確信している。われわれ 交渉は決裂したという。 ジェリー・ヤン
(Jerry Yang)
氏は、
「こちら
とYahoo!が1つになる目的は、市場を革新  
「熟考した結果、Yahoo!への買収提案 が要求していないMicrosoftからの提案は、
し、ユーザーに多様な選択肢を与えると同 を白紙撤回することが、Micr oso f tの従 もはや過去のものだ」
と語ったという。
時に、両社の株主と従業員に、より多くの 業 員と株 主の利 益になると判断した」  Yahoo!はMicrosoftからの買収提案後、
価値をもたらすことだった」
と述べ、買収 (Ballmer氏) 生き残りをかけたさまざまな代替案を模索
提案の正当性を主張した。  Microsoftの発表を受け、Yahoo!は していた。その1つがグーグルの検索広告
 Microsoftが2月1日にYahoo!に提案し 「Microsoftの買収提案は、われわれを過 サ ービ スの 試 験 的 導 入 だ。Yahoo!と
た買収金額は、Yahoo!株式を1株当たり 小評価しすぎている。この認識はわれわれ Googleが 何らか の 形 で 提 携 すれば、
31ドルで評価した総額約446億ドルだっ の株主も同じだ」
と、従来の主張を繰り返 Microsoftにとってこれほどの脅威はない。
 Ballmer氏は声明文の中で、
「Yahoo!が
検索広告サービスをGoogleにアウトソー
シングすることは、長期的な視点から見て
Yahoo!の屋台骨を揺るがすことになる。
それだけでなく、Yahoo!の検索広告サー
ビスや広告戦略といった
“エコシステム”

弱体化させてしまう。これらはYahoo!の
成 長を阻 害 する要 因になる 」と述 べ、
Yahoo!がGoogleと提携関係を構築する
Yahoo!のCEO、Jerry Yang氏はMicrosoftの買収提 Microsof tのCEO、Steve Ballmer氏は先月、委任 ことを牽制している。
案を拒否するため、AOLやGoogle、Disney、News 状争奪戦による敵対的買収も辞さない可能性を示唆し
Corporationなどと交渉したと言われている ていた (IDG News Service)

●マイクロソフト、ヤフー買収を断念──金額面で を明言 (4/24) ⇒28ページ ⇒29ページ


N E W S H E AD L I NE

歩み寄れず交渉決裂 (5/3)
⇒24ページ ●ヤフー、サービス・プラットフォームの全面オー ●グーグル、モバイル・バナー広告市場に参入
●AMD、 企 業 向けPCプ ラットフォーム 「AMD プン化構想を発表 (4/24) (4/23)
Business Class」
を発表 (4/28) ●マイクロソフトの3Q決算、売上げ微増もEU制裁 ●アップル、2Qも堅調な業績── 「iPodの売上げ
●グーグルのBloggerでスパミングが急増──偽の 金で減益 (4/24) は鈍化したが、Macは好調」
(4/23)
ブログを自動作成 (4/28) ●ヴイエムウェア、 仮想化ソフト・スイート 「VMware ●アップル、省電力CPUベンダーのPAセミを買収
●サン、新興半導体メーカーのモンタルボを買収─ Infrastructure 3」
の最新リリースを日本語化 ──UMPC参入への布石?(4/23)
─省電力チップの獲得がねらい (4/24) (4/24) ⇒29ページ ●CNNのWebサイト、サイバー攻撃の標的に──

「Windows XPの販売終了期限に変更なし」 ── ●Gartner調査、2008年の世界CRM市場、14.2 中国批判発言が引き金か(4/23)
マイクロソフトが延長報道を否定 (4/24)⇒28 %増の89億ドルへと拡大 (4/24) ●大規模なサイト・ハッキングが再発生──英国政
ページ ●イージェネラのモンカCTOが語る 「Vir tualiza 府や国連のサイトも被害に(4/22)
⇒26ページ
●デル、6月30日以降もWindows XPの販売継続 tion 2.0──データセンター全体の仮想化」 (4/23) ●マイクロソフト、新プラットフォーム 「Live Mesh」

24 Computerworld July 2008


April, 2008

Sun Business .Next 2008のユーザー・パネルで語られた

EVENT REPORT
「ビジネス革新のために、IT部門がなすべきこと」
NTTドコモ、全日本食品、楽天の幹部がITの先進活用をみずから紹介

 4月18日、東京都内で開催されたサン・  
「当初、そのシステムを見て驚いた。想 末までに53トン売れたケースを紹介した。
マイクロシステムズのプライベート・イベン 像を絶する継ぎはぎが施された複雑な代 「予測が困難な分野だが、高度な技術と進

「Sun Business .Next 2008」
では、同 物で、いつダウンしても不思議ではない状 化するコンピューティング・パワーをうまく
社のユーザー企業幹部が参加するパネル・ 態だった。IT部門がベンダーに丸投げして、 融合させ、新しい要素を発見していきたい」
ディスカッションが行われた。 どうにもならなくなっていたようだ」 (安武氏)
 パネリストとして招かれたのは、NTTド  システムは属人性が高いものであり、シ
コモのプロダクト&サービス本部プラット ステム構築以前に、まず業務改革が必要 ITはビジネスを生み出すツール
フォーム部長、青山明彦氏、全日本食品 と考えた同氏は直接、社長に改革案を提 使い方次第で革命を起こせる
の情報システム本部本部長の竹嶋孝一氏、 案したという。  討論の結果、業種は異なるものの、IT
楽天の取締役常務執行役員、安武弘晃氏  
「IT部門は各部門の希望を聞くだけでな 部門がビジネスに貢献するために共通して
の3氏だ。 く、主体となって改革すべきではないだろ 必要としているのはスピードであるという
 最初に話題に上がったのは、ITによるビ うか」
(竹嶋氏) 結論に至った。モデレータを務めたサン・
ジネス・イノベーションの 現 状 ついて。  楽天の安武氏は、ヒット商品の販売で マイクロシステムズのマーケティング統括
NTTドコモの青山氏によると、携帯電話業 ユーザー数の予測の難しさを痛感している 本部プロダクト・ストラテジック・マーケ
界では現在、他社との値下げ競争による という。
「これほど爆発的にユーザー数が増 ティング本部本部長、藤井彰人氏は、
「IT
減収分を補う収入源となる、新技術による えると、先を読むのが難しくなる。かつて、 は企業にとってビジネスを生み出すための
新たなサービスをいち早く確立することが 最初のプレイステーションが発売された ツールであり、使い方次第でビジネスに革
命題となっているという。
「当社は世界で初 際、サイトで予約販売を受け付けたが、あ 命を起こすことができる」
とまとめ、ディス
めて携帯電話でJavaを稼働させた。その れほどの人気になるとは予測できず、膨大 カッションを締めくくった。 
(大川 淳)
際にサンの協力を得たわけだが、やはり、 なアクセスが集中、す
新しいサービスを始めるには、パートナー べてのシステムが停止
と共同で進めていくことが重要だ」
(青山 してしまった。eコマー
氏) スでは思いがけないこ
 全日本食品の竹嶋氏は、同社で大型汎 とが起こる」
(同氏)
。安
用機によるレガシーなシステムをオープン 武氏は、最近の例とし
化しようという機運が起こったとき、外部 て、2007年11月1日に、
から招かれ、そのプロジェクトを任された 安全な国内産の干し芋
人物である。同氏は次のように当時を振り が た った1分39秒 で 写真左から、NTTドコモのプロダクト&サービス本部プラットフォーム部長、青山
明彦氏、全日本食品の情報システム本部本部長、竹嶋孝一氏、楽天の取締役
返った。 1,000袋 も 売 れ、2月 で常務執行役員の安武弘晃氏

のプレビュー版を公開 (4/22) 2013年には46億ドル規模へ (4/21) ●苦境のAMD、6四半期連続で損失を計上 (4/17)


● マ イクロソフト、 ホ ス テ ッドCRMサ ービ ス ●マイクロソフト、Google Docs対抗の新サービ ●グーグルの1Q決算、業績懸念をよそに増収増益
「Dynamics CRM Online」
を提供開始
(4/22) ス「Albany」のベータ・テストを開始 (4/18) (4/17)
●インテル、マッシュアップ 作 成ツール 「Mash ●Sun Business .Next 2008のユーザー・パネル ●グーグルのWebアプリ、XSS攻撃のターゲット
Maker」
を発表 (4/22) で語られた 「ビジネス革新のために、IT部門がな に
(4/17)
●ヤフーの1Q決算、予想を上回る好業績に (4/22) すべきこと」 (4/18) ⇒25ページ ●CTC、データセンターにおけるグリーンIT戦略を
●Ubuntu Linuxの企業向けサーバ版、満を持して ●IBM、データ・デデュープ技術のディリジェントを 披露(4/17)
登場(4/21) ⇒26ページ 買収 (4/18) ●ネットスイート、中堅企業のグローバル経営を支
●ネットアップCTOのパウロウスキーが語る 「スト ●オラクル、対SAP訴訟を拡大──SAP幹部の 援するアドオン製品 「NetSuite OneWorld」

レージ管理の課題解決のカギは重複除外と仮想 関与の可能性も指摘 (4/17) ⇒27ページ 発表(4/16)
⇒27ページ
化」
(4/21) ⇒28ページ ●マイクロソフト、 「BizTalk RFID」
のモバイル版を ●IBMの1Q決算、アナリスト予測を大幅に上回る
●Forrester調査、拡大するWeb 2.0関連市場、 発表 (4/17) 好業績に (4/16)

July 2008 Computerworld 25


大規模なサイト・ハッキングが再発生──英国政府や国連のサイトも被害に
NEWS
「国連サイトの一部はまだハッキングされたままの状態だ」
と専門家

 米国Websenseは4月22日、英国政府 com』
を含む10万以上のURLが被害に遭っ にアクセスすると、悪意あるJavaScript
のWebサイトや国連のWebサイトなどを含 た。今回も10万以上のURLが被害に遭っ がマルウェア・ホスティング・サーバから
む多数のWebサイトがハッキングされ、マ ている可能性がある」
(Hubbard氏) ファイルをロードし、中国のサーバでホス
ルウェアをまき散らしているとの報告を発  Websenseは同日、同社のWebサイト ティングされているページにリダイレクトさ
表した。 で
「今回の攻撃では、悪意あるペイロード れるという。
 Websenseでセキュリティ調査担当上 をホスティングするハブを、新たなドメイ  
「いったんロードされると、そのファイル
級副社長を務めるダン・ハッバード
(Dan ンに切り替えたようだ。しかし、3月に猛 は8通りものエクスプロイトを仕掛ける」

Hubbard)
氏によると、今回の攻撃は、今 威をふるった大規模なSQLインジェクショ Websenseは警告する。
年になって急増しているSQLインジェク ン攻撃と関連があることはまちがいない」
と  Firefoxのアドオン
「NoScript」
の開発者
ション攻撃
(外部からSQL文を入力して、 警告した。 として知られるセキュリティ研究者ジョル
データベース・サーバ内のデータの改竄・  Hubbard氏は
「3月の攻撃も今回の攻撃 ジオ・マオン
(Giorgio Maone)
氏は、次回
不正取得を行おうとする攻撃)
の一種であ も、IPアドレスは中国にあるものだ。また、 の攻撃では今回感染しなかったWebサイト
るという。 1つのホスティング・サイトだけを利用して も被害を受ける可能性があると警告してお
 
「現時点でハッキングされたWebサイト いるように見せかけているが、
(攻撃に利用 り、Hubbard氏も
「Webサイトの所有者は、
の正確な数は判明していない。しかし、今 する)JavaScript内のリンクは変更されて 速やかに脆弱性を修正し、セキュリティ強
年3月の大規模なSQLインジェクション攻 いる」
と指摘している。 化に取り組むべきだ」
と指摘している。
撃では、有名なニュース・サイト
『MSNBC.  ユーザーがハッキングされたWebサイト (Computerworld米国版)

Ubuntu Linuxの企業向けサーバ版、満を持して登場
PRODUCTS

仮想化サポートなど、企業ニーズを満たす機能を搭載。企業向け市場に本格参入

 人 気 のLinuxディストリビューション ダウンロードできる。また、どちらもLTSリ  一方、米国Dellは、コンシューマー向け


「Ubuntu」
の商用スポンサーである英国 リースであり、Ubuntuの標準サポート期 の一部のノートおよびデスクトップPCに
Canonicalは4月21日、企業向けとして長 間18カ月よりもはるかに長い5年間にわた Ubuntuのデスクトップ版を提供し続ける
年待ち望まれてきたUbuntuのサーバ版 るサポートをCanonicalから受けることが 方針を明らかにしている。
「Ubuntu 8.04 Long Term Support
(LTS) できる。 (Computerworld米国版)
Server Edition」
を発表した。  
「LTSは、企業など、システムを大々的
 Ubuntuのサーバ版は約2年半前にもリ に入れ替えて長期間利用したいユーザーに
リースされたが、仮想化のサポート、パ とっては魅力的だ」
と、Ubuntu Linuxを世
フォーマンスの強 化、米国Sun Micro に送り出したマーク・シャトルワース
(Mark
systemsの各種ハードウェアでの動作確認 Shuttleworth)
氏はコメントしている。
など、IT部門における複雑なニーズを完全  今回のサーバ・リリースで目を引くのは、
に満たすエンタープライズ対応のサーバ版 2種類の仮想化プラットフォーム
(Linux標
リリースは今回が初めてとなる。 準のKVMプラットフォームとVMwareプ
 Canonicalはこの日、サーバ版と同時に ラットフォーム)
をサポートすることと、この
デ スクトップ 版 の
「Ubuntu 8.04 LTS 新OSで稼働するエンタープライズ・アプリ
Desktop Edition」
もリリースした。両エディ ケーションの認定がISVによって急ピッチ
ションともUbuntuのWebサイトから無償で で進められていることだ。 Ubuntuの公式サイト

26 Computerworld July 2008


April, 2008

ネットスイート、中堅企業のグローバル経営を支援するアドオン製品

PRODUCTS
「NetSuite OneWorld」
を発表
「真の意味でのリアルタイム・ビジネス管理を実現する」
とネルソンCEO

 米国NetSuiteは4月16日、同社のSaaS システムは、真の意味でマルチカンパニー ス管理システムに円で数字の入力を行う


スイート
「NetSuite」
のアドオン製品として、 対応とは呼べない」
(Nelson氏) と、直ちにシステムが更新され、同じシス
中堅企業のグローバル展開を支援するため  そしてNelson氏は、同社が創業以来注 テムにアクセスした英国支社の販売担当マ
の機能拡張モジュール
「NetSuite One 力してきたシングル・インスタンスの統合 ネジャーが、ポンドでその処理を確認する
World」
を発表した。同モジュールは、Net 型SaaSスイートを各国に展開することこ ことができる、というシーンが実演された。
SuiteのSaaSアプリケーションの機能を拡 そが、多国籍企業のITシステムの正しいア  OneWorldの価格は1カ月当たり1,999
張し、多国籍企業が各国で展開する支社の プローチであるとし、それを可能にするの ドルで、NetSuiteのアドオン製品として販
経営活動を、統合的かつリアルタイムに管 がOneWorldであると説明した。 売される。 (Computerworld)
理・調停することを可能にする製品である。  OneWorldが提供するリアルタイム・ビ
 サンフランシスコ市内で開かれた製品発 ジネス管理の一例として、Nelson氏は通
表会イベントで、同社CEOのザック・ネル 貨の調停機能を挙げた。同モジュールに
ソン
(Zach Nelson)
氏は、グローバルIT よって、各国の市場に合わせて設定される
システムに対する従来型のアプローチが抱 通貨率は自動的に更新され、グローバルで
える問題を指摘した。
「支社の数だけ基幹 常に一貫性が保たれることになる。同氏は
データベースが存在し、それにつながるア この機能をデモンストレーションを行って
プリケーションが大量に走っている。これ 説明してみせた。デモでは、日本支社の販
On e W o rldのデモでは、グローバルで一貫性を保った
らを単に本社のシステムとつないだだけの 売担当マネジャーが、NetSuiteのeコマー うえで通貨率の更新処理を行うさまが示された

オラクル、トゥモローナウに関するSAPとの訴訟を拡大

NEWS
──SAP幹部の関与の可能性も指摘
SAPはオラクルの主張を否定し、
「裁判の無用な引き延ばしだ」
と非難

 米国Oracleは4月17日、ドイツのSAP 利用し、本件の解決を必要以上に引き延 部を入れ替えている。しかし、SAPは、い


を相手取った訴訟を拡大する考えを示し ばしていると非難した。同氏は、
「Oracle ずれの不正行為もOracleが主張するよう
た。Oracleは2007年、SAP傘下の米国 は判事の警告を無視し、裁判書類を装っ な継続的な違法行為ではなく、個別の事
TomorrowNow
(TN)
の従業員が顧客を て誇張した主張を提出し続けている」
と述 件であると主張している。Oracleは、裁
装ってOracleのサポート・サイトからソフ べている。 判で損害が証明されることを期待し、SAP
トウェア・パッチやその他のサポート資料  また、Oracleは、この件に関し、SAP に対してOracle製品の返還命令と訴訟費
を入手したとして、SAPを提訴していた。 幹部も
“共謀”
の可能性があるとしている。 用の支払いを求めている。
Oracleによると、TNは入手したパッチや Oracleは、
「SAP本社と米国法人の幹部は、 (IDG News Service)
資料を用いてOracleの顧客に割引サービ TNのビジネス・モデルの違法性をその買
スを提供し、SAPの製品へ乗り換えさせよ 収時点で認識していたが、ビジネス上の理
うと画策したという。 由からこれを改めさせることに失敗したと
 17日にOracleによって提出された訴状 見られる」
と述べている。なお、
Oracleから、
には、TNが、サポート資料のみならず、 この件にかかわったSAP幹部の具体的な
Oracleのアプリケーションも許可なくTN 氏名は挙げられていない。
のビジネスに利用していたと記されている。  SAPは、
“不適切なダウンロード”
をTN
 SAPの弁護士は、Oracleの主張は誇張 がOracleから行っていた可能性を認めて
Or a cleとの訴訟問題に関する声明などを公開している
されており、訴状を
“プレスリリース”
として おり、本件が提訴された後にTNの最高幹 SAPのWebサイト (http://www.tnlawsuit.com/)

July 2008 Computerworld 27


「Windows XPの販売終了期限は6月30日で変更なし」
NEWS
──マイクロソフトが延長報道を否定
デルは、
「ダウングレード権」
を利用して6月30日以降もWindows XPの販売を継続

 米国MicrosoftのCEO、スティーブ・バ  同氏の言う
“便宜”
とは、例えば、Win 「XPS」
で、オプションとしてVistaのDVD
ルマー(Steve Ballmer)
氏は4月24日、欧 dows Vista BusinessまたはUltimateを が付属する。そのため、将来ユーザーが
州で行った記者会見で
「顧客のフィード 大量に購入した企業に与えられる
「ダウン Vistaを利用したい場合にも対応できると
バックを的確に反映することはわれわれの グレード権」
を意味している。これは、企 いう。
企 業 理 念だが、2008年6月30日がWin 業内システム環境の制約などで、以前の  
「われわれはMicrosoftがダウングレード
dows XPの販売期限という方針に現時点 バージョンのWindowsを使用する必要が 権を提供し続けるかぎり、Windows XP
で変更はない」
との声明を発表した。この ある場合を考慮して提供されるライセンス をプリインストールしたPCを販売する」
発言が発端となり、Windows XPの新規 だ。 (Dellのスポークスマン)
ライセンスの販売終了期限の延長を同社  米国Dellのスポークスマンは4月24日、 (IDG
News Service/InfoWorld米国版)
が再考しているとの報道が相次いだ。 このダウングレード権を利用することで、
 しかし、MicrosoftのPR会社である米 Windows XP搭載PCを6月30日以降も販
国Waggener Edstromの広報担当者は、 売する予定であることを明らかにした。同
現行の計画に変更はないと報道を否定し 社は、6月30日以降に販売するWindows
た。同広 報 担当者はまた、
「Windows XP搭載PCを、
「ダウングレード権を利用し
Vistaへの移行に、より多くの時間が必要 たVista」
という位置づけで販売する方針だ。
な一部の顧客に対し、Microsoftは適正な  Dellによると、対象となる機種は
「Lati
6月30日以降もWindows XP搭載機種として販売され
便宜を図っていく」
とも語った。 tude」
「OptiPlex」
「Precision」
「Vostro」 るLatitudeシリーズ
(写真はLatitude ATG D630)

「ストレージ管理の課題解決のカギは重複除外と仮想化」
INTERVIEW

ネットアップCTOのポロウスキー氏に、ストレージ管理の課題を解決に導く同社の技術/取り組みを聞く

 爆発的に増加し続ける情報への対処、 る際に重複した部分を除外する技術を提 活用してビジネスを成功させるための重要


コンプライアンスや環境問題にも配慮した 供している。同技術により、物理的な情報 な要素になりつつあり、今後も普及が加速
情報管理の実践など、企業におけるスト スペースを20分の1に縮小することが可能 していくだろう。NetAppは、
データセンター
レージ管理には課題が山積している。編集 だ。重複除外技術を用いることは、環境 の仮想化を進めるにあたり、米国VMware、
部は4月17日、米国NetAppのCTO、ブラ 配慮の観点からも意義が深い。 米国Microsoft、米国Citrix Systemsの3
イアン・ポロウスキー(Brian Pawlowski) 社と提携した。今後は各社と協力して、仮
氏に、そうした課題に対処するための同社 ──環境に配慮する技術として、NetApp 想化型データセンターの構築を顧客に促し
の技術や取り組みについて話を聞いた。 では仮想化技術にも注力しているが、最近 ていきたい。 (Computerworld)
の成果を教えてほしい。
─ ─ 情 報 量 の 増 大といった 課 題に 対し、 P a w l o w s k i氏:われわれは最近、英国
NetAppはどんな解決策を提供しているのか。 の通信企業BTのデータセンターの見直しを
Pawlowski氏:これからの企業は、コン 行い、物理サーバ3,103台を134台に集約
プライアンス上の要件から、基幹業務デー した。これにより、
消費電力量の削減、
スペー
タなどを複製して長期間、保存しておく必 スの削減などが実現した。現在、企業にお
要に迫られる。これらの複製データは、基 いてサーバ仮想化の導入が急速に進んで
幹業務データの約20倍に達すると言われ いる。ストレージ仮想化も含め、仮想化技
ている。われわれは、元データの複製を作 術を導入することは、企業が情報を迅速に 米国NetAppのCTO、Brian Pawlowski氏

28 Computerworld July 2008


April, 2008

イージェネラのモンカCTOが語る

INTERVIEW
「Virtualization 2.0──データセンター全体の仮想化」
「サーバ仮想化は、データセンター全体から見れば部分的なものにすぎない」

 現在、仮想化技術の導入が企業で活 ジョンなどについて話を聞いた。 化に取り組んでいる。


発化しているが、設立当初よりデータセ  また、仮想化により複雑化したIT環境
ンター全体の仮想化を推進してきたのが ──仮想化市場の現在の状況をどのように の運用管理も非常に重要だ。そこでわれ
米 国E g e n e r aだ。 編 集 部 は4月23日、 とらえているか。 われは、管理ソフトの
「PAN Manager」

同社でCTOを務めるピート・モンカ
(Pete M a n c a氏:現在、各社が注力しているの より、仮想化環境を一元管理できるように
Manca)
氏へインタビューを行い、仮想化 はハイパーバイザ技術が中心だ。ハイパー している。
市場における同社の現在位置と今後のビ バイザは、個々のサーバを統合するという
面では効果的だが、それはデータセンター ──仮想化市場におけるEgeneraの強みと

全体から見れば1つの側面にすぎない。わ は何か。

れわれは、こうしたハイパーバイザを中心 M a n c a氏:われわれは仮想化市場では、
とした仮想化への取り組みを
「Virtualiza 常に革新的なポジションを維持できるよう
tion 1.0」
と呼んでいる。 に動いてきた。こうした動きの速さを実現
 当社は、そこから一歩進んだ
「Virtualiza できる1つの強みとしては、当社が比較的
tion 2.0」
というポジションに立っていると 小規模な会社だという点が挙げられる。わ
考えている。つまり、サーバ仮想化だけに れわれは素早く動ける規模であるからこそ、
とどまるのではなく、CPUやメモリ、I/O、 仮想化市場で非常によいポジションに立っ
米国EgeneraのCTO、Pete Manca氏 ストレージなどデータセンター全体の仮想 ていると考えている。 (Computerworld)

ヴイエムウェア、仮想化ソフト・スイート
「VMware Infrastructure 3」

PRODUCTS
最新リリースを日本語化
価格別に3エディションを用意。SMB向けには低コスト性を重視した製品もラインアップ

 ヴイエムウェアは4月24日、仮想化ソフ Infrastructure 3 version 3.5の日本語化 マイグレーション機能やストレージ間で仮


トウェア・スイート
「VMware Infrastruc 対応を図ったもので、製品マニュアル/ヘ 想マシンのディスク・ファイルを移動する
ture 3」
の新版
「VMware Infrastructure ルプ画面などがすべて日本語化されてい 「VMware Storage VMotion」などを
3 version 3.5 アップデート1(日本語版)
」 る。また、サポートするハードウェアが拡 Standardの構成に加えた
「Enterpraise」
を発表した。すでに5月1日から出荷が開始 充されており、10ギガビットEthernetや (価格90万円程度)
の3エディションだ。
されている。 SAS
(Serial Attached SCSI)
ストレージ  また、低コスト性を重視したSMB向け
 新版は、昨年12月に発表したVMware などに対応している。 製品をラインアップした。使用できるCPU
 発表された新版には、3種類のエディ 数に制限を加えるなどして価格を抑え、同
ションが用意されている。サーバ仮想化ソ 様の機能を実現する大規模向け製品より2
フト
「VMware ESX Server 3.5」
や仮想 ~3割の低価格化を図ったという。
マシンのバックアップを行う
「VMware  ヴイエムウェアの代表取締役社長、三
Consolidated Backup」
などで構成する 木泰雄氏は、競合に対する同社製品の強
「Foundation」
(価格20万円程度)
、ハー みとして、
「競合の製品は
(仮想化環境の)
ドウェア障害の影響を受けた仮想マシンを 運用管理ソフトが充実していない。この点
自 動 的 に 再 起 動 する
「VMware High が当社とは大きく異なる。現状では、本当
Availability」
をFoundationの構成に加え の意味で競合と呼べる企業はいない」
とア
ヴイエムウェアの代表取締役社長、三木泰雄氏 た
「Standard」
(価格47万円程度)
、ライブ・ ピールした。 (Computerworld)

July 2008 Computerworld 29


Reconside
ration : S
ecurity Manageme
nt

り”がビジネスを阻害して
“過 剰な守
いないか?─
バランスが肝心

60 Computerworld July 2008


特集

[再考]
セキュリティ
t


マネジメント 要 請 に応えるべ
く、IT
いる
求められて ばかりが
った 、今 日の企業に かし な がら “守り”

ンスとい いる。し という
部 統 制や コンプライア 化・見 直し が叫ばれて ITの 効 果 的な活用」
内 ティの強 おける 喪失
テム にお けるセキュリ んだ 場合、 「ビジネスに 、 価 値 創出機会の
シス テーマに 臨 効率の低 下 ステ
調さ れた スタンスでこの なコ スト の発生や業務 ネ ジ ャー は 、自社ITシ
強 かり、余計 、ITマ 害
の目 的からは遠ざ こと があ る。したがって うえ で、 ビジネスを阻
本来 てしまう に把握した 特
のマ イナ ス 要素を招い ティ ・リスクを十分 い く必 要 がある。本
など なセキュ リ スをとっ て
ぼすさまざま ント・バラン 「ビジネス
ムに 影 響を 及
ュリ ティ・ マネ ジメ
務で 活 用 できるような
い、適切な
セキ ぞれの業
することのな を 信頼し、それ い。
員 が自 社 のITシ ステ ム
あら ためて検討してみた
業 について、
集では、従 キュリティ」
ため のITセ
価値を生む

July 2008 Computerworld 61


Part

1 自社のIT/情報資産を取り巻く脅威を知り、
バランスのとれた対策を実施する

時代の要請に応える
セキュリティ
・マネジメント
「構築の実際」
企業・組織において情報セキュリティ・マネジメント体制/基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を
継続・成長させていくうえでの大前提である。本パートでは、今日求められる経営課題を踏まえながら、情報セキュリティに関するイ
ンシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応
えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。

平井哲生
みずほ情報総研 コンサルティング部マネジャー

国内の情報セキュリティに れているというのが実情だ。

関する動向
情報漏洩の85%は
「人的要因」
 今日、企業・組織が事業活動を継続していくため  NPO日本ネットワークセキュリティ協会
(JNSA)

には、コア・ビジネスに関する取り組みとともに、日本 4月3日、
「2006年情報セキュリティインシデントに関す
版SOX法や個人情報保護法などへの対応で必要に る調査報告書」
を発表した。同リポートによれば、
なる内部統制の構築・強化や、コンプライアンス
(法令 2006年の1年間に発生した個人情報の漏洩事件の公
順守)
に対する全社的な意識向上などについても確実 表件数は993件
(前年比96%)
、漏洩人数
(被害者数)
に取り組んでいくことが求められている。そして、こ 約2,200万人
(前年比250%)
であった。前年比で見る
れらの経営課題のなかでも欠くことができないものの1 と、公表件数は同規模でありながら、漏洩人数が大
つが情報セキュリティ・マネジメントである。 幅に増大するという結果となった。
 2005年4月より全面施行された個人情報保護法は、  表1は、この報告書を基に個人情報漏洩の原因を
情報セキュリティに対する社会の関心や認識を高め まとめたものである。同報告書によると、件数993件
ることとなった。同法の施行に前後して、多くの企業・ のうち85%以上が人的要因によるものであった。その
組織が自社の情報セキュリティに関する対応を行い、 内訳に目を向けると、人為ミス
(紛失・置き忘れ、目的
情報セキュリティ・マネジメントの構築に取り組んだは 外利用など)
が約30%、犯罪
(内部犯罪・不正行為や
ずである。しかし、そうした取り組みを推進したはず 不正持ち出し、盗難など)
が約30%、技術的要素のあ
の企業・組織であっても、システム障害、インターネッ る人為ミス
(設定ミス、誤操作、管理ミス)
が約25%と
トを経由した不正アクセス、個人情報をはじめとする 続き、
「Winny」
「Share」
といったP2P
(Peer-to-Peer)
重要/機密情報の漏洩・流出などの事件・事故を起 型のファイル共有/交換ソフトウェアを悪用したウイ
こすところがあとを絶たず、頻繁にメディアで報じら ルス/ワーム感染による漏洩が12%あった。

62 Computerworld July 2008


ネジメント
・マ
]セキュリティ
特[再考

表1:個人情報漏洩原因の分類

要素 原因 詳細 比率 具体的事例

技術的 人為ミス 設定ミス Webサーバなどの設定ミスで外部から閲覧可能になり、機密情報が閲覧された

誤操作 24.7% あて先まちがいにより、


メール、
ファクス、郵便の誤送信が発生した

管理ミス 情報の公開、
管理ルールが明確化されておらず、誤って開示した

OS、
アプリケーションなどのバグ、
セキュリティ・ホールにより、Webサイトなどから機密情報が閲覧可能になり漏
対策不足 バグなど 洩した

ウイルス 13.3% ウイルス/ワームの感染により、意図に反してメールが発信され、


メール・アドレスなどの個人情報が漏洩した

不正アクセス ネットワーク経由でアクセス制御を破って侵入され、機密情報が漏洩した

人的 人為ミス 紛失・置き忘れ 電車、


飲食店など外部の場所に、PCや情報媒体などを紛失または置き忘れた
29.8%
組織ぐるみ、
もしくは組織の業務に関連して、個人情報を目的以外の用途で使用した/関係会社など、開示範囲
目的外利用 外の組織に公開した

内部犯罪 社員、派遣社員などの内部の人間が機密情報を悪用するために不正に取得して持ち出した/持ち出した情報を
犯罪 使った犯罪、売買により、漏洩した
内部不正行為
社員、派遣社員、外部委託業者、
出入り業者、元社員などが、顧客先や自宅で使用するために情報を持ち出して、
不正持ち出し 29.3% 持ち出し先から漏洩した

盗難 車上荒らし、事務所荒らしなどにより、情報媒体とともに機密情報が盗難された

その他 その他 その他 2.9% ダイレクト・メール封入時に他人あての文書も混入してしまった

*資料:NPO日本ネットワークセキュリティ協会「2006年情報セキュリティインシデントに関する調査報告書」
を基に作成

 特に、ファイル共有/交換ソフトに起因した漏洩 情報セキュリティに関する
事件がここ最近、急増している。この要因では、無 標準規格/ガイドライン
断で社外に持ち出した情報を私有PCにコピーしたた
めに漏洩してしまったというケースが半分を占めてお  ここで、企業・組織が自社のセキュリティ・マネジメ
り、それも含めれば人的要因としてとらえられる情報 ントの整備、強化を図っていくうえでの指標となる、
漏洩事件・事故は全体の90%を超えることになる。 情報セキュリティ関連の国際標準規格およびガイドラ
 漏洩経路を見ると、発生頻度の高さという点では インについて確認しておきたい。標準規格/ガイドラ
紙媒体が40%以上あったが、大規模な情報の漏洩と インは大きく、
「技術的対策を主としたもの」
「組織的対
いう点ではファイル共有/交換ソフトやUSBメモリな 策を主としたもの」
「リスク評価に関するもの」
という3
どのリムーバブル・メディアによる持ち出しに起因する つのグループに分類することができる。以下、それぞ
ものが多くなっていることも特徴である。 れについて説明する。
 なお、同報告書では、個人情報漏洩事件に対する
想定損害賠償額算定式の検討も行っており、リスク 技術的対策を主としたガイドライン
の定量化を試みている。
企業・組織の情報セキュリティ  1つ目は、コモンクライテリア
(Common Criteria:
責任者にとっては、セキュリティ・リスクと対策にかか CC)
を中心とした技術的対策が主なテーマとなってい
るコストとの関係を整理し、バランスのとれた効果的 る標準規格で、ISO/IEC 15408およびその国内規
な取り組みを進めるうえで参考になる資料と言える。 格であるJIS X 5070などが含まれる。ITで防ぐこと

July 2008 Computerworld 63


P a r t 1 │ 時 代 の 要 請 に 応 え る セ キ ュ リ テ ィ・ マ ネ ジ メ ン ト「 構 築 の 実 際 」

のできる脅威を対象としており、IT製品やシステムの スとなったのは英国規格協会
(BSI)
によって標準化さ
セキュリティを評価・保証する7段階からなるレベル れたBS 7799で、これが国際標準化された。
(EAL:Evaluation Assurance Level)
を規定し、  ISO/IEC 15408がIT製品やシステムのセキュリ
それぞれにIT製品やシステムがその中の特定のレベ ティという特定の範囲に着目しているのに対し、ISO/
ルの条件を満たすかどうかを評価するような仕組みを IEC 27001は、組織としてのセキュリティ・ポリシー
(Side Storyを参照)
提供している 。 の策定、その管理作業の実施、有効性の評価にまで
言及したものとなっており、CIA
(Confidentiality:
組織的対策を主としたガイドライン 機密性、Integrity:完全性、Availability:可用性)
 2つ目は、組織的対策が主なテーマとなっている標 の3項目を管理、維持することを主眼としている。国
準規格で、ISO/IEC 27001がその代表格だ。ベー 内では、ISMS適 合 性認 証 制 度の認 証 基 準
(JIS

活用が進みつつあるセキュリティ国際規格
「ISO/IEC 15408」
金子浩之
みずほ情報総研 情報セキュリティ評価室長

 ISO/IEC 15408は、IT製品やシステムが備えるべきセキュリティ システムを調達する際に、CC認証製品をシステムの構成要素として


機能の設計・実装状況を評価するための国際規格であり、欧米各国 選択することなどが定められている。ST確認制度とは、
「セキュリティ
で利用されるITセキュリティ評価の共通基準であるコモンクライテリア ターゲット
(ST)
」というセキュリティ基本設計文書と機能設計書を評
(Common Criteria:CC)
を国際規格としたものである。 価機関に提出し、その評価結果を認証機関
(IPA)
が検証してST確認
 日本では、独立行政法人情報処理推進機構
(IPA)
を認証機関とす 証を付与する制度であり、ITセキュリティ評価認証制度の一部をなし

「ITセキュリティ評価及び認証制度」
に適用され、IT製品ベンダーや ている。
ITサービス/システム・プロバイダーが開発した製品/システムを第  各府省庁は、この基準に従ってシステム調達を進めており、情報シ
三者である評価機関が評価し、その結果を認証機関が検証すること ステムの設計・構築を担当するSIerはSTを作成し、STの評価、確認
によって認証が与えられる
(一般に、CC認証と呼ばれる)
。 を受ける対応を行うことになる。またソフトウェア調達などに応札する
Side Story

 現 在、評 価 機 関として、ITSC、ECSEC、みずほ情 報 総 研、 ベンダーも、CC認証取得を受けた製品のラインアップを進めている。


TÜViTの4つの機関が認定を受けている。このCC認証の特色は、各 特にデジタル複合機の分野では、多くのベンダーがCC認証製品をそ
国の評価・認証制度で受けた認証が、CCRA
(Common Criteria ろえている。
Recognition Arrangement:CCを相互認証するスキーム)
加盟国の
間で相互承認されることにある。 民間での活用効果が現れる
 民間では、情報基盤強化税制の恩恵を受け、新たな情報システム
国内での活用推進のカギとなる2つの背景 の導入にこの制度を利用して、かなりの額の減税効果を得た企業があ
 これまでにCC認証された製品分野は、OS、DBMS、ファイアウォー る。この税制は、部門間、企業間で情報共有・活用を促進する情報
ル、ICチップ、スマートカード、デジタル複合機、PKI
(公開鍵暗号基 システム投資において、セキュリティが保証されたCC認証製品
(OS、
盤)
製品など多岐にわたる。現在までに、全世界で約900製品が認証 DBMS、ファイアウォールに限定)
を購入した場合に、税額控除や特
を受けている。欧米各国の政府調達において、ISO/IEC 15408など 別償却が選択的に認められるものである。この情報基盤強化税制は、
で認証を得た民生品の調達を推し進めていることから、認証取得はさ 平成20年度も継続される見込みであり、中堅・中小企業にとって、よ
まざまな製品分野への広がりを見せている。 り適用しやすい条件に変更される予定である。
 日本でこのCC認証製品の活用が進む背景には、2つのカギとなる
政策が関連する。1つは、政府機関の情報セキュリティ対策の基準を CC認証製品を利用する場合のポイント
定めるために、2005年に策定された
「政府機関の情報セキュリティ対  情報システムのうち、セキュリティ上重要な部分の製品をCC認証
策のための統一基準」
である。そしてもう1つは、平成18年
(2006年) 製品から選択することで、第三者によってセキュリティを検証された
度税制改正において、産業競争力向上のために創設された情報基盤 製品であることの安心感を得ることができる。ただし、CC認証製品の
強化税制である。 導入を検討する場合、認証機関などが公開するその製品の認証報告
書やSTを参照し、そのシステムの運用環境と同等の条件で評価され
政府機関でどのように使われているか たものであるかどうかを確認することが望ましい。検証された条件が、
 政府機関統一基準には、調達するシステムそのもの、またはそのシ そのシステムの環境条件と異なっていたり、必要なセキュリティ機能
ステムのために開発するソフトウェアに対するST確認制度の活用や、 が評価の対象となっていなかったりする場合もあるためだ。

64 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

Q27001:2006。ISO/IEC 27001:2005をJIS化した 図1:リスク評価のステップ

もの)
として広く知られており、2008年4月25日現在で
現状調査
2,641件の認証登録がある。

リスク評価に関するガイドライン 脅威の調査 重要性の分類


 3つ目は、情報セキュリティ・マネジメントの実現に
あたって必要となるリスク評価
(リスク・アセスメント)
脅威の発生頻度および
などの具体的な方法などを示すガイドラインで、ISO/ 発生時の被害の大きさ
管理水準の設定

IEC TR 13335(GMITS:The Guidelines for the


management of IT Security)
などが含まれる。リス
対応策の検討・策定
ク評価は、情報セキュリティの仕組みを構築するうえ
で、重要かつ対応に時間を要する取り組みである。
 一般にリスクの算出・定量化は、
「予想損失額と発
生確率の積」
で表すことができる。リスク評価の作業 リティ責任者は、組織の現状を考慮し、実態に合っ
では、リスクに対する査定を行い、適切で信頼できる た対策を選択できるようになる。
情報セキュリティ対策を選択することになるが、その  元は政府機関向けに整備された基準であるが、情
ためには、予想損失額といった定量的な評価指標だ 報セキュリティ・マネジメントの構築、強化、見直しな
けではなく、情報資産の価値、重要度の分類、それ どに取り組もうとする一般企業においても、ガイドラ
に対する脅威の特定、それらの脅威を引き起こす要 インとして大いに参考になると思われる。
因、脅威に対する管理策の弱点
(脆弱性)
を適切に評
価・分析する必要がある
(図1)
。 セキュリティ・マネジメントの
 このような項目を整理・体系化し、詳細に解説をし 構築における基本的な考え方
ているのが、技術報告書のISO/IEC TR 13335であ

(TRはTechnical Reportの略)
。  ここでは、情報セキュリティ・マネジメントの構築・
強化に着手する際に基本となる考え方やスタンスを整
 最近、公表されたものでは、2008年2月に改定され 理しておきたい。
た、内閣官房情報セキュリティセンター(NISC)
の「政
府機関の情報セキュリティ対策のための統一基準
(第 ①情報セキュリティの特徴を理解したバランスのと
3版)
(情報セキュリティ政策会議)
」 に注目したい。 れた対応を進める
 同基準は、政府機関全体の情報セキュリティ対策  情報セキュリティに関する取り組みを進めるには、
を強化・拡充するために、
各機関が行うべき情報セキュ その特徴を理解したバランスのとれた合理的な対策
リティ対策の統一的な枠組みを構築し、各府省庁の を行うことが重要である
(66ページの図2)

情報セキュリティ水準の斉一的な引き上げを図ること  セキュリティ対策の強化を推し進めていけば、それ
を目指したものである。個人情報漏洩などの情報セ に伴いリスクは軽減され、安全性は高まっていく。し
キュリティ侵害の状況や新たな技術動向、国際標準 かし反面、対策の実施にかかるコストは増大し、業務
規格などを踏まえた見直しがなされ、より具体的な内 の利便性や効率性を損ねる面も出てくる。したがって、
容を示し、情報セキュリティ対策を強化したものに このようなトレードオフ
(利益相反)
の関係を十分に認
なっている。また、
「基本遵守事項」
と「強化遵守事項」 識したうえで適度にバランスのとれた対策を行うこと
と呼ばれる対策レベルも明示されており、情報セキュ が重要となる。対策が過剰なものとなり、本来の事業

July 2008 Computerworld 65


P a r t 1 │ 時 代 の 要 請 に 応 え る セ キ ュ リ テ ィ・ マ ネ ジ メ ン ト「 構 築 の 実 際 」

図2:情報セキュリティ対策に取り組むうえで重要な
「バランス」 ④IT部門だけでなく、全社的な取り組みであること
を周知する
対策にかかるコストとリスク量は 安全性と利便性は
トレードオフの関係 トレードオフの関係  情報セキュリティ対策では、IT部門が推進の中心
的な存在になることが多い。だが、個人情報の漏洩
などのセキュリティ・リスクは主に、実際に情報にアク
情報セキュリティ・マネジメントを構築
 トップ・マネジメントの関与による総合的視点や経営判断が必要 セスし、活用する事業部門
(支社や支店を含む)
に存
在するため、当然、IT部門にまかせっきりで済む話

リスクをゼロにすることは不可能 対策のカギは、技術上の問題
ではない。企業・組織としての全社的な取り組みであ
→何らかの割り切りが必要 よりも管理上の問題 るというスタンスを明確にしたうえで実践していくこと
を広く周知する必要があろう。

活動に悪影響を与えてしまうようであれば、ビジネス ⑤企業・組織ごとにとるべき対策・対応が異なるこ
におけるIT活用の本質を見失っていることになる。 とを認識する
 企業・組織にとって重要な情報資産であれば、
当然、  情報セキュリティ対策は画一的なものではなく、企
可能なかぎりリスクを低減する対策を行うことになる。 業・組織の保有する情報や組織の規模や体制などに
だが、そうであったとしてもリスクを完全にゼロにする よって、
大きく異なるものである。上述した標準規格/
ことは不可能であり、残存するリスクに対してどこか ガイドラインに準拠するにしても、とるべき対策の具
で割り切ることを考えなければならない。 体的な指南まではされていないし、他の企業・組織で
整備した情報セキュリティ対策をそのまま持ってくれ
②セキュリティ対策のカギとなる人的対策を適切に ば済むという話でもない。
実施する  つまり、業務形態、ネットワークやシステムの構成、
 上述した報告書の結果からわかるように、セキュリ 情報資産の格納方法などITインフラ/システムの状
ティ対策でカギを握るのは人的要因である。そこで情 況を正しく把握したうえで、適切な情報セキュリティ
報資産の取り扱い1つ1つを組織内に周知徹底し、認 の指針・ポリシーを策定し、実効性の高い情報セキュ
識不足や不注意、誤りなどの発生を極力、低減する リティ・マネジメントを行っていく必要があるのだ。
ことが重要となってくる。繰り返しになるが、自社で
の情報セキュリティ対策の成否を決めるのは、技術 セキュリティ・マネジメントの
的対策より、むしろ人的対策なのである。 構築におけるポイント
③経営層が関与するトップダウン型の組織体制を  前節で述べた情報セキュリティ・マネジメントの構
整備する 築・強化における基本的な考え方を念頭に置きながら、
 ①に示した、バランスのとれたセキュリティ対策を 以下で、それを実際に行っていく際に留意すべきポイ
推進するには、企業・組織の総合的視点や経営判断 ントを挙げていく。
が必要になってくる。ある対策と、ある事業部門の利
便性や効率性を追求した事業活動とがトレードオフの ①情報資産の識別と重要度別分類を行う
関係になるといったケースは多くあるが、
こうした場合、  まずは自社で管理対象となる情報資産とは何かを
企業・組織の総合的視点に立った判断を下す立場の 明確にする。ここから実際の作業が始まる。一口に企
トップ・マネジメントがしっかりと関与した推進体制を 業・組織の情報資産といってもさまざまなものがある。
整備できるかどうかが重要となる。 情報
(電子情報、記録媒体、出力帳票、記録文書など)

66 Computerworld July 2008


ネジメント
・マ
]セキュリティ
特[再考

表2:情報資産を取り巻く脅威とその対策例

区分 脅威の例 対策の例

物理的・ 天災や火災など 建物の立地条件や構造から考慮した対策実施など


環境的

故障や経年劣化 使用環境改善
(空調、埃・水漏対策など)、機器の更新、点検実施など

破壊や盗難 設置場所への入退室制御、施錠、管理簿記帳、定期的な棚卸など

技術的 不正アクセス、不正侵入 ファイアウォール、侵入検知ソフト、


ファイル整合性チェック・ソフトの活用など
(ネットワークや
システム関連)
ネットワーク盗聴 スイッチング・ハブ、暗号化通信導入、
ネットワーク監視など

ウイルス/ワーム ウイルス/ワーム対策ソフトや侵入検知ソフトの活用、最新情報への更新など

Web改竄、
不正中継、 侵入検知ソフト、
ファイル整合性チェック・ソフトの活用など
サービス停止攻撃
OS、
アプリケーションの
最新のセキュリティ情報チェック、重要問題発見時の早急な対策、定期的なシステム更新チェックなど
脆弱性問題

ソフトウェアのバグや セキュリティ要件を考慮した設計、計画的更新、試験環境での十分な事前検証など
システム更新

システムの
定期的かつ確実なデータ取得、取得データ管理、
リストア手順訓練など
バックアップ

人的 組織や体制の問題 セキュリティを考慮した組織体制の確立、定期監査、見直し実施など

設定・運用ミス 事前検証、
ドキュメント整備・更新、相互チェック、更新履歴保管など

機密情報漏洩、 事前教育、不正検出可能であることの明示(牽制)、複数名による管理、定期的な職務異動など
ソーシャル・エンジニアリング

業務外利用や悪用 事前教育、職務に応じたサービス制限、
メールや参照可能サイトのフィルタリング、定期的な統計結果など

および情報を管理する情報システム、ネットワーク、 いるので参考にされたい
(表2)

システム開発、運用および保守の資料など多岐にわ  情報セキュリティに関する脅威と聞くと、不正アク
たり、電子情報や特定の情報システムを指しているも セスや不正侵入、ウイルス/ワーム感染などがまず思
のではない。これらの情報資産の中から、自社におい い浮かぶ方が多いと思われる。だが実際には、表2に
て真に守らなければならない重要な情報資産を識別 示すとおり、天災や事故といった物理的・環境的なも
する必要がある。識別にあたっては、自社の事業活 のから、OS/アプリケーションの脆弱性やソフトウェ
動にもたらす価値の高さ、機密性の高さ、法的要求 アのバグといった技術的なもの、そして、設定・運用
事項などを考慮し、数段階に分類することになる。 ミスや悪用などの人的なものまで、さまざまな種類の
脅威が含まれる。
②情報資産を取り巻く脅威を認識する  脅威に対する認識が甘く、個人情報漏洩のような
 重要な情報資産の識別・分類を終えたら、次にそ 事故を起こしてしまうと、顧客や取引関係にある企業・
れを取り巻く脅威について洗い出し、把握する必要 個人に不利益や精神的苦痛を負わせたり、企業・組
がある。筆者の所属するみずほ情報総研で、これま 織の社会的信用が損なわれたりと、組織の存続自体
でに収集した情報セキュリティに関連する事件・事故 が危ぶまれるような事態に陥ることすらあることを、あ
などの情報から、脅威とその対策例を整理・分類して らためて心に留めていただきたい。

July 2008 Computerworld 67


P a r t 1 │ 時 代 の 要 請 に 応 え る セ キ ュ リ テ ィ・ マ ネ ジ メ ン ト「 構 築 の 実 際 」

図3:情報セキュリティ・マネジメント体制の例

Plan
・基本方針や対策基準を策定する
情報セキュリティ最高責任者(CSO) ・組織全体の取り組み内容に責任を持つ

委員会
情報セキュリティ責任者(セキュリティ・マネジャー)
Check & Action
・改善点の調査、見直し。改善点の指導を行う
外部専門家
情報セキュリティ管理会議 (セキュリティ・コンサルタントなど)
監査 Do
・責任者の定めた基本方針、対策基準に従い、
一般職員に実施、順守させる
情報管理責任者 ・日常的に検査を行う

Do
情報利用者 ・手順書に従い、業務を遂行する

③情報セキュリティ・マネジメントの推進体制を整 ④情報セキュリティ・マネジメントのよりどころとな
備する る文書を整備する
 情報セキュリティ・マネジメントの推進体制にトッ  ②で確認した脅威には、物理的・環境的、技術的、
プ・マネジメントの関与が必要なことは前に述べたが、 人的なものがあるが、より効率的・効果的な情報セキュ
さまざまな取り組みを企業・組織全体に周知し、順守 リティ対策を実現するためには、それぞれが独立した
させるには、役割と責任を明確にした体制を整えてお ものとして対応するのではなく、相互補完の関係にな
く必要がある
(図3)
。 るようにマネジメントしながら対応することが求められ
 情報セキュリティ・マネジメント推進組織の形態と る。実効性を高めるには、特に人的な対策が重要と
しては、委員会型と専任部門型の2つが考えられ、ど なることは、これまでに述べたとおりだ。
ちらの形態をとるかは、組織の風土・文化を考慮する  この人的な対策を推進するため、企業・組織の情
必要がある。 報セキュリティに対する考え方、取り組み姿勢、情
 委員会型は、組織を構成するさまざまな部門の従 報資産の具体的な取り扱いを規定したものが、情報
業員が参加し、懸案事項を協議して推進する形態で セキュリティ・ポリシーをはじめとする情報セキュリ
ある。この形態の場合、関係者の意見を反映した取 ティ関連のルールの文書である
(図4)

り組みを実施できる一方で、総意を形成するために  すでに多くの企業・組織で、情報セキュリティ・マ
時間がかかり、また委員会メンバーの情報セキュリ ネジメントにまつわる一連の事項を文書化し、取り組
ティに対する認識レベルによっては、有効な議論がさ みのよりどころとして整備していることと思うが、それ
れないという欠点がある。 が現在でも実効性を維持したものでなければ存在の
 専任部門型は、情報セキュリティ対策課や情報リ 意味がなくなってしまう。もし、これらの文書が形骸
スク管理室といった組織を新たに設置するものだ。こ 化したものになっているならば、直ちに見直しをかけ
の形態では、懸案事項の検討・決定が迅速に行われ る必要がある。
る一方で、実際の運用を行う各部の情報管理者との
間に起きる意見の相違を極力、解消する努力が必要 ⑤情報セキュリティ・マネジメントを定着させる
となる。  情報セキュリティ対策は、企業・組織の情報資産

68 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

図4:情報セキュリティ関連の文書

組織の理念
基本方針
(Policy)
情報セキュリティ・ポリシー (組織の規則)
経営者の基本方針・宣言
個人情報保護方針 整合 就業規則
組織規則など

対策基準
(法律など)
(Standard) 情報セキュリティ対策基準
個人情報保護規程 準拠 個人情報保護法
対象範囲の明記、 不正アクセス禁止法など
すべての規程

実施手順 (ガイドラインなど)
(Procedure) 情報セキュリティ管理手順書 委託先の管理に係る手続 参照
利用に係る手続
対象者や用途により、
手順などを具体的に記述 開示などの請求に係る手続

を取り扱うすべての者
(経営層、派遣スタッフも含む 図5:PDCAサイクルによるスパイラルアップ

従業員など)
に周知し、順守させることになる。
 周知には、教育研修、社内通達、社内報などによ
る情報伝達など複数の手段がある。集合研修のよう
に直接、周知できれば効果も高いであろう。人員規
模や拠点数を考慮し、eラーニング研修を導入してい Act 継続的に実施 Plan
る企業・組織も近年では増えている。
Check Do
 順守、定着化には、定期的なモニタリングが必要
である。情報セキュリティ関連のルールに従っている Act Plan
かを各部で自主点検したり、業務監査事項に情報セ 見直し改善 体制整備

キュリティ関連の内容を含めて監査したりといった施 Check Do
監査 実施
策により、有効性を評価する。
 評価結果から、現行のルールを改善する必要があ
れば、当然、それへの早期対応が必要になる。情報
セキュリティ・マネジメントは、自社のビジネスとITの
現状を正しく認識し、情報セキュリティに関するリス 本来のビジネスに関する活動と、情報セキュリティ・
クをとらえて、適切な対応を進めていくことで構築さ マネジメントをはじめとする内部統制やリスク管理に
れるものであり、PDCA
(Plan-Do-Check-Act)
サイ 関する活動は、両翼に搭載されたエンジンと見ること
クルを意識した継続的なスパイラルアップ
(図5)
を実 ができる。企業・組織が目指す地点に向かって前進
現する仕組みが整っていなければ、すぐに陳腐化し するには、この両翼のエンジンのどちらか一方の推進
てしまうのである。 力が強すぎたり、弱すぎたりすることなく、バランス
よく機能させ、さまざまな環境変化に適時に対応しな
*  *  *
がら、力強く継続して前進するものでなければならな
 昨今の企業・組織の活動を航空機に例えるならば、 いのである。

July 2008 Computerworld 69


Part

2 巧妙化が極まるクラッキング、
増え続ける攻撃の手口

ネットワーク・セキュリティ
最新の脅威とその対策
最近、正規のWebサイトを改竄してマルウェア感染サイトに誘導する攻撃が多発している。セキュリティの脅威の目的が営利化した
結果、換金が容易なインターネット・ユーザーのアカウント情報が狙われるようになったからである。このような脅威に対して、企業・
組織はどのような対策を講じればよいのだろうか。本パートでは、ネットワーク・セキュリティ環境を取り巻く現状とリスクを明らかに
したうえで、最新の脅威に立ち向かうための具体的方策を提起したい。

武田圭史
カーネギーメロン大学大学院 情報セキュリティ研究科
(日本校)
教授

脅威の「営利目的化」で とにしたい。

引き起こされる問題
潜在する情報リスクを
 
「セキュリティ脅威の動機が、愉快犯から営利目的 正しく認識する
に変化している」
と言われるようになって久しい。確
かに破壊的なウイルス/ワーム感染による被害の報  情報セキュリティ対策を講じるにあたって最も重要
道は減少し、詐欺的なソフトウェアや迷惑メールの送 なポイントの1つが、情報リスクを正しく認識すること
信によって引き起こされる金銭的被害が多く見られる である。それには外部からの意図的な攻撃や、内部
ようになっている。さまざまな情報セキュリティ・ベン 犯行、不慮の事故や地震・災害などさまざまな事象が
ダーや政府関連団体が
「営利目的化する脅威」
につい 含まれる。他社の事例などを鑑みて、組織が実際に
て警報を発しているが、企業側では、それによって どのような脅威によって被害を受けているのかを正し
具体的にどのような問題が引き起こされるのか、また、 く認識することは、情報セキュリティのリスク管理の
どのような対応が必要なのかという点で理解が浸透し 基礎となるはずだが、これをうまく実行できている組
ているとは言い難い。むしろ、現在の企業環境にお 織は少ない。
ける情報セキュリティの現実問題と言えば、Winnyな  日本国内における脅威動向など、セキュリティに関
どのファイル交換ソフトによる情報漏洩、メールの誤 する情報の多くはセキュリティ・ベンダーやセキュリ
送信、PCの盗難・紛失などが筆頭に挙がるだろう。 ティ関連団体などが出所となっている。だが、
こういっ
 そこで本稿では、企業のネットワーク・セキュリティ た情報はベンダーの製品やサービス、組織の事業展
環境の脅威の現状を概観したうえで、それらが企業 開など、発信元となるセキュリティ組織の関心ある事
にどのような影響を及ぼしているのかを解説し、さら 項に偏りがちであり、必ずしも潜在的な被害者である
に最新の脅威に対抗するための具体的方策を示すこ 企業の立場に立ったものばかりではないので注意が

70 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

必要だ。企業のセキュリティ担当者としては、そうし 図1:報道された情報セキュリティ事故種別の割合

た情報を鵜呑みにするのではなく、示されたデータに 2006年に報道された情報セキュリティ事故種別の割合(計216件)
潜む現実を読み取り、自社の立場から問題をとらえ その他 1.9%
ターゲテッド・アタック 1.4%
直すことが重要である。 Winny/Shareを介した
サービス妨害 1.9% 情報漏洩
 図1は企業や官公庁などの組織において発生した システム障害 2.3%
情報セキュリティ事故について種別ごとの割合を示し 業務ミス 2.3%

たものである。2006年と2007年に発生した事件・事 不正アクセス 2.8%


設定ミス
故を対象に、当事者となった組織がWebに公開した 3.2%
フィッシング
情報と複数のメディアの報道から集計した。対象が 3.2%
ウイルス感染
公開情報に限定されるため、必ずしも情報セキュリ 3.7%
ティの全体的な傾向を示しているとは言えないが、情 内部犯行 4.6% 49.5%
報セキュリティの脅威を把握するための参考とするこ
Webアプリ脆弱性 5.1%
とができるだろう。
 2007年に報道された情報セキュリティ事件・事故 情報紛失
7.9%
のうち、最も多かったのが
「Winny/Shareなどの匿名
10.2%
ファイル共有ソフトを介した情報漏洩」
である。これ
メーリングリスト関連ミス
は2006年の49.5%から若干の減少が見られるものの、
2007年も43.8%と変わらず大きな割合を占めている。 2007年に報道された情報セキュリティ事故種別の割合(計144件)
 次いで多かったのは
「不正アクセス」
で、全体の Webアプリ脆弱性 0.7% 0.0%
ターゲテッド・アタック
12.5%を占めた。前年
(2.8%・9位)
から大きく順位が サービス妨害 2.1%

上がったが、これは2007年後半から2008年にかけて ウイルス感染 2.1%


Winny/Shareを介した
システム障害 2.8% 情報漏洩
大手企業などのWebサイトが改竄されて不正プログラ
フィッシング 2.8%
ムが混入するといった事件が増加したためと思われ
メーリングリスト関連ミス 2.8%
る。これについては次章で詳しく解説する。 業務ミス
 3番目に多かったのが
「情報紛失・盗難
(10.4%)
」。
3.5%
内部犯行 4.2%
重要な情報を格納したPCやハードディスク、USBメ
その他 5.6% 43.8%
モリなどを紛失した、あるいは盗まれたというケース
である。これは2006年の3位
(7.9%)
と変わらず上位
にランクインしている。そのほか
「設定ミス
(6.9%)
」が4 設定ミス 6.9%

位、
「内部犯行
(4.2%)
」が6位と続いた。
10.4%
 冒頭でも触れたように、実際、企業のセキュリティ 情報紛失

担当者へのヒアリングでも
「ファイル共有ソフトでの情
12.5%

報漏洩」

「設定ミスや業務ミス」

「PC等の盗難・紛失」 不正アクセス

などが組織の気になる脅威として認識されている。
2006年の時点においては、不正アクセスやウイルス/
ワーム感染といった悪意を持つハッカー/クラッカー ばしており、営利目的化する脅威という傾向と一致し
による意図的な攻撃よりも、職員やスタッフによるミ ている。ただし実際の状況は、
「企業の内部情報を狙
スが脅威の大半を占めていたが、2007年では不正ア う悪意を持ったハッカーが社内ネットワークに侵入し
クセスや内部犯行といった意図的な脅威が割合を伸 てくる」
といったステレオタイプな攻撃とは事情が異な

July 2008 Computerworld 71


P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策

るので注意が必要だ。この辺りの状況については次 者にとって魅力のあるターゲットとなる。具体的には、
節以降で詳しく解説する。 オンライン・ゲームのアカウント情報、クレジットカー
ド番号、オンライン・バンキングのアカウント情報、踏

Webサイト改竄による み台として利用可能なホストのアカウント情報、スパ

不正プログラムの配布 ム・メールの宛先となる電子メール・アドレス、などが
挙げられる。
 営利目的化する脅威の実態を理解するには、どの  アカウント情報の取り引きは、ネットを通じて容易
ような仕組みで攻撃者が金銭的な利益を得ているか に完了できるうえ、金銭のやり取りも、オンライン・ゲー
を理解する必要がある。 ム内のアイテムなどを現金で売買するリアルマネー・ト
 現在、攻撃者が主なターゲットとしているのは、企 レード
(RMT)
サービスなどの市場を悪用することで、
業などの組織ではなく、セキュリティ対策について十 追跡が困難になる。
分な対策を講じていない一般のエンドユーザーである  ターゲットとなるアカウント情報を取り扱う企業の
場合が多い。経済的な利益を得ることを目的とする サーバは、攻撃者にとって宝の山となるわけだが、通
攻撃者にとっては、リスクが少なく手間がかからない 常、そのような企業はセキュリティ対策についてもそ
方法で稼げるほうが望ましい。仮に企業秘密などの れなりの体制を整えている。攻撃者としては、当然、
内部情報を盗み出したとしても、その情報に興味を 対策の甘い個人ユーザーから広く浅く情報を集めた
持つ競合他社などを探し出して販売するのは、手間 ほうがリスクも少なく効率もよいため、主な攻撃対象
がかかるうえリスクも大きい。したがって、盗み出し は往々にして個人のエンドユーザーとなりがちだ。
たあとで販売経路に乗せやすいコンテンツが、攻撃  エンドユーザーからアカウント情報を引き出すため
には、キーロガーを仕掛けてホスト上でのキー操作を
図2:Webサイト改竄による不正プログラムの配布 監視し、ユーザーが入力するアカウント
(ID/パスワー
ド)
やクレジットカード番号などを外部へ転送する、あ
メジャーなサイト
るいは、ホスト上のファイルから目的の情報を盗み出
SQL すスパイウェアをインストールする、外部からログイン
インジェクション コンテンツの改竄
してホスト上であらゆる操作を実行可能にするバック
ドアを設置する、といった手法が用いられる。
 かつてこのような悪意あるツールを配布する手段と
攻撃者
して自己複製能力を持つウイルス/ワームが使用され

不正コード・ダウンロード 不正コード・ダウンロード ていたが、ウイルス/ワームの場合、感染が広がると


すぐにウイルス対策ソフトの検知パターンに登録され、
感染がある一定レベルで頭打ちになるため効率が悪
い。つまり攻撃者としては、ウイルス対策ソフトが対
応するまでの間に効率よく不正なプログラムを拡散さ
せる必要がある。
 そのような背景の下、2007年の後半ごろから急増
しているのが、
正規のサイトの脆弱性を突いてWebペー
ジを書き換え、サイトにアクセスしたユーザーに不正プ
ログラムをダウンロードさせるという手口だ
(図2)
。この
手口自体は数年前から存在していたが、このところ被

72 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

害が急増しており、多数のユーザーが訪れる大手の 画面1:改竄され不正なコードが埋め込まれているサイトの検索結果の例

Webサイトなどが標的として狙われる傾向がある。
 具体的には、自動化されたツールを用いてWebア
プリケーションのSQLインジェクションの脆弱性を効
率よく探し出し、SQLインジェクションを用いてWeb
ページのコンテンツを書き換える。書き換えられたペー
ジには、
JavaScriptによる不正コードや、
iframeを使っ
て外部の不正なコードを参照させる悪質なタグが埋め
込まれる。そうしたページにアクセスしたユーザーは、
知らないうちに不正なコードを含むファイルを開くこと
となり、それによって、エンドユーザーのホストの脆
弱性を突いた不正な処理が実行され、情報を盗み出
すためのキーロガーやスパイウェア、バックドアなど
が設置されるなど、さらなる攻撃の足がかりとして利
用される。
 この攻撃の特徴は、サーバ自体が保有する情報は
攻撃に関係がなく、多くのユーザーがアクセスするサ
イトであればよいということだ。つまり、不正プログラ
ムの大量配布をもくろむ攻撃者にとっては、利用者の
多いWebサイトであることが利用価値の高いサーバと
なるため、企業側は、たとえ自社のWebサイトが重要 ただし、不正なプログラムを送りつけるだけではユー
情報を持っていなかったとしても、攻撃を媒介する場 ザーに実行させることはできないため、何らかの有用
として悪用される可能性があることを認識しておかな なプログラムやデータに見せかけて送信されるケース
ければならない。2008年4月現在、世界中でこういっ が多い。
た攻撃の被害が確認されており
(画面1)
、今後も不正  このようにファイルが本来持つ機能のほかに不正な
プログラムの配布目的で、SQLインジェクションだけ 目的のコードを含むファイルは
「トロイの木馬
(Trojan
でなくさまざまな脆弱性を狙ったWebサイト改竄事件 Horse)
」あるいは略して
「トロイ
(Trojan)
」と呼ばれる。
が発生することが考えられる。  トロイにはさまざまな機能を持たせることができるが、
営利目的のトロイでは各種アカウント情報を盗み出すス

国内での蔓延も懸念される パイウェア機能や、不正プログラムを生成する機能
(ド

スパム型トロイ攻撃 ロッパー機能)
、インターネット上の特定のアドレスから
他の不正なプログラムをダウンロードする機能
(ダウン
 前項で述べたように、営利を目的とした攻撃者は、 ローダ機能)
などを有するのが一般的である。また、ト
エンドユーザーのPCから情報を盗み出すプログラム ロイは自己増殖の機能を持たない点においてコン
を、短時間に最小限のリスクで効率よく実行させたい ピュータ・ウイルスとは異なるが、ベンダー情報や報道
と考えている。このような不正なコードを多数のユー などではこれらを明確に区別せず記述されることが少
ザーに配布する方法としては、前項のほか、スパム・ なくない。
メールを送信する要領で多くのメール・アドレスに対  このようなトロイをメールで大量送信する攻撃方法
して一斉に不正なプログラムを送りつける方法がある。 が、
「スパム型トロイ攻撃
(Spam Trojan Attack)
」あ

July 2008 Computerworld 73


P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策

図3:スパム型トロイ攻撃の概念図

キーロガー
悪意あるサイト バックドア

ダウンロード
(各端末へ)

攻撃者

るいは
「大規模トロイ攻撃
(Massive Trojan Attack)
」 能しか持たないウイルス対策ソフトでは検知すること
などと呼ばれものである
(図3)
。攻撃に使用されるトロ が難しい。ウイルス対策ソフトがパターン・ファイルを
イは実行ファイルの場合もあれば、オフィス・ソフトの リリースするころには、新たに改変された別の不正プ
文書ファイルやPDFなど特定ソフトのデータ形式の ログラムが使用されることとなる。また、こうした不正
場合もある。データ形式の場合はこれらを使用するア プログラムの生成自体が自動的に行われるため、新た
プリケーションの既知または未知
(公知ではない)
の脆 な不正プログラムが次々と生成され続けていくのであ
弱性を悪用することにより不正な処理を行う。実行 る。
ファイルの場合は、メールの本文に
「自己解凍形式の  スパム型トロイ攻撃は本文と添付ファイルの形式で
実行ファイルを添付したので、添付ファイルを実行し 送付される。このような攻撃は以前より存在していた
て内容を確認してほしい」
などと、そのファイルを実行 が、英語のメッセージと共に海外から送信されること
したくなるようなメッセージが記載される場合が多い。 が多かったため、
日本での被害は限定的なものだった。
 スパム型トロイ攻撃で使用される不正プログラム 数年前より徐々に日本語によるスパム型トロイ攻撃が
は、基本的に使い捨てとなることを前提としている。 出現しているが、海外から送信されたものは明らかに
攻撃が行われた時点において攻撃コードは、ウイルス 機械翻訳されたような稚拙な日本語が用いられている
対策ソフトの観点からは未知のウイルスという位置づ ことが多く、不正なメッセージであることを容易に見
けとなるため、ウイルス定義ファイルに基づく検知機 破ることができた。2007年後半ごろからはメッセージ

74 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

図4:標的型トロイ攻撃の概念図

悪意あるサイト

キーロガー
バックドア

ダウンロード

攻撃者 機密情報 被害者

本文の日本語の精度もかなり高まり、メッセージの真 模も選別方法もさまざまである。なお、一部報道では、
贋を見分けるのがかなり困難になってきている。こう 話題性を持たせるためかスパム型トロイ攻撃のような
した背景には、攻撃に関与する日本人
(または日本語 ものまで標的型トロイ攻撃と呼ぶことがあるが、攻撃
に精通した人物)
が増えていることが想像される。 対象となるユーザーが明確に選別されたものは標的
型トロイ攻撃と呼んで区別したほうが適切と思われ

特定ユーザーを狙い撃つ る。

標的型トロイ攻撃  標的型トロイ攻撃では攻撃対象が限定されるため、
同一の不正コードが流通する範囲が限定されており、
 スパム型トロイ攻撃の場合、攻撃の対象が無差別 ウイルス対策ソフトのパターン定義ファイルが対応す
となるため、どうしても送付されるメールの内容が不 る可能性も低くなる。また、対象を限定することでふ
自然になりがちだ。それによってユーザーの警戒心が だんメールをやり取りしている顧客や取引先などにな
高まると攻撃の成功率も低くなってしまう。そこで攻 りすましてターゲットの警戒心を引き下げることがで
撃者は、より自然な文面で日々の業務の中で受け取っ きるため、添付ファイルが開かれたり、不正プログラ
ても不自然でない巧みなメールを作成し、内容別に ムが実行されたりする可能性も高くなる。これは、差
対象を決めて送付し始めた。例えば、政府機関の関 出人の詐称を容易に行うことができ、特に注意が払
係者には、同じく政府機関の名前をかたったメールを われることなく添付ファイルの送受信が行われている
送信し、
地方自治体に対しては住民を装ったメールを、 という今日の電子メールの脆弱性を突いた攻撃とも
企業であれば顧客や取引先になりすましたメールを 言える。
送付するのである。  不正なプログラムやデータを特定対象にメールで
 このような攻 撃は、一 般に
「標的型トロイ攻 撃 送信する攻撃のほか、送りつけたメールから不正な
(Targeted Trojan Attack)
」と呼ばれるものである
(図 Webサイトにアクセスをさせて秘密情報を入力させた
4)
。これは特定の組織、人、あるいは特定のタイプの り、攻撃コードを含むファイルを開かせたりする攻撃
ユーザーを選別して送付されるトロイ攻撃である。こ を、
「スピア・フィッシング攻 撃
(Spear Phishing
の手の攻撃で標的となるのは、特定の個人から企業 Attack)
」と呼ぶ。一般的なフィッシング攻撃がフィッ
全体、あるいは大手企業のCEOといったように、規 シング・サイトを設けて不特定多数のアクセスを呼び

July 2008 Computerworld 75


P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策

寄せるのに対し、スピア・フィッシング攻撃は特定の ●社内ユーザーに対してトロイを添付したメールが送
人物をターゲットに詐欺メールを送りつけ、悪意ある 信され、社員がそれを実行してしまう。
Webサイトに誘い込むのが特徴だ。日本で標的型トロ ●社内の特定ユーザーに対して、それらしいメッセー
イ攻撃が紹介され始めたころ、スピア・フィッシング ジと共にトロイを添付したメールが送信され、ユー
攻撃と混同して紹介されたことで
「スピア型攻撃」
など ザーがそれを実行してしまう。
といった呼び方が一時期広まったが、トロイ攻撃なの
かフィッシング攻撃なのかが紛らわしいためスピア型  企業組織として上記のような脅威に対抗するため
攻撃という呼称は避けるべきだろう。 の具体的方策としては、以下のようなものが考えられ
 標的型トロイ攻撃が行われた国内の事例としては、 る。
2005年に某オンライン・ショップで発生した事件が挙
げられる。同事件では、顧客を装った偽のクレーム・ ①攻撃と被害発生状況に関する情報収集
メールに添付されていた不正ファイルを、ショップの  営利目的の脅威は、愉快犯的な不正アクセスやウ
スタッフがクリックしてしまったことで、オンライン・ イルス配布とは異なり、攻撃者は攻撃対象が攻撃さ
バンキングのアカウント情報が外部に漏れ、不正に現 れていること、被害を受けていることを、なるべく発
金が送金された。ほかにも、いくつかの銀行のオンラ 見されないように工夫する。このため、どのような攻
イン・バンキング・ユーザーに対して、オンライン・バ 撃が行われているか、他社がどのような被害に遭って
ンキングで利用するプログラムの更新を促す不正な いるかといった情報を得ることは、自社が同様の被害
CD-ROMが、銀行名が印字された封筒にて送付され、 に遭っていないかを確認するきっかけとなる。特に、
これを信じたユーザーに不正なプログラムをインス どのような不正コードが使用されているか、改竄され
トールさせて攻撃者の口座に不正に送金させるという たWebサイトにはどのような特徴があるか、どのよう
事件なども確認されている。 なIPアドレスから攻撃メールが送信されているか、ト
ロイが実行された際にどういったアドレスのサイトにア

変化する脅威に対抗する クセスを試みるか、といった特徴がわかれば、組織内

ための具体的方策 に入り込んだトロイをいち早く発見することができる。

 これまで述べてきたように、営利目的化する脅威の ②Webアプリケーションと公開サーバの脆弱性の
多くは、現状においてトロイまたはそれに類する不正 確認
コードを用いて行われている。先に紹介したWebサイ  みずからのWebサイトがユーザーを攻撃するための
ト改竄の事例においても、開かれるWebページ自体 媒介として使用されないようにWebサイトの脆弱性に
がトロイ化していると見なすことができ、現在の脅威 十分注意する。現在こういった攻撃に使用されてい
環境においてはトロイ対策をいかに講じるかがカギに る脆弱性の大半がSQLインジェクションによるもので
なると言える。 あるが、SQLインジェクションで攻略可能なサイトが
 ここでは営利目的化する脅威が企業環境に及ぼす 減少すれば他の脆弱性を使用してWebの改竄が行わ
影響について整理してみたい。 れる可能性が高い。
 まずは、公開しているWebサーバにおいて利用す
●アクセスの多いWebページが改竄されてトロイが埋 るOS、サーバ・プログラム、ミドルウェアなどに最新
め込まれる。これにより、サイトにアクセスした外 のパッチが適用されており、悪用可能な既知の脆弱
部の一般ユーザーのコンピュータ上でトロイが実行 性が存在しないことを確認する。また、特にSQLデー
される。 タベースを利用するWebアプリケーションを中心に、

76 Computerworld July 2008


ネジメント
・マ
]セキュリティ
特[再考

Webの脆弱性の検査を行う。これが難しい場合には、 について最新のパッチが当たっている状態を維持す
Webアプリケーション・ファイアウォールなどの導入を ることが必須となる。このような確認を1つ1つ手作業
検討する。ほかにも、正規のサイト内に任意のスクリ で行っていては手間がかかるうえ、取りこぼしミスが
プトを埋め込むことができるクロスサイト・スクリプティ 発生してしまう危険も高まるため、クライアントで動
ングにも注意を払う必要がある。独自開発のWebア 作させるバージョン・コントロール・ソフトなどを利用
プリケーションは相当しっかりとしたセキュリティ検査 するのが望ましい。一般にOSやWebブラウザなどは
を経たものでないかぎり、何らかの脆弱性を抱えてい 自動アップデート機能によって最新の状態に保たれ
ると考えたほうがよいだろう。Webアプリケーションを ていることが多いが、ブラウザのプラグインやブラウザ
公開するにあたっては、開発者ではない第三者による から起動されるアプリケーションなどは自動更新機能
セキュリティ検査を必ず行うべきである。 を装備していないものもあるため注意する必要がある。
 一方、パッチ未公開の脆弱性を突く攻撃も増えて
③企業ネットワークでの対策 いるが、そうした攻撃には、端末にパーソナル・ファ
 トロイの特徴の1つとして、活動開始後にさらなる イアウォールを導入したり、Windows VistaのUAC
不正な機能を実現するためのプログラムを外部の (ユーザー・アクセス制御)
を有効にして不正なプログ
サーバなどからダウンロードすることが挙げられる。ま ラムが実行されることを防止したり、不正な通信パ
た最近では、トロイ自身が取得した情報が外部に送 ケットが端末から送信されることを防止したりする対
信されるケースも見受けられる。これらの接続先とし 策が有効だろう。
て、中国のIPレンジにあるサーバや、ダイナミック  ブラウザでJavaScriptの動作やiframeの機能を制
DNS
(Domain Name System)
に登録されたアドレス 限できる場合は、それらを制限することで改竄された
を持つサイトが利用されることが多い。このような特 Webページを閲覧してしまった際のリスクを低減する
徴を踏まえて、内部から外部に対して行われるアクセ ことができる。従来のブラウザのセキュリティ・リスク
スを監視しながらログを確認することで、トロイの実 に対する対策では、不審なサイトにアクセスしないこと
行を確認することができるだろう。 が重要とされたが、最近は上述したように、一般に信
 また、トロイが実行された際にどういったサイトにア 頼されている正規サイトが改竄され、攻撃手段として
クセスするのかを①のような対策を講じて把握するこ 利用されるため、サイトの選別だけでは不十分である。
とができれば、
特定アドレスへのアクセスを制限したり、
*  *  *
あらかじめDNSにこれらのサイトを登録して無害な
サーバのIPアドレスを返すように設定したりすること  以上、情報セキュリティの脅威が営利目的化した
で、有害サイトへのアクセスを未然に防ぐことができ 結果、比較的換金されやすい一般のインターネット・
るはずだ。さらに、内部から外部へのアクセスについ ユーザーのアカウント情報が狙われていること、また、
ては、ファイアウォールのアプリケーション・ゲートウェ そのために大手Webサイトが改竄され、トロイ攻撃の
イなどの機能を利用して、不正なコードが直接外部と 拡散に利用されていること、従来のウイルス対策では
通信しないよう制限を設けることも一定の効果がある 対応が難しいアドホックなトロイが攻撃に利用されて
と考えられる。 いることを紹介した。このような傾向は特にこの数年
で急速に拡大したものであり、今後さらに進化した攻
④クライアント端末での対策 撃手法が登場する可能性も否めない。情報セキュリ
 ②で述べたように、PCなど企業内のクライアント ティ担当者は、こうした動向に常にアンテナを張り巡
端末が、本稿で述べたような攻撃の被害に遭わない らせて、変化を早めにつかみ、脅威の特徴に合わせ
ためには、まず端末上で使用するすべてのプログラム て適切な対策を講じられるように努めてほしい。

July 2008 Computerworld 77


P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策

元“ホワイトハウスのCSO”
、ハワード・シュミット氏が語る
これからのセキュリティ課題
Sharon Gaudin
Computerworld米国版

 米国R&Hセキュリティ・コンサルティングのCEO、
ハワード・シュミッ 接関係するものだ。自分たちのデータを保護するにはどうしたらいいか。

(Howard Schmidt)
氏については、現職よりも31年間務めたホワイ すぐれたセキュリティ技術を使えばいいのだ。だが、2つ目が非常に
トハウス時代の経歴のほうが広く知られているだろう。2001年9月11 難しい。自分のデータがだれにどのように使われるのか、それを自分で
日の同時多発テロのわずか3カ月後、ブッシュ大統領からサイバース コントロールできるのか、
(悪用された場合は)
無効にできるのか──。
ペース・セキュリティ担当特別顧問に任命された人物だ。 残念ながら、現実問題としてわれわれは自分のデータをコントロールで
 同氏のセキュリティ分野における職歴は実に多彩である。まず民間 きていない。私自身の体験談を話そう。息子がウィスコンシン州の医
企業での経歴の一部を挙げるなら、eBayでバイスプレジデント兼 学部に通っているのだが、学生寮に入って食費を支払うよりも家を買
CISO
(最高情報セキュリティ責任者)
とCSS
(最高セキュリティ・スト おうということになった。契約の際、
(不動産業者は)
私の社会保障番
ラテジスト)
、MicrosoftではCSO
(最高セキュリティ責任者)
職に就い 号が必要だと言った。断っておくが私が資金を出したわけではない。
た。軍事機関では、
米国空軍特別捜査局
(AFOSI)
のコンピュータ・フォ その理由を尋ねると、相手は
「理由はわかりませんが、うちの会社の方
レンジック研究所およびコンピュータ犯罪/情報戦争部門でディレク 針なんです」
と言うではないか。そこで私はこう返してやった。
「私の
Special Interview

ターを務めた経歴を持つ。 ID、パスポート、運転免許証をすべて見せたんだ。身元は確認できた
 Computerworldは先ごろSchmidt氏へのインタビューを行い、プ はずだ。その上にまだ社会保障番号が必要とはどういうことだ。だれ
ライバシーとセキュリティのバランス、RFIDパスポートの問題点、企 かに悪用されたらどうしてくれるのか」
。もちろん、社会保障番号は書
業によるITワーカーの素行調査などについて同氏の意見を聞いた。 かなかった。私はこの一件において自分の権利を一貫して主張し、コ
ントロールできたと考えている。先に挙げた2つ目の問題に戻ろう。現
──セキュリティ分野で今起こっている、最も恐ろしいことは何か。 時点で必要な対策は、プライベート・データに関する権利をもっと増
Schmidt氏 モバイル・デバイスと、われわれがそれに求める機能だ やすことだ。情報プライバシーに関する権利法がぜひとも必要だ。
ろう。これらのセキュリティに関して十分に注意が払われていないの
が実情だ。現在ではあらゆるアプリケーションをモバイル・デバイスに ──RFIDチップを埋め込んだパスポートについてどう考えるか。
ダウンロードし、インストールできるようになった。携帯電話は通話以 Schmidt氏 それについては大きな疑問を禁じえない問題がいくつか
外の用途に使われることが多くなっている。私自身、携帯電話を使っ 起きている。RFIDパスポートは悪いアイデアではないが、
セキュリティ
てPayPalアカウントから送金したり、銀行口座を確認したりしている。 への配慮が不十分と言えよう。私自身も持っているが、そのセキュリ
だが最近は、これらのメカニズムを悪用するケースが発生している。 ティのメカニズムを知っているので、それを悪用する犯罪者から情報
かつてデスクトップを攻撃していた犯罪者は今、
“ポケットに携行する を読み取られないよう、パスポートをどこに置いたか、どこにしまって
PC”
に進化したモバイル・デバイスに目を向けているのだ。このまま何 あるかにいつも細心の注意を払っている。RFIDカード・リーダは日常
の手も打たずにいたら、5年も経たないうちに深刻な事態が起きるだ 的なさまざまな場所に設置されている。ガソリンスタンドの給油ポンプ
ろう。とにかく今すぐに何らかの対策を講じる必要がある。 のところに付いているペン型スキャナもそうだし、勤務先企業に入館
する際も、RFIDリーダを通してドアを開ける、またはリーダに近づい
──現在、CSOたちが最も憂慮している問題とは何か。 てRFIDカードをかざすだけだ。つまり、RFIDパスポートを読み取るこ
Schmidt氏 職場環境で最も懸念されていることの1つが、リスク管 とができるのは政府や税関だけではない。悪意ある者があなたに近づ
理とコンプライアンスに関する問題全般だ。私が話をするCSOのほと いてパスポートのデータを読み取り、盗んだデータを偽造パスポート
んどは、最良のテクノロジーといった前向きな話題よりも、ガバナンス、 作成に使う可能性があることを知っておいてほしい。
リスク管理、コンプライアンスに対する自分たちの取り組みが正しい
かどうかについて不安を訴えてくる。企業が抱えるリスクを確かに最 ──採用時や在職期間を通して定期的にITワーカーの素行調査を
小化できているのかどうか、事業運営が連邦法、州法、国際法のすべ 行う企業があるが、これをどう思うか。
てを順守していることをどのように確認すればいいのか——こうした声 Schmidt氏 悪い考えではないと思う。会社によって文化も違うのだ
がよく聞かれる。 から。今日のIT部門は、昔のように社員間のPowerPointプレゼンテー
ションの共有を支援したり、ワープロを助けてくれたりするだけの場所
──企業はどのようにしてセキュリティとプライバシーの均衡を図 ではなくなっている。企業における日々の基幹インフラの一部であり、
ればよいのか。 金融サービスの運営や輸送システムの運用を担う原動力なのだ。IT部
Schmidt氏 「セキュリティが欲しいならプライバシーはないと思え」
と 門にかかわる人間が会社あるいは国家に対して悪事を働く危険人物で
いう考え方が昔から主流のようだが、私自身はこの2つの関係を
「セ ないことを確実にするために、企業がITワーカーの素行調査をある程
キュリティがなければプライバシーは保障されない」
と見ている。プラ 度行う必要はあるだろう。犯罪歴の有無は必ず調べるべきだ。弁明の
イバシーを2つの問題に分けて考えてみよう。1つは、データ保護に直 余地のない金銭トラブルを起こした人物が、将来、金融犯罪に手を染

78 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

めて企業にダメージを与える可能性はないだろうか。ギャンブルや麻
薬の問題を抱える人間がライバル会社にデータを売り飛ばす危険性は
どうだろうか。ただし、素行調査はその社員が与えられた責務をはた
せるかどうかを保証するものではなく、当該社員が詐欺を働く可能性、
あるいは企業の大切なシステムのそばに配置してもよい信頼できる人
物かどうかを見分ける手段の1つにすぎない。

──米国のコンピュータ・ネットワークがテロリストに攻撃される可
能性はあるか。
Schmidt氏 テロリストも、結果的に自分たちが依存するシステムを
破壊するような行動には出ないだろう。彼らはビン・ラディンの動画を
携帯電話に配信できるし、
ポッドキャストやWebキャストも使っている。
金融システムを攻撃して経済的なダメージを与える──もちろん、可
能性としては大ありだ。しかし、一般的なハッカーに対して講じている Profile
保護対策は、同時にテロリストを含むあらゆる悪意ある者から身を守 【氏名】Howard Schmidt
るためのベスト・プラクティスであることを認識してほしい。 【現職】 米国R&H Security Consulting CEO
【企業所在地】 ワシントン州イサクア
【印象に残っている仕事】 「アリゾナの警察署に6年間勤務したころ、素晴らしい人々との
──もしテロリストがサイバー攻撃を仕掛けるとしたら、何をター 出会いがあった」
ゲットにするだろうか。 【いつかチャレンジしてみたい仕事】 「民間航空会社のパイロット、またはプロのバス釣り
【趣味】 「釣り。よくアラスカでボート釣りをしている」
Schmidt氏 その場合に、彼らが金融サービス・システムを狙うだろ
【どんな高校生だったか】 「ダンスに明け暮れていた。だれも踊っていないときも、アルコー
うということはずいぶん前から言われている。米国民はもとより世界中 ルの力を借りることなく気にせず踊りまくった。今でもそうだ」
に重大な被害を与えることができるからだ。したがって、
金融サービス・
システムが標的とされる可能性は高い。だが、金融サービス側もそれ
を想定したセキュリティ対策を常に講じているわけで、
テロリストにとっ た場合、10点満点で
(10はまったく影響なし、1は米国が壊滅状態に
ては最も侵入が難しいシステムでもあるはずだ。 陥る)
米国にはどれくらいの防衛力があるのか」
と尋ねられた。そのとき
私は
「5〜6程度」
と答えた。われわれが攻撃する側であれば、勝率は5
──サイバー・セキュリティの強化で政府にできることは何か。 割強だろうと予測した。しかし今日、米国政府のセキュリティ・レベル
Schmidt氏 この分野で政府が今以上に協力できるとの研究および は飛躍的に向上し、攻撃ベクトル
(外部からの侵入経路)
も劇的に少な
調査結果が出ている。また政府はみずからの絶大な調達力を利用して、 くなっている。仕掛けられた攻撃に対する防衛力で言えば、8〜9点に
ベンダー各社にセキュリティ・レベルの高い製品開発を要求すること 近いだろう。攻撃を跳ね返したり、攻撃されているシステムをシャット
もできるはずだ。
「金は出す。もっとセキュアなシステムを開発してくれ」 ダウンして内部管理することもできるようになった。
と政府が言えば、ベンダーは喜んで開発し、後に民間セクターに売り
込むだろう。もう1つの問題は、政府が研究分野にあまり力を入れてい ──あなたは以前、サイバーセキュリティが最優先項目として扱わ
ない点だ。セキュリティ強化の研究を進める大学や企業に対し、政府 れないこと、つまり、攻撃が仕掛けられた場合の受身の対策ばかり
は何かしているだろうか。こうした研究のすべてが必ずしも国家の安 で積極的な未然防止策が講じられないことに不安を感じると語って
全に直結するとは限らないが、今よりもセキュアな次世代インターネッ いたが、今もその考えは変わらないか。
ト環境の創出のきっかけになるものがあるかもしれない。今日の問題 Schmidt氏 9.11以降の世界を見てみよう。飛行機や電車と同じよう
を見据え、その解決方法を見いだしてくれる次世代のテクノロジー研 にITインフラを保護する必要があると政府を説得するのに多大な努力
究者を育成することも、政府ができることの1つなのだ。 が重ねられているが、なかなかうまくいっていない。莫大な資金、時間、
労力が物理的な攻撃の防止策に集中している。もちろん、物理的な
──米国政府が導入している各省庁のコンピュータ・セキュリティ 攻撃は犠牲者を伴うものであり、最優先課題であることにまちがいな
を成績表で表す制度で、落第点がつけられた連邦機関はどう改善し い。しかし、だからと言ってサイバーインフラを最優先項目から外して
たらよいのか。 いいのだろうか。電子医療データはどうなるのか。患者への診療は電
Schmidt氏 今の各連邦機関は時間と金を
(セキュリティ)
成績表の作 子データに基づいて行われており、このセキュリティが脅かされれば
成に注ぎ込んでいるにすぎない。現在議会では、彼らをセキュリティ ペニシリン・アレルギーの患者にペニシリンが投与される可能性もある
強化に真正面から取り組ませる法案が審理されている。今のままでは のだ。これも人間の命にかかわる重要な問題だ。
「最優先項目はあくま
ペーパー・ワークばかりに追われるばかりで、何の問題も解決されない。 で1つに絞るべき」
との意見もあるが、私からすれば、保護対策はマル
チタスクで臨むべきだ。
──中国人が米国政府のネットワークに侵入しているとの話をよく  実際、政府はこれまでサイバーセキュリティを最優先項目として扱っ
聞くが、こうした攻撃に対する防衛策は万全なのか。 てこなかったが、
何らかの対策の必要性を認識し始めている。サイバー
Schmidt氏 1990年代半ば、国防総省で開かれた会議でサム・ナン セキュリティも
(物理攻撃と)
対等なレベルに引き上げられつつあること
(Sam Nunn)
上院議員から
「他国からテクノロジー戦争を仕掛けられ は確かだ。

July 2008 Computerworld 79


Part

3
ささいなミスも命取りに──10の
「やってはいけないこと」

企業を危うくする
「よくあるセキュリティ 集」
[NG]
セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて
守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰
することもありうるからだ。本パートでは、そうした失策・過ち・ミスなどを
「よくあるセキュリティ上のNG
(No Good)
」としてまとめ、
代表的な解決策とともに紹介する。

Matt Hines
InfoWorld米国版

ささいな技術的慣行が できるという。
NG1 情報漏洩のきっかけに
情報入力を促すサイトに
 一部のセキュリティ問題は、ささいな技術的慣行に NG2 何ら疑問を持たない従業員
よって発生する。そのため、ふだんから注意を十分に
払えば、問題を回避することもさほど難しくはない。  パスワードや個人情報の漏洩は、企業のITシステ
にもかかわらず、そうした慣行の多くは依然として
“放 ムやネットワークへの攻撃を呼び、甚大な被害ととも
置”
されたままだ。 にその企業の名声を失墜させる。しかも、このような
 例えば、
「Microsoft Outlook」
のオートフィル機能
(画 情報漏洩は、大抵は外部の人間ではなく社内のユー
面1)
はその1つだ。
「あて先に
“Eric Friendly”
と入力 ザーに責任がある。
したつもりだったのに、オートフィル機能が働き、
“Eric  社内ユーザーの不注意に起因する漏洩事件が増え
Foe”
あてにメールを送ってしまう。こうした経験はだ るにつれ、従業員向けにフィッシングやスパイウェア、
れにでもあるだろう。もしメールに機密情報が含まれ 偽サイトなどの仕組みを解説する社内教育が多くの企
ていれば、その時点でアウトなのは言うまでもない」
と、 業で行われるようになった。しかし、それでも多くの
米国Symantecのマーケティング/製品担当上級役員、 従業員は、個人情報の入力を促されたらそれに安易
スティーブ・ロープ
(Steve Roop)
氏は語る。 に応じてしまうと、米国McAfeeのセキュリティ・リサー
 多くのユーザーがオートフィル機能をオフにすれば、 チ担当コミュニケーション・マネジャー、デイブ・マー
不注意によるデータ流出事故をかなり減らすことがで カス
(Dave Marcus)
氏は指摘する。
きるとRoop氏。同氏によると、情報漏洩の90%はメー  
「人々は個人情報収集サイトの正当性に何ら疑いを
ル送信時の不注意、すなわちオートフィルや暗号処 持たない。そうした判断は、Webの世界では根本的
理の失敗、利用ポリシーの理解不足などに起因する。 に間違っているにもかかわらずだ」
とMarcus氏。オン
したがって、オートフィルなどの機能を単にオフにす ライン上で個人情報を詐取する最も簡単な方法は、
るだけでも、多くのセキュリティ・インシデントを回避 本人に直接聞くことなのだ。

80 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

ビジネス・パートナーを 画面1:オートフィル機能はMicrosoft Office製品にも採用されている。これ

NG3 信頼しきってしまう
は、同機能を使ってExcelのシートに日付を自動入力したところ

 SymantecのRoop氏は、オートフィル機能をオフに
するのと同じくらい簡単な漏洩対策として、メッセー
ジの暗号化を挙げる。ふだんから信頼しているビジネ
ス・パートナーやアウトソーシング業者にさえ、暗号化
されていない電子メールを送るのは危険だと同氏は考
えているのだ。
 Roop氏は、従業員がパートナーあてのメールに注意
を払わないのは彼らの勝手な思い込みだと指摘する。
 
「人材アウトソーシング会社の担当者が、機密デー
タを含むExcelの表計算シートをどこかへ転送するは
ずはない、あるいはセキュリティ対策が施されていな
いノートPCに機密データを保存するはずがないと、
彼ら
(従業員)
はふだんから思い込んでいる。そのため、
メール・ベースで機密データをサードパーティと共有 シーとシステム管理アプリケーションを利用すれば低
しているような企業は、こうした従業員の思い込みに 減可能だ。例えば、仕事用のコンピュータにWebア
十分注意しなければならない」
(Roop氏) プリケーションをインストールしない、リムーバブル・
メディアにデータをコピーしない、VPN
(Virtual

セキュリティ・フィルタを Private Network)


や暗号化チャネル上で安全なメー

NG4 バイパスするWebアプリが
ル・クライアントを利用する、といったポリシーを従業

情報漏洩の“窓口”に 員に徹底させるのである。

 企業のネットワークでWebメールをやり取りしたり、 必要のないデータを
ファイル共有サービスを利用したりすることは、セキュ NG5 理由もなしに残す
リティ上きわめて危険な行為である。
こうしたWebベー
スのアプリケーション
(特にWebメール)
は、企業のセ  必要のないデータを残す。これも、企業のセキュリ
キュリティ・フィルタをバイパスすることが多いからだ。 ティ・システムに災いをもたらす要因の1つである。
その結果、外部からのウイルス/ワーム侵入を許し、  クレジットカードやデビットカードの決済処理を担
組織全体に被害が及ぶ危険性が高まる。 当する企業では、顧客データをストアするトランザク
 また、会社所有のノートPCを仕事のために自宅に ション記録システムをオン状態のままにしていること
持ち帰るといった行為も、セキュリティ・リスクを増大 が多い。しかし、こうしたロギングは顧客データの流
させる。そのノートPCで自宅から外部サイトにアクセ 出につながり、PCI
(Payment Card Industry:80ペー
スすれば、ウイルスに感染する可能性が社内アクセス ジの画面2)
のガイドラインに明確に違反する。
に比べて格段に高まるのだ。そもそも、重要なデータ  このようなロギングについて、SymantecのRoop氏
を会社から持ち出せば、なくしたり盗まれたりするリ は
「(カードを処理する側は)
偽クレジットカードの作成
スクも生じる。 に悪用される可能性のあるデータという認識を持って
 このようなリスクは、ほとんどはセキュリティ・ポリ いない。われわれはつい最近、そうした事例を実際に

July 2008 Computerworld 81


P a r t 3 │ 企 業 を 危 う く す る 「 よ く あ る セ キ ュ リ テ ィ[ N G ] 集 」

画面2:PCIのガイドラインを策定した 「PCI Security Standards Council」


のWebペー 目にしている」
と述べ、重大なPCIコンプライアンス違
ジ。同団体は、米国Visa Internationalらクレジットカード大手5社が2006年9月
に設立した 反だと指摘する。
 もちろん、クレジットカード情報を扱っていない企
業でも、これと同様のことを行っている可能性がある。
つまり、自社のビジネスには必要のない情報なのに、
意味もなく保管し続けているわけだ。
 攻撃者に悪用される可能性の高いデータを明確な
理由もなく抱え込むことは、無用なトラブルを招くだ
けだ。どうしてもデータを保持しなければならないの
であれば、さらに強固なデータ保護手法を導入するこ
とが必要となる。

“特効薬”は真の脅威を隠し、
NG6 企業はそれに気づかない

 特定のセキュリティ技術を採用したり、法規制に適

「従業員」
というセキュリティ脅威と向き合う
Jennifer McAdams
Computerworld米国版

 ネットワークやデータセンターのセキュリティ強化を図るだけでは、 持ち場、フロアのすべてにエリアにおいて、顧客や従業員による不正
社内のインテリジェンス・データを守るのに十分とは言えない。社内に 行為を阻止するための監視体制が敷かれている。
潜む脅威にも目を向け、従業員の行動を監視したり、従業員ごとに個  極論すれば、これと同様の監視体制が企業にも求められるわけだ。
別のセキュリティ教育を施したりする必要がある。 社内のあらゆる場所に散らばっている従業員を、個々にカスタマイズ
 専門家によれば、すぐれたセキュリティ対策と言われるプロジェクト されたセキュリティ対策に応じて効果的に
“機能”
させれば、不正侵入
Side Story

には1つの共通点がある。それは、職務に合わせる形でカスタマイズさ などをほぼ完全に阻止できる。
れた従業員向けのトレーニングが含まれていることだ。  実際、カジノで実践されているセキュリティ対策を企業に応用すれ
 カスタマイズされたトレーニングとは、例えば人事担当者を対象に、 ば、だれがどの仕事を担当しているかに基づいて、セキュリティに関
人事ファイルの安全な管理方法を教育することである。施設担当者に するコモンセンス・ガイドを作成できる。例えば、最も価値の高い、あ
は偽造IDで入館を試みる人間の監視を、営業担当者にはCRM
(顧客 るいは最も脆弱性の高いビジネス資産を1人の従業員に任せてはなら
関係管理)
システムへの不正侵入を阻止する術を教える、というのもカ ないこと、従業員によるアクセス権限を可能なかぎり細分化すること、
スタマイズ・トレーニングに含まれる。 従業員の監視を怠ってはならないことなどだ。これらは、クラップス
(2
 もっとも、基幹業務システム、あるいは機密データを保管している 個のサイコロの出目を競うゲーム)
のピットやブラックジャックのテー
システムへのアクセスを従業員に一切許可しないのであれば、こうし ブルを観察すればおのずとわかる。
た教育は必要ないかもしれない。しかし、許可しなければ業務がスムー  
『Applied Cryptography
(邦題:暗号技術大全)
』などの著者として
ズに進まないというのが、どの企業でも実情であろう。 知られるブルース・シュナイアー(Bruce Schneier)
氏も、カジノの黄
 機密データへのアクセスを従業員に許可することを、避けて通るこ 金律に従うべきだと助言する。同氏はカジノを引き合いに出しながら、
とができない
“ギャンブル”
だと表現するセキュリティ管理者もいる。人 企業の個別セキュリティに関する重要な問題を提起している。
間の行動を予測することなど不可能だからである。しかし、貴重な資  Schneier氏は、フロアにいるすべての人間を潜在的なセキュリティ
産を守る企業側としては、これと真剣に向き合っていかざるをえない 脅威と見なすカジノのマネジャーのように、ITセキュリティ・リーダー
のだ。 もすべての従業員を監視すべきだとアドバイスする。
「人間こそ、セキュ
リティの最も弱い部分であり、それは今後も変わることはない。人間
企業内部の監視――カジノにならうインサイダー対策 とのかかわり合いをなくすことはできないし、人間は過ちを犯すものだ」
 ギャンブルの例を1歩進めて考えてみよう。カジノでは、テーブル、 (Schneier氏)

82 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

合したりさえすれば、それで問題は解決したと安心す して不正侵入者は、それが間違っていることを証明す
る企業は少なくない。しかし、そうした技術や法律は、 る」
(Rothman氏)
というわけだ。
必ずしもセキュリティ対策の
“特効薬”
にはなりえない。
むしろ、真の脅威を見えなくする逆の効果をもたらす どのITシステムにも
ことさえある。
NG7 同レベルのセキュリティ・
 ウイルス対策ソフトやセキュリティ・パッチの適用、 リソースを投入する
脆弱性スキャンの実行などのシンプルな対処療法が
コンプライアンスになると考えている企業は多い。
だが、  Rothman氏によると、セキュリティ上の重要度に
それは
「リスク・マネジメントの視点からアプローチす 差があるにもかかわらず、どのITシステムにも一様の
るのではなく、箱の中を見回してチェックしているだ レベルでセキュリティ・リソースやコストを投じる企業
けにすぎない」
と、米国Security Inciteのアナリスト、 が多いという。
「エンドユーザーが5人しかいない古い
マイク・ロスマン
(Mike Rothman)
氏は警鐘を鳴らす。 アプリケーションと、数百人の顧客が利用するオンラ
 企業はしばしば、限定的なセキュリティ・フィクス イン・アプリケーションに対し、まったく同量の時間と
を監査し、これ以上の対応は不要との評価を示して、 コストをかけることは無駄が多い。なのに、すべて同
いわゆる
“愚者の楽園”
を作り上げる。
「肯定的なセキュ 等に扱おうとするケースがしばしば見受けられる」

リティ監査結果が出れば、企業はそれで可とする。そ Rothman氏は嘆く。

 インサイダー、すなわち従業員の不正行為から企業を守るという考 れる訓話にはほとんど耳を貸そうとしないからである。
えは今に始まったことではない。人的要素がはらむリスクについては、  しかも、
大抵の従業員はセキュリティを一元的にしかとらえていない。
以前から多くの専門家が口をそろえて指摘してきた。 ミズーリ州ジェニングスの学区担当テクノロジー・ディレクター、ノー
 
「企業リソース/資産への従業員のアクセスを、企業はリスクととら リス・ロバーツ
(Norris Roberts)
氏は、多くの従業員はセキュリティを、
えるべき」
と話すのは、米国Network Risk Managementのマネージ 企業責任の観点からでなく、自分たちの責務にどう影響があるかとい
ング・ディレクター、ケント・アンダーソン
(Kent Anderson)
氏だ。同 う視点でしか見ていないと指摘する。
氏は、警備員からIT部門のスタッフ、エンドユーザー、そして幹部社  とはいえ、セキュリティ・コントロールを日々の業務にどう適用すべ
員に至るすべての人間がリスクをはらんでおり、セキュリティ責任者は きなのかを従業員に教え込まなければ、事態の改善は望めない。
その前提に立って対策を講じるべきだと強調する。  ただしAnderson氏は、四半期ごとの啓発セミナーはコンプライア
 脅威の発信源が外部なのか、それとも内部なのかを判別するのが難 ンス主導型のセキュリティ教育プログラムには役立つかもしれないが、
しくなりつつあるというのが、昨今のセキュリティ問題の1つの傾向だ。 それだけでは不十分だと言い切る。
「内部と外部の人間の隔たりがどんどん薄らいでいる」
と話すAnderson  従業員教育でよく見受けられるのが、トレーニングを厳格に実施し
氏は、契約業者や提携企業、サプライヤーなどについても、従業員の たほうがセキュリティへの意識も高まるという誤解だ。トレーニングが
場合と同様の注意を払うようアドバイスしている。 厳格すぎると、セキュリティ・ポリシーの実践に協力しようとする社員
 ただし、セキュリティ上の責任を1人のマネジャー、あるいは部門が の意欲を高めることは難しくなる。
すべて負うというやり方は賛成できない。1980年代に米国で全社規  米国ISC2(International Information Systems Security
模での品質管理が提唱されたように、セキュリティも全社を挙げて取 Certification Consortium)
のエグゼクティブ・ディレクター、エディ・
り組むべき問題なのだ。 ザイトラー(Eddie Zeitler)
氏は、セキュリティ・トレーニングの強化
ばかりに気を取られてはならないとしたうえで、セキュリティ対策が経
従業員1人1人のセキュリティ意識を高めるには 営者と従業員の双方に利益をもたらすことを教えるべきだと説く。
 1人1人の従業員が価値ある情報と資産を作り、取り扱い、送信し、  
「従業員を退屈させずに彼らのやる気を喚起するには、セキュリティ
保管する。そしてこれら資産の安全を守るのも従業員1人1人である。 対策の不備が従業員にも多大な影響を及ぼすことを彼らの前できちん
しかし残念なことに、そのために従業員は何をすべきなのか、それぞ と示すべきである。セキュリティ対策を実行に移さなかったがために自
れの仕事をこなしながら効果的にセキュリティ・リスクを管理するには 分のクビが飛ぶかもしれない――こうした認識が、ルールを守ろうと
どうすべきかについては、どの企業でも十分な社内教育が行われてい する意欲を高めるのだ」
(Zeitler氏)
るとは言い難い。  大金が動くカジノでは、ルールに関する妥協が一切許されない。企
 セキュリティ・リスクを見極めるだけでも十分難しいのに、セキュリ 業もこれにならい、セキュリティに関する妥協を受け入れない姿勢を
ティをテーマに自社の従業員と向き合うとなると、さらにやっかいだ。 従業員に示すべきだ。そのメッセージが従業員に受け入れられて初め
というのも、従業員は通常、退屈なセキュリティ・セミナーで繰り返さ て、アクセス権限の付与が
“ギャンブル”
でなくなるのだから。

July 2008 Computerworld 83


P a r t 3 │ 企 業 を 危 う く す る 「 よ く あ る セ キ ュ リ テ ィ[ N G ] 集 」

 こうしたアプローチは、予算が枯渇したときに、重 グゼクティブを務めるケビン・マンディア
(Kevin
要な問題を先送りしてしまう、あるいはまったく無視 Mandia)
氏は指摘する。
してしまうことにも結び付く。セキュリティ担当者は、  いつ、
だれがデータにアクセスしたかということから、
優先順位を付けることも重要な仕事だと認識するべ どのシステムがデータを利用したかという点まで、企
きである。 業はアクセス・ログをすべて記録しておくべきだ。し
かし、それを実践しているところは少ないと、Mandia

情報漏洩がいずれ起きると 氏は見ている。
NG8 わかっていても、対策は後手  またMandia氏は、漏洩事故の詳細がドキュメント
化されているケースも少ないと嘆く。
「ほとんどのケー
 情報漏洩を望む者はいない。だが、漏洩させる人 スで、
テラバイト級の膨大な資料を渡されることはあっ
間がいずれ現れるという前提の下で、企業は対策を ても、
事故の内容を事細かに記したドキュメンテーショ
講じなければならない。 ンを提示されることはない。技術者たちは肩をすくめ、
 きちんとした対策は漏洩による被害を最小化する。 弁護士たちも命じていないのだ。何が起きたのか担当
しかし、ほとんどの企業は対策が遅すぎたり、後手に 者たちに聞いても、
虫のざわめきのような回答しか返っ
回ったりしていると、データ漏洩対策サービス/関連 てこない。これでは、対策のプランを練ることなど不
ツールの専門ベンダー、米国Mandiantでチーフ・エ 可能だ」
(Mandia氏)

もう1つのNG集──セキュリティ・ポリシー編
Anton Chuvakin
Computerworld米国版

 セキュリティ・マネジメントに絶対に欠かせないもの、それはセキュ  しかも、いざセキュリティ・ポリシーを策定してみると、企業側は自
リティ・ポリシーだ。これの目的は、顧客/従業員情報や企業データ 分たちのシステムの大部分がポリシーに違反していることに気づく。
の保護、セキュリティに対する姿勢の定義、情報漏洩時の対外的影 これは、ポリシーが現行のIT運用基準に基づいて策定されていないた
響の最小化などである。米国の場合、セキュリティ・ポリシーを策定 めで、珍しいことではない。
し会社全体で周知を図ることが法律で義務づけられている。  なお、違反部分については、それをドキュメント化してセキュリティ・
Side Story

 しかし、セキュリティ・ポリシーを正しく策定し実践するのは容易な リスクを分析しなければならない。そして、新たなポリシーを順守する
ことでない。実際、多くの企業がポリシーの見落としや誤解などのミ ために必要な改善コストを見積もる必要もある。
スを経験している。
 以下、セキュリティ・ポリシーの策定や実践にあたり犯しやすいNG
NG2 ポリシーを更新しない
(失敗やミス)
を5つ紹介する。この中には、あまりに初歩的に感じられ
るものも含まれているが、看過すると企業の収支に重大な影響を引き  上のNG1に当てはまらないからと言って、安心はできない。セキュ
起こす可能性が生じると考え、あえて明記している。 リティ・ポリシーはよく出来ているが、セキュリティを強化するには十
分でないという現実問題に直面するかもしれないからだ。
 企業ネットワークやビジネス・プロセスが変化すると、当然のことな
NG1 ポリシーを適用しない
がらセキュリティ・リスクとコンプライアンスの条件も変わってくる。し
 5つのNGの中でも、これはかなり重要である。一口に
「ポリシーを適 たがって、セキュリティ脅威と企業像の変化に合わせて、セキュリティ・
用しない」
と言っても、その状態は実にさまざまだ。例えば、そもそも ポリシーも更新しなければならない。
ポリシーを一切持たない状態、非公式にそれとなくほのめかされた状  セキュリティ・ポリシーの更新が必要な具体的なケースとしては、
態、経営陣レベルで策定かつ認識はされてはいるものの明文化されて 新技術の導入
(もしくは旧型ソフトウェアまたはハードウェアの廃棄)

いない状態などがある。 新法の制定または規制強化、企業の吸収合併もしくは組織再編、新
 こうした状態はほとんど例外なく、セキュリティ上の弱さを露呈する 事業の設置あるいは新しい実務の採用などが挙げられる。基本的には、
ことにつながる。これに該当する企業は、セキュリティ・インシジント これらすべての実施に合わせて、セキュリティ・ポリシーを適切に更新
の際に法的責任を問われるだけでなく、セキュリティ・ポリシーを義務 しなければならない。
づけている法律に抵触する可能性も出てくる。  どんなに見栄えのいいポリシー文書を掲げている企業でも、セキュ

84 Computerworld July 2008


ネジメント
・マ
]セキュリティ
[再考

漏洩の詳細を把握する のテーブルに12人いれば、そのうちの10人はその場

NG9 必要があるのに、 に必要ない人たちだ」


と同氏は語る。

だれもその役を引き受けない
漏洩情報が不必要に広まり、
 情報漏洩の事実が判明したら、単独の責任者あるい NG10 原因究明などが困難に
は少数精鋭のチームが陣頭に立ち、事態の詳細を速や
かに把握しなければならない。しかし、このプロセスが  情報漏洩を起こした企業の多くに見られる問題の1
うまく機能しないケースが目立つと、
Mandia氏はこぼす。 つは、漏洩の詳細を不必要に明らかにしてしまうこと
 
「責任者がいない、あるいはだれも責任者になりた だ。情報が社内に広まれば、関係する従業員が自己
がらない。その結果、問題を解決するうえで必要とな 保身に走ることも予想され、そうなれば水面下での原
る資金、ツール、技術面のリソースが不透明になり、 因究明は困難になる。
漏洩対策に投入できる人員や日常業務との兼ね合い  もし情報漏洩にインサイダーがかかわっていれば、
なども決定できない」
(Mandia氏) その人物は社内を駆けめぐる情報を耳にして新たな
 こうした責任の押しつけ合いのほか、あまりに大勢 行動を起こすことも考えられる。
「おそらく彼は、調査
の人間がかかわることで調査が妨げられ、迅速な対 チームの先手を打って、直ちに証拠隠滅を図ろうとす
応ができないといったケースも珍しくない。
「意思決定 るだろう」
(Mandia氏)

リティ・リスクに合わせてポリシーを定期的に見直し、更新しなければ、 シーの内容が技術的なことに終始していたら、攻撃者に間隙を突かれ
いずれ攻撃者の格好の標的となるだろう。 ることもある。
 例えば、パスワードの複雑化、ファイアウォール・ルールの厳格化、
IPS
(不正侵入検知防御)
の導入、ウイルス対策ソフトのアップデート
NG3 ポリシーの順守を追跡管理しない
といった技術的なセキュリティ対策ばかりに目を向け、エンドユーザー
 セキュリティ・ポリシーを策定し、かつ定期的に更新しているのなら、 の行動にはほとんど触れていないセキュリティ・ポリシーの場合は、従
理想的なポリシーの運用に向けて重要なステップを2歩進んだことに 業員による特権乱用やコンピューティング・リソースの個人目的での
なる。しかし、落とし穴はまだある。 使用など、比較的軽度ではあるが侵害行為を許してしまう可能性があ
 セキュリティ・ポリシーがきちんと守られているか、ポリシーの存在 る。
が従業員に認識されているかの確認を怠ると、ポリシーはたちまち無  もちろん、技術的な対策が当座しのぎではなく、セキュリティ・ポリ
意味になり、法的にも役に立たなくなる。 シーに基づいた正式なものであることを示すことは重要だ。しかし、セ
 ポリシーの内容がすべての従業員にくまなく周知され、ポリシー順 キュリティ・ポリシーが
「人間」
「プロセス」
「テクノロジー」
の3要素で構
守を習慣づける教育が施されていることはきわめて重要だ。ポリシー 成されることを忘れてはならない。
の有用性を維持するため、ポリシーに基づく活動の継続的な監査も不  そして、この3つのバランスをうまくとることに役立つのが前出のロ
可欠となる。 グ・データであることを、あらためて強調したい。自動更新や再起動と
 ポリシーが順守されているかどうかを追跡するうえで最も効果的な いったシステムの活動と、日常的なITタスクから物理的なセキュリティ
手法は、おそらくロギングである。ログ・データを収集し分析すれば、 に至るユーザーの活動はすべてログに残される。これをポリシーに照
IT環境で今起きていることを把握できるからだ。例えば、仕事関連の らし合わせてチェックすれば、ポリシーに抵触あるいは順守している人
文書を個人メール・アカウントに送信したり、アクセス権限外にある 間を特定することが可能になる。
データへのアクセスを試みたりしている従業員がいたら、その痕跡が
イベント・ログとして残っているはずである。これは、クラッカーが外
NG5 内容が理解しやすい形になっていない
部からサーバへの侵入を試みたときも同様だ。
 ログを介して従業員とシステムの活動を追跡管理し、そこから得た  セキュリティ・ポリシーは、それを順守すべき対象者にとって理解し
データをセキュリティ・ポリシーと照らし合わせることこそ、ポリシーの やすい形で書かれるべきである。たとえ上記3要素をくまなく網羅して
順守を継続的かつ客観的に管理する最良の方法と言えよう。 いるポリシーであっても、その内容を理解するのが難しいようであれば、
違反行為を防ぐことは難しくなる。
 同様に、業務の一環として行っている日常的な活動まで禁止するよ
NG4 技術関連のポリシーしか策定していない
うな厳しすぎるポリシーにも問題がある。こうしたポリシーは、結果的
 以上3つの落とし穴を見事にクリアしていても、セキュリティ・ポリ に大勢の社員のポリシー違反を引き起こす可能性が高くなる。

July 2008 Computerworld 85


特別
企画

インテルとAMDの戦いが再び激化、
ユーザーはどう備える

クアッドコア時代が到来
マルチコアCPU
最新事情
Penryn、Nehalem、Phenom、Fusion。これらは、2008年に出荷されるデスクトップPCに搭載される、ないしは搭載
予定のCPUの開発コード名だ。最初の2つはIntel製、後の2つはAMD製であり、今年も2大CPUベンダーどうしによるデ
スクトップPC市場での覇権争いという構図に変わりはない。ただし、今年は両社からクアッドコアをはじめとするマルチコ
アCPUが多数投入されるため、その戦いはより熾烈なものとなりそうだ。本企画では、IntelとAMDのマルチコア戦略に着
目しつつ、2008年における両社のデスクトップPC向けCPUに関する計画を詳しく見ていく。製品購入の際の判断材料と
して、またマルチコアCPUの最新の情報源として活用していただきたい。
George Jones
Computerworld米国版

July 2008 Computerworld 87


TICK TOCK戦略に基づき、サーバ/デスクトップ/
Intel モバイルの各レイヤでマルチコアCPUを推進
 現時点では、米国IntelがCPUのパフォーマンスで のリリースが見込まれている新しいマイクロアーキテ
最大のライバルである米国AMDを大きく引き離して クチャを実装したCPUとなる。
いると言える。IntelのCoreマイクロアーキテクチャを  Nehalemの画期的な特徴を説明する前に、以下で
採用したCPUが、AMDのCPUよりもかなり先を行っ は、2008年上半期におけるCoreマイクロアーキテク
ていることは、専門家の間でも一般ユーザーの間でも チャをベースにしたIntelの最新CPUについて、その
意見が一致している。AMD派、なかでもハイエンド・ 性能やリリース状況を詳しく見ていくことにする。
モデルのユーザーからすれば、今の状況は苦々しい
思いだろう。 2007年に45nmプロセスの
 Intelが現在、推進しているCPUのロードマップは、 Penrynが登場
同社の「TICK TOCK」戦略に基づいている
(図1)

これは、CPU製造プロセスの微細化と新しいマイク  Coreマイクロアーキテクチャをベースに45nmプロ
ロアーキテクチャの実装を毎年交互に行っていくとい セスで製造されたPenryn
(開発コード名)
は、Intelと
う戦略を示している。 一般ユーザーの双方が期待したとおりの価格性能比
 Intelは、TICK TOCK戦略にのっとり、プロセス を実現したことで、2007年におけるCPUの最大の目
の微細化を奇数年に実行している。例えば、効率と 玉となった
(写真1)
。PC Worldなどの専門誌から各
スピードを高めるために45nm
(ナノメートル)
の製造プ 種ハードウェアを取り上げる個人サイトに至るまで、
ロセスを適用したのは2007年のことだった。 実に多くの性能検証が行われ、そこに掲載された多
 そして偶数年には、CPUのマイクロアーキテクチャ 数のテスト結果から、
Penrynは平均20%も性能がアッ
を一新している。後述するNehalemは、今年下半期 プしていることがわかった。
 さらに、
CPUのサイズを小型化したことで、
シリコン・
ウェハ1枚当たり、より多くのCPUを量産できるよう
図1:IntelのTICK TOCK戦略に基づき出荷されたCPU製品/開発
が進められているCPU製品 になった。これは、Intelにとって、CPUの低価格化
と利幅の向上に大きく貢献している。また、Penryn
2005年 TICK Pentium D/Xeon/Core の新機能や改良点としては、仮想化技術の改良、マ

65nm
2006年 TOCK Core 2/Xeon
ルチメディア拡張命令セット
「SSE4」の搭載、消費
電力の低減などが挙げられる。
 2008年は、高性能なPenrynプロセッサを擁する
2007年 TICK Penryn(開発コード名)
Intelの優勢が、しばらく続きそうな情勢である。

45nm
2008年 TOCK Nehalem(開発コード名)

コンシューマー向けに初の
2009年 TICK Westmere(開発コード名) 8コア・プラットフォームを投入

32nm
2010年 TOCK Sandy Bridge(開発コード名)  Intelは、コンシューマー向けとして最高性能となる
クアッドコアCPUであるCore 2 Extreme QX9770

88 Computerworld July 2008


特別企画 マルチコアCPU最新事情

および同QX9775を2008年第1四半期に出荷してい 写真1:45nmプロセスを適用したPenrynのダイ

(90ページの 写 真2)
る 。両CPUは、動 作 周 波 数
3.2GHzを誇り、2007年末にリリースされた同QX
9650(3.0GHz)
よりも高速化されている。
 両CPUの最大の特徴は、
FSB
(フロントサイド・バス)
のスピードが1,333MHzから1,600MHzへと大幅にアッ
プしている点 だ。QX9770は、X48チップセット
(1,600MHz FSBをサポート)
で動作し、
それよりスピー
ドの遅いX38チップセットとの互換性も持つ。
 QX9775は、サーバ向けのLGA771ソケットをベー
スとする新プラットフォーム「Skulltrail」
(開発コード
名)への搭載を想定して開発されており、ユーザーは
Skulltrail上にQX9775を2個搭載できる。Skull
trailは、コンシューマー向けとして初めての8コア・プ
ラットフォームとなるわけだ。
 また、QX9770/QX9775は、動作周波数が3.2G
Hzであることに加えて、12MBという驚くほど大容量
のL2キャッシュを備えている。ただし、価格は1,500
ドル近くとかなり値が張る。 12MB L2キャッシュ)が登場する。これら3製品は、
 さらにIntelは、2008年 内に3.4GHz、もしくは すべて1,333MHz FSBとLGA775ソケットに対応し
4.0GHzの動作周波数を実現したコンシューマー向け ている。
のCPUをリリースする可能性もある。  2008年第3四半期ごろには、Core 2 Quad Q9400
(動作周波数2.7GHz、6MB L2キャッシュ)
と同Q96

ミッドレンジ市場向けの 50(3.0GHz、12MB L2キャッシュ)の登場が控えて

45nm製品も続々リリース おり、両CPUともLGA775ソケットおよび1,333MHz
FSBに対応している
(QシリーズのCPUに記載されて
 Intelは、2008年内にPenryn QシリーズおよびE いる
“50”の数字は、
12MB L2キャッシュを意味する)

シリーズもリリースする計画だ
(Qはクアッドコアの意。  CPUの市場動向がこの2、3年の間に大きく様変わ
Eシリーズは標準のCore 2 Duoライン)
。 りしたことは、45nmプロセスへの移行や、動作周波
 ミッドレンジ市場については、デスクトップPC向け 数2.6〜3.3GHzのデュアルコアCore 2 Duoプロセッ
にCore 2、サーバ向けにXeonの名を冠した多数のク サが、今やミッドレンジ市場向けCPUのローエンド・
アッドコアおよびデュアルコアCPUを45nmプロセス・ モデルに位置づけられている点からも容易にわかる。
ベースでリリースする。同市場に投入されるクアッド  さらにIntelは、Core 2 Duo E8190(動作周波数
コアCPUは、
“ネーティブ”なクアッドコアではなく、2 2.7GHz)
、同E8200(2.7GHz)
、同E8300(2.8GHz)

つのデュアルコアCPUを組み合わせたものとなる。 同E8400(3.0GHz)
、 同E8500(3.2GHz)を 含 む
 2008年上半期だけでも、Core 2 Quad Q9300(動 45nmプロセスを適用した一連のCore 2 Duoプロセッ
作周波数2.5GHz、6MB L2キャッシュ)
、同Q9450 サを2008年上半期にリリースする。2008年第3四半
(2.7GHz、12MB L2キャッシュ)
、同Q9550
(2.8GHz、 期には、同E8600(3.3GHz)
もデビューする予定だ。

July 2008 Computerworld 89


写真2:コンシューマー向けとして最高性能を誇るクアッドコアCore 2 マイクロアーキテクチャが刷新され、現在のCoreマイ
Extremeプロセッサ
クロアーキテクチャを採用したCPUから大幅に性能
が進化するようだ。うわさでは、インテルが1995年に
Pentium Proをリリースして以来、最大の進化となる
と言われている。
 以下では、Nehalemに搭載される主な新機能を紹
介する。

■メモリ・コントローラをCPUコアに統合
 Nehalemで採用される新マイクロアーキテクチャの
設計思想/構造上で最大の変更点は、内蔵メモリ・
コントローラ
(メモリ間でデータの入出力を処理するた
めに使われるチップ)
だと言える。Intelは、Nehalem
の登場により、ノースブリッジ・メモリ・コントローラは
これらのCPUは、どれもLGA775ソケットに対応し 不要になると明言した。メモリ・コントローラをCPU
ており、6MBのL2キャッシュを搭載し、1,333MHz コアに内蔵することで、FSBによるスループットの制
FSBで動作する。加えて、Intelの仮想化技術「Intel 約を回避できるという。
VT
(Virtualization Technology)
」をサポートする。  メモリ・コントローラを統合した結果、データ転送
 Core 2 Duoシリーズのローエンド・モデルは、2M レートは最大32Gビット秒に拡張された。Intelが野
BのL2キャッシュを搭載し、800MHz FSBで動作す 心的なマルチコア計画をNehalemで実現しようとして
る65nmプロセスを適用した動作周波数2.6GHzの いる点を考慮すれば、この転送レートが持つ意味は
Core 2 Duo E4700となる。また、
3MBのL2キャッシュ 大きい。なお、
内蔵メモリ・コントローラの名称は「Intel
を搭載し、1,066MHz FSBで動作するPenrynベー QuickPath Interconnect」である。
スの同E7200
(動作周波数2.5GHz)
も用意されている。  Intelが内蔵メモリ・コントローラへの移行を決めた
しかし、両CPUは、いずれもIntel VTには対応して ことに対し、AMD派の間では、
「Intelは、何年も前
いない。 にAMDが実現したことを、今ごろになってようやくそ
の価値を理解したようだ」とやゆする声が上がってい

次期アーキテクチャ採用の る。内蔵メモリ・コントローラにより、メモリのアクセス・

Nehalemは今年後半に登場 スピードとレイテンシを改善するほか、消費電力も低
減することが可能になる。
 Nehalemとは、
Coreマイクロアーキテクチャに次ぐ、
次世代マイクロアーキテクチャを採用したCPUの開 ■グラフィックス機能をCPUに統合
発コード名である。Nehalemという名称は、米国オレ  Intelは2007年9月、Nehalemにグラフィックス機
ゴン州北西部の小さな町に由来している。Nehalemは、 能を統合することも発表した。つまり、
GPU
(Graphics
もともと米国北西部のTillamookというアメリカ原住 Processing Unit)
コアがCPUと同じチップ上に配置
民を指していた。 されるわけだ。
 偶数年に新しいマイクロアーキテクチャを発表する  ちなみに、Intelの内蔵グラフィックス機能とAMD
IntelのTICK TOCK戦略にのっとり、Nehalemでは のグラフィックス機能の違いのポイントとしては、

90 Computerworld July 2008


特別企画 マルチコアCPU最新事情

Nehalemでは、AMDが「Fusion」
(開発コード名)
で ムが登場する可能性は非常に高いと言える。
計画しているようなダイ・レベルでのGPUの統合は行  ただし、Nehalemが登場しても、ダイ・サイズが縮
われないという点が挙げられる。 小されるのはまだ先の話となる。それが実行されるの
は、Intelが現在、
「Westmere」
(開発コード名)
と呼ん
■メモリはDDR3 SDRAMをサポート でいるCPUからである。2009年にリリース予定の
 Nehalemでは、より高速・低消費電力なメモリであ Westmereは、Nehalemのマイクロアーキテクチャを
るDDR3 SDRAMをサポートする。これも、アーキテ 実装しつつ、32nmプロセスを適用する計画だ。Intel
クチャ上の大きな変更点だと言える。 がTICK TOCK戦略を今後も維持していくと仮定す
れば、2010年には「Sandy Bridge」
(開発コード名)
 ここまでNehalemの主な新機能を見てきたが、そ と呼ばれる、Nehalemの次となるまったく新しいマイ
の他にも、CPUの高速化技術であるハイパースレッ クロアーキテクチャが登場することになる。
ディングや同時マルチスレッディングに改良が施され  個々のCPUレベルで見ていくと、デスクトップPC
る。これにより、複数のCPUコアがサイクルとメモリ 向けNehalem
(開発コード名「Bloomfield」
)の第1弾は、
をプールすることで、アプリケーションを快適に実行 2008年後半にリリースされる予定である。インターネッ
できるようになる。加えて、L2およびL3レベルでの ト上では、Bloomfieldのクアッドコア版には、8MB
共有キャッシュ機能が改善されることから、CPUの の共有L3キャッシュが搭載され、3つのDDR3メモリ・
実行効率はいっそう高まるはずだ。 チャネルをサポートするとの憶測が流れている。2008
 また、Nehalemは、1枚のダイにすべてのコアを実 年第4四半期には、Bloomfieldの8コア版も発表され
装する、いわゆるネーティブなクアッドコア/ 8コアを るという。
達成するために、ゼロから構築された次世代マイクロ  Intelは、
サーバ向けとして「Beckton」
(開発コード名)
アーキテクチャである。したがって、2009年には、2 と
「Gainestown」
(開発コード名)
の2種類のCPUを開
個の8コアCPUで構成された16コア・プラットフォー 発中だ。これらについてもインターネット上では、Bec

Topics 「破壊的な影響力を持つ技術」
ランキング、 Chris Kanavacus
1
1位はマルチコアCPU IDG News Serviceボストン支局

 米国の調査会社Gartnerは2008年4月8日、同社主催のシンポジウ 化が入っている。
ムにおいて、2012年までの4年間にわたって
「破壊的な影響力」
をIT業  両氏は、1位のマルチコアCPUについて、
「これまでの技術にない利
界に及ぼす技術をランキング形式で披露した。 点がある」
と述べている。しかし、その一方で両氏は、シングルスレッド
 結果は、1位がマルチコアCPU、2位がクラウド・コンピューティング、 にしか対応していないアプリケーションでは、マルチコアのパワーを引
3位がユーザー・インタフェースとなった。 き出せない点も指摘した。
「例えば、シングルスレッド・アプリケーショ
 同ランキングをまとめたのは、Gartnerのアナリストであるデビッド・ ンを8コアのシステムで稼働させても、利用可能なコアを8分の1しか使
シアリー
(David Cearley)
氏とカール・クランチ
(Carl Claunch)
氏の2 えないため、利用率は12.5%にとどまる」
人だ。両氏は米国ラスベガスで開催された
「Symposium/ITxpo 2008」  こうしたことから、
「(マルチコア対応へと)
修正が必要なアプリケー
で講演し、こうした技術が今年から2012年にかけてIT業界の状況を一 ションを特定する必要がある」
と両氏は述べている。
変させると語った。  とは言え、マルチコアCPUが標準となりつつある現状を考えると、
 両氏がまとめたランキングのトップ10には、前出の3つの技術のほか、 今後はアプリケーションも続々とマルチコア対応に変わっていくと考え
ソーシャル・ネットワーキング/ソーシャル・ソフトウェア、Webマッシュ られる。Cearley氏らの指摘は、急激に進むマルチコア化に追いついて
アップ、ユビキタス・コンピューティング、コンテキスチュアル・コンピュー いない現状を如実に示すものと言え、そのことからも、マルチコアCPU
ティング、拡張現実感
(Augmented Reality)
、セマンティクス、仮想 の浸透ぶりと影響力の高さをうかがい知ることができる。

July 2008 Computerworld 91


写真3:A tomを搭載したMIDのコンセプト・モデル(写真は韓国LGが 「Centrino 2」
(開発コード名「Montevina」
)を発表した。
開発したもの)
Centrino 2の新しいチップセットは、
「Cantiga」
(開発
コード名)と呼ばれ、モバイル向けとして初めて
1,066MHz FSBを搭載する。
 新しいワイヤレス・アダプタ
(開発コード名「Shiloh」

は、ワイヤレス信号を理論上では最長30マイル先ま
で伝送できる、長距離ワイヤレス通信規格のWi
MAXをサポートする計画だ
(ただし、WiMAXはまだ
実用レベルで普及していない)
。また、Centrino 2は、
PCをディスプレイや外部音源に接続するための新規
格「DisplayPort」
をサポートする。
 さらにIntelは、
「Silverthorne」
という開発コード名
の下に開発を進めていた新型の低電力モバイルCPU
「Atom」
を今年3月に発表した。45nmプロセスを適用
ktonはネーティブな8コアCPU
(デュアルソケット構 したAtomは、とりわけ成長が著しいインターネットに
成の場合は16コア)
、Gainestownは比較的Bloom 対応した携帯端末の分野をターゲットにしている。
fieldに近いスペックになるとうわさされている。 Intelは、Atomがターゲットにしているそうした携帯
モバイル・デバイスをMID
(Mobile Internet Device)

モバイル向けCPUでも と呼んでいる
(写真3)

攻勢を強めるIntel  Atomで特筆すべき点は、消費電力がきわめて低
いことだ。Intelによれば、Atomの消費電力は同社
 Intelは今年3月、CPUとチップセット、ワイヤレス・ 製デュアルコアCPU
(最も低消費電力)の約15分の1
アダプタをすべて一新したモバイル・プラットフォーム にすぎないという。

あらゆるレンジでクアッドコアを投入し
AMD 価格性能比での巻き返しを狙う
 AMDにとって、2007年は好調な年ではなかった。 の買収は、AMDにとってあまりにも負担が大きく
(買
クアッドコアOpteronプロセッサの新版「Barcelona」 収金額は約54億ドル)
、6四半期連続で損失を計上
(開発コード名)
(写真4)
の一般向け出荷を、設計ミス するという事態に陥った。このことについてAMDは、
で大幅に延期するという失態を演じたほか、価格性 判断ミスを素直に認めており、2008年の好転を目指
能比の面でもIntelに後れをとる状態が続いており、 すとしている。
高性能なCPUを手ごろな価格で提供するという同社  2007年末、AMDはAthlonシリーズのCPUに別
の評判は深く傷ついた。 れを告げ、ようやく次世代のデスクトップ向けCPU、
 業界アナリストは、AMDがカナダのグラフィックス・ Phenomシリーズ(Phenom 9500/9600)
をリリースし
ベンダーであるATI Technologiesを2006年に買収 た
(写真5)
。PhenomプロセッサはCPU市場で真のネー
したことについても、同社をやり玉に挙げている。こ ティブなクアッドコアCPU、つまりすべてのコアが1

92 Computerworld July 2008


特別企画 マルチコアCPU最新事情

枚のシリコン/ダイに統合されたCPUである。このこ 写真4:設計ミスで一般向け出荷が遅れたクアッドコアOpteronプロセッ
サ「Barcelona」
とは、AMDのクアッドコアCPUがIntel製のものより
もすぐれていると、AMD側が主張する根拠の1つに
なっている。Phenomプロセッサで採用されているマ
イクロアーキテクチャは、共有L3キャッシュを備える
点と電源管理が改善された点がセールスポイントと
なった。
 だが、このPhenomでも問題が発生した。同CPU
の発売直前にL3キャッシュにバグが見つかり、ごく
まれにシステムをフリーズさせる可能性があることが
明らかになったのだ。AMDは後にこの問題を解決す
るソフトウェア・パッチをリリースしたが、それによっ
てシステム・パフォーマンスが若干落ちてしまった。
 また、デスクトップ向けハイエンドCPUの最新製品
をうたうPhenomシリーズの初期製品が、
ベンチマーク・
テストの結果、すでに市場に出ていたIntelのCore 2
Duoシリーズよりも性能面で劣っていたという、根本
的な問題も指摘された。
 現在、Intel製のCPUは、AMD製のCPUと比べ
写真5:C PU市場で唯一ネーティブなクアッドコアCPUであるPhe
て性能および互換性のレベルで優位に立っているが、 nomのダイ

この構図は10年前とまったく同じだ。2008年、AMD
はPhenomシリーズはもちろん、旧世代のAthlonの
価格を大幅に引き下げることで価格性能比の面から
肩を並べようとするはずだ。高性能のPCを非常に安
く買えるとなれば、一般ユーザーにとっては朗報だ。

2008年に多数投入される
クアッドコアPhenomシリーズ
 2008年を通じて、AMDはあらゆる価格レンジでク
アッドコアPhenomプロセッサを投入する。
 ミッドレンジおよびハイエンドのCPUとしては、す
でにPhenom X4 9000シリーズの5モデルが3月末に
リリースされている。まず、2007年にリリース済みの
Phenom 9500/9600の改良版となるPhenom X4
9550
(動作周波数2.2GHz)
および同X4 9650
(2.3GHz) 9100e
(1.8GHz)
である。
と、より高性能タイプの同X4 9750(2.4GHz)と同  また、2008年第2四半期には、Phenom 9700
(2.4
X4 9850(2.5GHz)
、そして省電力タイプの同X4 GHz)
と同9900(2.6GHz)
に加え、若干スピードの遅

July 2008 Computerworld 93


い同9150(1.8GHz)
も登場する。以上紹介した9000 さらに高速なバージョンも投入した。これらはすべて、
シリーズのCPUは、すべて2MBのL2キャッシュと 1.5MBのL2キャッシュと2MBの共有L3キャッシュ
2MBのL3キャッシュを備える。今 年 下半期には を備える。
Phenomシリーズに3.4GHzのモデルも加わると見ら  年末までには、動作周波数が3.0GHzに達するトリ
れている。 プルコアCPUも投入されると見られている。
 ウルトラハイエンドのPhenom FXシリーズとしては、  AMDは現在、Phenomシリーズのクアッドコアおよ
Phenom FX-82、同FX-90、同FX-91(動作周波数 びトリプルコアCPUのプロモーションに力を入れてい
はいずれも3.0GHzに迫る見込み)の3モデルがリリー るが、ローエンドおよびミッドレンジ市場向けのデュア
スされる予定だ。 ルコアCPUにも引き続き注力していくようだ。事実、
これらはすべて、2MBのL2キャッシュと2MBの共 2008年第2四半期には2つのデュアルコアCPUをリ
有L3キャッシュを備える。FX-82は「Socket AM リースする可能性が高い。動作周波数はまだ明らか
2+」
と互換性を持ち、
また、
FX-90とFX-91は「Hyper にされていないが、いずれも1MBのL2キャッシュと
Transport 3.0」に採用されている高速メモリ・コント 2MBのL3キャッシュを備えると見られる。また、第3
ローラを備えたサーバ向けの「Socket F+」を利用す 四半期と第4四半期には、さらに数モデルのデュアル
ることになる。年末までには、3.4GHzの最上位モデ コアCPUが発表される見込みである。
ルがリリースされる見込みだ。

45nmプロセス化で遅れるも
ついに投入された 統合CPU「Fusion」
で逆転を狙う
AMD初のトリプルコアCPU
 IntelとAMDの違いはたくさんあるが、その1つは
 実は、AMDのクアッドコアには、ユーザーからの CPUの製造に45nmプロセスを使っているかどうかと
批判が数多く浴びせられてきた。クアッドコアの名を いう点だろう。Intelは続々と45nmプロセス採用の
冠しながら、そのうちの1つのコアが機能しないなどの CPUを投入しているが、AMDが45nmプロセスを使
トラブルが相次いだからだ。だが、IntelやAMDに限 いはじめるのは、2008年末か2009年初頭になると見
らず、どのCPUベンダーのものであれ、正常に動作 られる。そのため、
AMD製の現行のCPUについては、
しないコアや正規の性能を有しないコアを持つCPU 価格性能比、消費電力のいずれもIntel製CPUに対
が店先に並ぶのは、そう珍しいことではない。 する劣勢を認めざるをえないのが実情だ。
 このトラブルから着想を得たわけではないだろうが、  しかし、それまでの間、AMDはいくつかの新しい
AMDは2008年、クアッドコアの1つのコアを機能さ 取り組みに注力して、Intelを追い上げる構えを見せ
せずにトリプルコアとした8000シリーズを同社の ている。
CPUラインアップに加えた。トリプルコアCPUの魅  2008年、
AMDは「Peruses」
という新たなデスクトッ
力は、理論上、価格性能比がデュアルコアとクアッド プ・プラットフォームを大々的に推し進める計画だ。
コアの中間に位置することだ。 IntelのノートPC向けプラットフォーム「Centrino」の
 まずAMDは今年3月末、前述したクアッドコアの デスクトップ版とも言えるPerusesは、
Phenomプロセッ
9000シリーズと同時に、トリプルコアのPhenom X3 サ、ATIグラフィックス・チップ、新開発のAMDチッ
8400(動作周波数2.1GHz)
と同X3 8600(2.3GHz) プセットなどで構成される。
をリリースした。また4月末には、
同X3 8450
(2.1GHz)
、  さらにAMDは、CPUとGPUコアをダイ・レベルで
同X3 8650
(2.3GHz)
、同X3 8750
(2.4GHz)
といった、 統合した次世代CPU
「Fusion」
(開発コード名)
の開発

94 Computerworld July 2008


特別企画 マルチコアCPU最新事情

にも注力している。CPUとGPUコアを同じ場所に配 向上に貢献する。
置するという手法は、Intelの今後のロードマップにも  Griffinは「Puma」
(開発コード名)
というAMDのまっ
まだ見られないものである。AMDは、この手法を用 たく新しいノートPC向けプラットフォームとペアで登
いることで共有メモリなどのリソースに対するアクセス 場する予定だ。
がより高速になり、性能アップにつながると考えてい  また2008年には、グラフィックス・チップをハイブ
る。また、
熱/電力効率にも改善がもたらされるようだ。 リッド方式にした「Power Xpress」というプラット
 ただ、メモリの割り当てと熱/電力効率の改善は、 フォームも登場する。
このプラットフォームには、
マザー
デスクトップPCよりむしろノートPCにとってメリット ボード・レベルの内蔵GPUと、よりパワフルな別の
が大きいと言える。今のところ、デスクトップPCに対 GPUが採用される予定だ。理論上、この新方式によ
するメリットまでは言及されていない。Fusionを採用 り消費電力が大幅に低減されるほか、きわめて高性
した製品のリリースは2008年末から2009年初頭にな 能なグラフィックス機能が利用可能になる。
ると見られている。  前述のとおり、AMDはCPUとGPUコアを統合した
Fusionを2009年にリリースする予定である。ノートPC

モバイル向けCPUでも 向けのデュアルコアFusionプロセッサは、2009年下半

新技術の採用でIntelに対抗 期に出荷され、その後、時期は未定だが、ノートPC向
けのクアッドコアFusionプロセッサが続く見込みだ。
 2008年以後、AMDはノートPC向けとなる新しい  AMDが今年成功できるかどうかは、2000年代初
CPUにおいて、電力性能比を改善することに注力し 頭に同社が大躍進する原動力となった、抜群の価格
ていく。
「Griffin」
(開発コード名)
の名称で知られるこ 性能比をもう一度再現できるかどうかにかかっている
の次世代CPUには、新たな電源管理方式「Split だろう。いずれにしても、CPUの設計に対する同社
Power Plane」が採用される予定だ。同方式は、デュ の斬新な手法が“CPUマニア”の興味を引くことは間
アルコアまたはクアッドコアCPU上の各コアに、それ 違いない。この点は、Intelとの差別化にもつながっ
ぞれ専用の電源をあてがうもので、エネルギー効率の ている。

Topics 国内x86サーバ市場、 Computerworld編集部


2
2007年にマルチコア化がほぼ完了──IDC調査
 IDC Japanは2008年3月27日、国内x86サーバ市場におけるマルチ コア数も増加していき、2008年に6コアCPU、2009年には8コアCPU
コアCPU搭載製品の出荷動向と、マルチコア技術がサーバ市場に与え を搭載するサーバの出荷が開始されると見込んでいる。
るインパクトを分析した調査結果を発表した。それによると、国内x86  加えて、x86サーバ市場のマルチコア化は、ソケット数の少ないサー
サーバ市場では、2007年第3四半期におけるマルチコアCPU搭載製品 バ製品への需要シフトを促進しており、今後もその傾向は強まるという。
の出荷台数が13万7,193台と同市場の91.1%に達し、2007年にマルチ ソケット数の少ない製品への移行は、サーバ・ベンダーの収益を圧迫す
コアCPU搭載製品への移行がほぼ完了する見込みだという。 る要因になると見ている。
 国内x86サーバ市場において、マルチコアCPU搭載製品は2006年  一方、CPUのマルチコア化は、省スペース化やサーバ電力の効率化
第4四半期以降、急速に普及した。その結果、2007年にx86サーバの につながった。
マルチコア化はほぼ完了し、2008年からのポスト普及期には、現在主  しかし、IDCは、サーバの利用率向上は現状道半ばであるとしている。
流のデュアルコアCPU搭載製品の出荷台数比率が徐々に低下して、ク 同社によれば、1ソケット当たりのCPUコア数が多いx86サーバの出荷
アッドコアCPU搭載製品へのシフト傾向が顕著になるとしている。 台数が増加すれば、サーバ仮想化といったニーズが高まり、ベンダー
 IDCは、クアッドコアCPUを搭載するx86サーバの出荷台数比率が、 にとってはサーバに付帯する製品の販売で多くの利益を獲得できる好
2011年には45.9%へ拡大すると予測している。また、継続的にCPUの 機につながるという。

July 2008 Computerworld 95


TechnologyFocus
[テクノロジー・フォーカス]
「話題の製品の機能を詳しく知りたい」
「自社では、どのような技術を使
うのが最適なのだろうか」── 企業において技術や製品の選択を行う「テ
クノロジー・リーダー」
の悩みは尽きない。そこで、本コーナー
[テクノロジ
ー・フォーカス]では、毎号、各IT分野において注目したい製品や技術を
ピックアップし、その詳細を解説する。

C omputing
「GPUコンピューティング」の
可能性
[コンピューティング]

July 2008 Computerworld 97


Technology Focus

C
omputing
[コンピューティング]

「GPUコンピューティング」

可能性
汎用的な計算処理へGPUを応用し、
ベクトル型HPC市場を切り開く
今、ベクトル型HPC
(High Performance Computing)市場で新たな潮流が生まれつつある。画像処理専用プ
ロセッサであるGPU
(Graphics Processing Unit)
を汎用的な計算処理に利用しようとする
「GPUコンピューティ
ング」がそうだ。GPUは、画像処理に特化することで、汎用的なCPUとは異なる独自の進化を遂げた結果、CPU
よりも格段に高い処理能力を持つに至った。その高度な処理能力を画像処理以外の用途に応用しようという取り組
みだ。本稿では、HPC市場の現状やGPUコンピューティングへと至るGPUの進化の過程などを通じて、GPUコ
ンピューティングの全体像をひも解いていく。

中村維男
英国インペリアル・カレッジ計算機学科&慶應義塾大学理工学研究科
橋本昌嗣
日本SGI
正田秀明
日本SGI

「GPUコンピューティング」
と Computation on GPUs」や「General Purpose Com

「GPGPU」
の違い puting on GPUs」
、あるいは「General Purpose Co
mputing with GPUs」などである。
 GPUコンピューティングを解説する前に、まず、  しかし、それらが目指す地点はすべて同じである。
GPU
(Graphics Processing Unit)
が何であるかを 要は、GPUの高速処理性能に注目し、それを汎用的
理解しないと始まらない。 な計算処理に応用しようという考え方である。した
 GPUとは、
通常、
PCやワークステーションにおいて、 がって、イノシシには失礼だが、GPUをもっと
“賢く”
コンピュータ・グラフィックスと呼ぶ画像処理を行う加 して、その“知能指数”をCPUに近づけたいという試
速器の役割を果たすプロセッサのことである。
したがっ みとも言える。
て、GPUの機能と性能は、画像処理にかなり特化し  GPUコンピューティングとGPGPUとを正式に区
たものとなっている。CPUが、機能としてはプログラ 別することは少々難しいが、平たく言えば、GPGPU
ムに忠実であり、
“何でも屋”的なプロセッサであるの よりも本腰を入れ、より汎用的なHPC
(High Per
に対し、GPUは、そのままでは融通の利かない、い formance Computing)
の実現に向けた取り組みが
わば“イノシシ”のような“突進型”のプロセッサである。 GPUコンピューティングだと言えるだろう。
 また、本論のGPUコンピューティングに入る前に、  ちなみに、グラフィックス・カード上のビデオ・メモ
「GPGPU」の話もしなければならないだろう。GP リを利用するのがGPGPU、メイン・メモリを利用す
GPUは、本来の正式な名称からして、語り手により るのがGPUコンピューティングと、一応の区別はなさ
呼称が異なっている。例えば、
「General Purpose れている。

98 Computerworld July 2008


Computing

Computing
日本のHPCの低迷と シミュレータ」が世界に衝撃を与えた2002年、時を同

HPC分野でのGPU活用 じくして米国ではHPCの開拓が強要された。その結
果、HPCの競争がただならぬ状況になり、その後は
 主に計算機として利用されるHPCは、大型になれ HPCの世界「TOP500」
リストに日本勢が入り込めな
ばなるほどその製造と取り扱いにおいて、製造側であ くなってきた。そもそも、2002年の時点でTOP500

“計算機屋”
(ベンダー)
と利用側である
“計算科学 リストに入るような日本のHPCは、NECのSXシリー
屋”
(ユーザー)
が混在する集団が形成される。そのよ ズを除いて、ほとんど見あたらない状況となっていた。
うな中、低消費電力
(正確には低消費エネルギー)
を  1996〜1997年には、上位100の約3分の1を日本
考慮に入れなければ、現在のエレクトロニクスの技術 のHPCが占めていたが、最近では日本のHPCユー
水準では、計算科学屋が望む性能を持ったHPCは ザーは10%を切ってしまっている。この理由は、予算
造れない。特に本稿では、GPUコンピューティング が削減されたわけではなく、日本のHPCを設計・構築・
の解説を通し、計算機屋と計算科学屋の懸け橋の役 販売するNEC、富士通、日立製作所に供給能力の
目を果たすことも目的としている。 低下が生じているからだと言えよう。
 そもそも、北海道から九州に至る各大学の大型計  過去、国内ユーザーは、これら3社の開発計画に
算機センターは、国の研究機関を中心に、本来であ 併せてHPCを導入してきた歴史がある。ところが昨
れば地域色を出していくべきなのであるが、最近では、 今では、HPCを利用する国内ユーザーが減少してい
HPCが何に利用されているのかよくわからないまま存 る。これは、CPUの高性能化と低価格化が進み、汎
在している。言葉は悪いが、日本国内においては、 用的なCPUでも十分な計算能力が実現されるように
HPCのパワー・ユーザーの凋落ぶりはかなり悲惨な なってきたことも大きく影響している。
状況だと言える。計算科学屋がHPCを積極的かつ賢  このような流れの中、東京大学、京都大学、筑波
く取り扱えていないのか、それともHPCのベンダーが 大学において、米国のCPUベンダーであるAMDのプ
これまでよりもすぐれたHPCを設計・構築する元気が ロセッサを用いて構築したHPCが導入された。国内
ないのか不明だが、いずれにしても低調である。 ベンダーの現況を見ていれば、こうした動きは最適な
 パワー・ユーザーである計算科学屋は、アプリケー 計算環境の構築という見地からうなずける部分がある。
ションに対してもっと積極的にアルゴリズムの改良を  ただし、ここに来てHPC市場に変化が起き始めて
施し、プログラミング・モデルを正しく理解してすぐ いる。HPCで結果出力の役割を担う、コンピュータ・
れたプログラムを作成していかなければならない。現 グラフィックスの高速処理技術から生まれたGPUが
状のHPCで間に合うというようなケチな範囲の計算 高性能化し、HPCへの“親孝行”といった格好で功
ではなく、強力な計算力をもってシミュレーションを をなす状況になってきた。その結果、GPGPUや
実行するために、どれくらいの規模のHPCが必要か GPUコンピューティングという概念が注目されるよう
ということを明確にすべきである。 になってきたわけである。
 これは、予算申請額の上積みを要求するといった
単純な話ではなく、低価格で強力な計算力を有する
HPCの設計・構築を、計算科学屋としてベンダーに GPUの起源と進化
対し促すべきだと言っているのだ。現在の大型計算
機センターやベンダーにこうした意識があるのかは、  GPUは、1970年代のグラフィックス・コントローラ
はなはだ疑問である。 がそもそもの始まりである。当時は、きわめて単純な
 NECのHPCシステム「SX-5」
をベースとした「地球 図形の描画やデータ転送を支援する程度の性能しか

July 2008 Computerworld 99


Technology Focus

持っていなかった。 GPUの
 しかし、近年のGPUの進歩は目覚しいものがある。 グラフィックス・パイプライン
その性能は、半導体の性能向上ペースの指標となる
「ムーアの法則」を上回る勢いで向上しており、新機  ここからは可視化を行うグラフィックス・アプリケー
能も登場し続けている。その一方、ポリゴンで物体を ションとGPUの関係について、ソフトウェアの視点か
表現して奥行き判定を行い、隠面消去を実行すると ら俯瞰してみる。アプリケーション・ソフトウェアが
いう画像処理方法は、今も昔も変わっていない。 GPUの機能を使うには、OpenGLの関数を呼び出す
 現在、GPUとして広く利用されているグラフィック 必要がある。OpenGLは、
APIとしての側面を持つが、
ス・ハードウェアは、米国SGIの創業者でStanford 実際はハードウェアに直接アクセスするドライバ・ソフ
大学教授のJim Clark
(ジム・クラーク)氏が、1981年 トウェアである。その意味で、
OpenGLのAPI仕様は、
に発表したジオメトリ処理を行う
「ジオメトリ・エンジ ハードウェア・アーキテクチャ(設計思想)
そのものと
ン」がその原型だと言える。ジオメトリ・エンジンを発 言ってもよい。
展させ、現在のグラフィックス・アーキテクチャを確  CPUは汎用性の高いスカラ型プロセッサ、GPUは
立したのは、Clark氏の教え子であったSGI共同創 画像処理に特化したベクトル型プロセッサとして大別
業者のKurt Akeley
(カート・エイクリー)氏である。 できる。通常、ベクトル型プロセッサは、数段のステー
 Akeley氏は、1986年に発表したワークステーショ ジを持つパイプライン処理を得意としており、GPUは、
ン「Silicon Graphics 4D」シリーズで、3次元物体の 特にグラフィックス・パイプラインと呼ばれる可視化処
表面を三角形で表現し、頂点を2次元座標に変換し 理に特化したものである。
た後、三角形内部を塗りつぶしながら奥行きバッファ  グラフィックス処理についてもう少し詳細に解説す
法(Zバッファ法)
による隠面消去を行う手法を実現し る。図1では、グラフィックス処理の流れ作業を行うグ
た。その後は、画像処理速度の向上という形でグラ ラフィックス・パイプラインの全体構成を示している。
フィックス・ハードウェアは進歩し続け、現在に至っ パイプラインは機能別に5つのステージで構成されてお
ている。 り、それぞれのステージで実行するタスクの頭文字を
 1986年以降のイノベーションと呼べる質的な進歩 とって、
「G」
「T」
「X」
「S」
「D」
とステージが分かれている。
は、1990年に発表されたワークステーション「Silicon  以下では、各ステージで実行されるタスクの処理内
Graphics VGX」で実現されたリアルタイム・テクス 容について簡単に述べる。
チャ・マッピング技術や、1990年代後半から台頭し
だしたPCベースのグラフィックス・ハードウェア、 ■G
(Generation:
「シーングラフ」
の生成)
2001年に発表された米国NVIDIAによるプログラマ  アプリケーションが定義するデータ構造にしたがっ
ブルGPU、そして2007年から本格化しだした汎用的 て、表示したい3次元モデルのデータをメイン・メモリ
な計算へのGPUの応用、つまりGPUコンピューティ 上に構築、
または更新する。
このメイン・メモリ上のデー
ングが該当するだろう。 タ構造は、しばしばシーングラフと呼ばれている。G
 グラフィックス・ハードウェアの1990年以降におけ の処理を行うのはCPU上で動作するアプリケーショ
る性能の伸びを見てみると、ワークステーション向け ンやライブラリである。
(1990〜1998年)
とPC向け
(1999〜2004年)のそれ
ぞれにおいて、
1年で約2.3倍ずつ性能が向上しており、 ■T
(Traversal:表示データの抽出)
ムーアの法則を上回るスピードで進歩していることが  構築されたシーングラフをたどり、OpenGLの関数呼
わかる。 び出しによって、三角形の頂点データ群をGPUに送る。

100 Computerworld July 2008


Computing

Computing
G T X S D
Transformation
Generation Traversal /Xformation Scan conversion Display
(3次元データの生成) (表示データの抽出) (座標変換) (塗りつぶし) (ディスプレイ出力)

シーングラフAPI OpenGL

3Dデバイス・ドライバ ソフトウェア

CPU GPU ハードウェア

Tの処理は、アプリケーションが行ったり、OpenGLの 計算する。また、三角形上で各画素に対応する点の
上位に位置するライブラリが行ったりするが、最終的に 奥行き
(Z値)
も計算し、最終的には1番手前となる三
はOpenGLドライバがすべてのデータを出力する。 角形についてその画素の明るさを決定する。結果は、
フレーム・メモリ上に画像データとして書き込む。Sの
■X
(Transformation/Xformation:座標変換) 処理はGPUで行われる。
 三角形の頂点(X、Y、Z)データや座標変換行列
データのほか、光源情報や三角形の明るさ情報を、 ■D
(Display:画像データから画像信号への変換)
まずは前段のTから受け取る。  フレーム・メモリの画像データを読み出し、固定レー
 次に、各頂点座標をスクリーン上の3次元座標(2 トの同期信号(ビデオの垂直同期)にしたがって、ビ
次元スクリーン座標と奥行きのZ値)
に変換し、各頂 デオ信号としてコネクタ
(VGA、DVIなど)
からディス
点の明るさも計算する。Xの処理はGPU上で行われ プレイに出力する。
る場合が多い。

演算ユニットは128個──処理
■S
(Scan conversion:三角形の塗りつぶし) 能力ではCPUをはるかに凌駕
 スクリーン座標の3頂点として与えられた各三角形
の内部に存在する全画素について、RGBの明るさを  GPUが行う処理は「ストリーム・プロセッシング」

July 2008 Computerworld 101


Technology Focus

図2:GPUにおけるストリーム・プロセッシングのイメージ 利用されている。GPUでは、こうした一連の処理が
画像処理のみに使われているため、その性能(処理速
入力 出力 度)がCPUに比べて格段に高速であることは当然の
ストリーム ストリーム
(データ) (データ) ことだと言える。

カーネル
 GPUの性能をCPUと比較すると、CPUのコア数
(演算処理機能) が現在2〜8コアであるのに対して、GPUは並列処理
が可能な128個の演算ユニットを持つほど高性能化
が実現されている。また、メモリ帯域幅は、CPUが
20GB /秒であるのに対して、GPUは100GB /秒
を誇る。ベクトル型HPCの雄であるNECのSXシリー
ズのメモリ帯域幅は256GB秒であり、それに対して
言い表すことができる。入力されるストリーム
(データ) 実に約半分の帯域幅があるのである。まだ半分という
は、データを処理するカーネルと呼ばれる演算処理 よりも、むしろコモディティ製品の性能向上速度を考
機能に流れ込む。このカーネルで入力ストリームは演 慮すれば、もう半分まで来たと言ったほうが当たって
算処理された後、出力ストリームとして結果が出る。 いるかもしれない。
カーネルの機能は、入出力のストリームによって決め  昨年、
NVIDIAが発表したHPC向けのGPU
「Tesla」
られており、入出力機能を備えた逐次プロセスをプロ のピーク性能は、518GFLOPSにも達する
(写真1)

グラミングできるようになっている
(図2)
。 Teslaの開発環境は、OpenGLとはまったく異なり、
 さらに、ストリームと呼ぶように基本的に動的なデー 「CUDA
(Compute Unified Device Architecture)

タが処理対象であるため、カーネルでの演算処理過 と呼ばれる統合開発環境がNVIDIAより提供されて
程においては、データをリアルタイムに解析し、高精 いる。現状では、このCUDAこそが、GPUコンピュー
度かつ高速処理が行える構造になっている。 ティングを実現するカギとなる。
 カーネルがストリームの演算処理を行う際には、動  しかしながら、CUDAは、NECのSXシリーズのよ
的なデータの並列処理が可能なパイプライン処理が うに、コンパイルするだけである程度自動ベクトル化
されるものではなく、その開発環境はまだプリミティ
写真1:NVIDIAのHPC向けGPU「Tesla C870」 ブなものである。CUDAを利用したプログラミングに
は、ハードウェア環境を考慮したコーディングが必要
になる。また、CPU用のインテル・コンパイラなどと
連携する必要があり、CPUとGPUで処理する2つの
バイナリが生成されることになる。
 GPUコンピューティングは、現状のGPUの処理性
能が高いので、汎用計算にも使ってみようという一種
の“トライアル”的側面を持つので、使い勝手がよくな
い点は否めない。しかし、昨今のGPUは、1つの命令
で 複 数 のデータを扱う処 理 方 式「SIMD
(Single
Instruction/Multiple Data)
」でストリームを処理す
る傾向にある。こうしたGPUを多数そろえるのであれ
ば、旧来のベクトル型HPCに比べてかなり廉価に

102 Computerworld July 2008


Computing

Computing
HPCを構築できることになる。メモリ環境も含めてそ 図3:CUDAを利用した、CPUとGPUの連携によるGPUコンピューティングのイメージ

れを目指したのが、
GPUコンピューティングなのである。 GPUコンピューティング

CUDAによってCPUとGPUの連携が可能になる
GPUコンピューティングは
CPUとの連携で実現される
CPU GPU

 GPUを汎用的な科学計算に利用するためには、賢
いCPUの力を借りて“CPU-GPU連合”を形成した
うえで、例えばC言語で使えるような、並列プログラ
ミング・モデルの環境を作り上げる必要がある
(図3)

その際、CUDAが、GPUのような特殊な並列処理プ
ロセッサを汎用の計算に使うための、いわば並列プロ 境において、図4のようなCPUとの共存関係でその
グラミング・モデル環境の統合開発環境として用いら 能力を発揮する。
れる。  最新のGPUにおいては、ワンチップ上に16個のマ
 CUDAの構造と機能について、順に述べることに ルチコア
(マルチプロセッサ)
が載った階層型メニイコ
する。例えば、NVIDIAのGPUに「GeForce 8800」 ア構造となっている。そして、1つのマルチコアは、8
がある。GeForce 8800は、さらにHPC向けのTesla 個のコア
(プロセッサ)
で構成されている。注意してほ
シリーズへと発展しており、TeslaはCUDAの開発環 しいのは、GPUにおいてコアとプロセッサは同義であ

図4:GPUコンピューティングにおけるCPUとGPUの関係

GPU
(演算処理に特化)

グリッド
CPU
(ホスト・コンピュータ) ブロック

カーネル

スレッド

July 2008 Computerworld 103


Technology Focus

図5:GPUにおいてステージ化された各種演算パイプライン でCPUと連携させることで活用可能にすれば、これ
までのHPCに比べてはるかに低価格であるにもかか

積和演算 わらず、高度な処理能力を持ったHPCを構築できる。
そのため、
「価格が安い」
というだけで、
GPUコンピュー
ティングの性能を軽んじるものではない。GPUコン
ピューティングでは、空間並列処理はSIMDで実現
乗算
できるうえに、ステージ化されたパイプライン処理を
実行できる。そのため、ベクトル型HPCが得意とし
ている時間並列処理も可能なのである。
除算  図6に、ベクトル型コンピュータと並列型コンピュー
タをメモリ帯域幅と演算パイプラインの処理速度の観
点から比較したものを示す。前者はプログラミング・
モデルが時間並列型にデータを処理しているのに対
超関数
し、後者は、CUDAを利用したGPUコンピューティ
ング環境も含め、
データを時間並列型に処理しつつも、
基本的には空間並列型でプログラミング・モデルが構
その他 成されている。
 そもそも、ベクトル型HPCがなぜ高速処理ができ
るかと言えば、高速処理が可能な時間並列型パイプ
ラインで構成された演算装置に対し、その演算性能
り、ここで言うプロセッサは通常のCPUとは異なると に見合うだけのデータを効率よく供給しているからで
いう点だ。なぜなら、GPU内に搭載された128個の ある。これは、効率よくデータを並列処理できるプロ
コアは、SIMD型並列演算処理のために用意された グラミング・モデルを採用していることが大きく関係し
アクセラレータとして働くプロセッサ群であり、その機 ている。
能がCPUとは異なるからである。  しかし、ベクトル型HPCは非常に高価であり、さ
 ホスト・コンピュータのCPUは、ユーザーが作成し らに今後の技術的発展すら危ぶまれているのが現状
たプログラムをコンパイルし、並列プログラミング・モ である。その理由は、高速処理装置へのデータ供給
デルに従ったカーネルをプログラムとしてを作成し、 装置が大きなメモリ帯域幅を確保しなければならず、
グリッド・モデルで演算できるような状態にしてGPU そこに多大なコストがかかるからだ。本来、CPUとメ
に渡す。グリッドは、
複数のブロックで構成されており、 モリ帯域幅はギャップが大きくて当然なのだが、ベク
マルチスレッド構成の1つのブロックに対して1つのマ トル型HPCでは、データのパイプライン処理を実行
ルチコアがデータの処理を行う。 するためにCPUとメモリ帯域幅のギャップを解消しよ
 加えて、
GeForce 8800やTeslaのようなGPUでは、 うと、そこにコストをかけているわけだ。
GPU内の各コアにおいて演算パイプラインがステージ  それに対し、空間並列型にCPUを配置してデータ
化されている。ステージ化されたパイプラインの演算 の並列処理を実行しようとするのが並列型コンピュー
機能も複数に及ぶが、1つのパイプラインが多重構成 タの基本的な考え方である。ベクトル型HPCよりも
になっている点も重要である
(図5)
。 安価にシステムを構築できるうえに、並列構成をとっ
 こうしたGPUの高度な演算性能をCUDA環境下 た数多くのCPUに対し、それらの処理性能に見合う

104 Computerworld July 2008


Computing

Computing
図6:メモリ帯域幅と演算パイプラインの処理速度から見た、ベクトル型コンピュータと並列型コンピュータの違い

ベクトル型コンピュータ 並列型コンピュータ

メモリ キャッシュ ベクトル・レジスタ メモリ ネットワーク キャッシュ レジスタ

演算
パイプライン
演算パイプライン

メモリ帯域帯 メモリ帯域帯

だけのデータが常にそろっていれば、場合によっては HPCに匹敵するデータ処理性能を実現し、かつ汎用
ベクトル型HPCよりも速い処理速度が得られる。し 的なデータ処理機能も備えようする試みであるところ
かし、基本的にここで問題となるのが、メモリ帯域幅 だ。これまでであれば、両立が困難であった機能が
に関係するメモリからのデータ出力スピードである。 GPUコンピューティングで実現されようとしているの
 しかし、並列型コンピュータでも、アプリケーショ である。その意味で、
GPUコンピューティングは今後、
ンに特化したデータ処理環境であれば、並列化され 非常に注目すべき技術だと言える。
た各CPUへデータを供給し続けることができ、メモリ  加えてGPUそのものが、ベクトル型HPCに搭載さ
帯域幅の問題を解消できるケースもある。その場合、 れるCPUの性能をしのぎ、超高速な汎用処理機能を
メモリ帯域幅が各CPUで効率的に利用されることに 発展させていく可能性を秘めている。
なり、等価的に大きなメモリ帯域幅を備えたと解釈す  いずれにせよ、GPUコンピューティングでは、ベク
ることができる。この原理を利用したのがGPUコン トル型HPCと比べて、同等の計算処理能力を備えた
ピューティングなのである。 HPCを3〜4ケタ安く構築できるということは夢でなく、
 GPUコンピューティングのすばらしい点は、主に 今後はGPUの発展によりさらにその差は広がるであ
空間並列型のデータ処理にもかかわらず、ベクトル型 ろう。

July 2008 Computerworld 105


IT業界でサバイバルするための

ITキャリア解体新書
システム開発編 システム運用管理編 ITトレーナー編 販売/サービス編 経営管理編

第 4回 プロジェクト・マネジャー
「プロジェクト・マネジャー」
は、言うなれば現場監督であり、プロジェクト進行の潤滑油であり、対外交渉の窓口であ
り、そして時にメンバーのためのサンドバッグである。システム開発の現場を一致団結させるためには、技術力だけ
ではなく、強力なリーダーシップとコミュニケーション力も求められるのだ。やりがいも達成感も得られ、おまけにス
トレスまで付いてくるプロジェクト・マネジャー。IT業界で出世すると腹をくくった人は、ぜひチャレンジしてほしい。

横山哲也
グローバル ナレッジ ネットワーク、マイクロソフトMVP

職務概要 存在意義

 ソフトウェア開発は、
「プロジェクト」の形態を取る。  ソフトウェア開発は、複数のサブシステムに分割し
この場合のプロジェクトとは、与えられた予算で、一 て実行されることが多い。これによって同時並行作業
定の期限内に、要求された機能を実現するための活 が可能になり、開発期間を短縮できるからだ。
動全般を指す。プロジェクト・マネジャーは、プロジェ  しかし、分割したサブシステムは、最終的に結合さ
クトが円滑に進行するように管理する職種である。 れなければならない。特定のサブシステムの完成が遅
 プロジェクトは、決定した時点で予算/納期/機能 れると、全体の完成が遅れる場合がある。大規模な
が決まっている
(ことが多い)
。プロジェクト・マネジャー プロジェクトの場合、多くのプログラマーは自分の担
は、要求された機能を実現するための作業量を見積 当分野しか把握していない。プロジェクト・マネジャー
もり、費用と納期を算出する。事前に与えられた予算 は、全体を把握し、プロジェクト・メンバーのモチベー
と納期との差が大きい場合は、発注者(あるいはスポ ションが下がってしまったら励まし、プロジェクト進
ンサー)
と協議して、予算を増やすか、納期を遅らせ 行の阻害要因があればそれを排除する。
るか、あるいは機能を削減するかを決定する。  残念なことに、最近ではプロジェクト・マネジャー
 プロジェクトがスタートしたら、限られた予算と限ら になりたがらない若手が増加しているらしい。確かに
れた期間で、必要な機能を満たすソフトウェア
(シス プロジェクト・マネジャーはハードな仕事である。
テム)
が完成するように采配を振るう。プロジェクトの  しかし、プロジェクトが始まらないことには、ITシ
進行が遅れた場合は、その対策を考え、臨機応変に ステムは完成しない。プロジェクト・マネジャーこそが
対応するのもプロジェクト・マネジャーの職務だ。 ITシステム構築の要なのだ。

106 Computerworld July 2008


2 2 2 2

ワ ン ポ イ ン ト お 役 立 ち 情 報
プロジェクト・マネジャーが持っていたい資格
国際資格系
必要な経験/スキル ●プロジェクト・マネジメント・プロフェッショナル(PMP)
米国の非営利団体PMI
(Project Management Institute)
が認定
 プロジェクト・マネジャーの本質は管理職である。し している国際資格。資格は「カテゴリ1」と
「カテゴリ2」に分かれて

かし、プロジェクトの進行上の問題を正しく理解し、 おり、どちらも実務経験がなければ受験できない。

適切な対策を講じるには、技術的な知識も不可欠だ。
国家資格系
そのため、一般にはシステム・エンジニア
(SE)
の次の
ステップがプロジェクト・マネジャーとされる。 ●情報処理技術者試験「プロジェクト・マネジャー」
情報処理推進機構(IPA)が実施している
「プロジェクト・マネ
ジャー試験」は、情報システム開発プロジェクトの責任者として、
プログラマーとしての経験 企業および情報システム全般に関する知識と経験を問うものだ。
 プログラムの工数を見積もるためには、プログラ
マーの経験があったほうがよい。最低でも、プログラ ベンダー資格系
マーの仕事については十分に理解しておきたい。 ●マイクロソフト認定システム エンジニア(MCSE)
●シスコ・サーティファイド・ネットワーク・プロフェッショナル(CCNP)

SEの経験
 仕様書から工数を算出するには、SEの経験があっ
たほうがよい。実際の仕様書はプロジェクト内のSE
が記述するだろう。しかし、その検証は、プロジェクト・ 一度決まった日程を変更するのは難しい。予算が超
マネジャーの仕事である。 過した場合は、だれが負担するかでもめることもある。
料理は参加者の好みに合うか、2次会の場所は確保
リーダーシップとコミュニケーション力 したか、終電の時刻に間に合わせる
(あるいは間に合
 リーダーシップを発揮することと強引に物事を進め わせない)
ために、どうプロジェクト
(合コン)
を進行さ
ることは違う。プロジェクト・メンバーに仕事を無理強 せるか──。こうしたさまざまなリスク分析と状況判
いをしても生産性は上がらない。また、プロジェクト 断は、現実のプロジェクトでも非常に役立つ。
の進行中に起きるトラブルは、人間関係に由来するこ
とが多い。現場の“空気”を読み、メンバーが仕事に 待遇
集中できる環境を構築する工夫も必要だ。
 責任が重く年齢層も高めであることから、SEより
 ただし1つ注意してほしい。SEが純粋な専門職で も年収はよい。プロジェクトの規模にもよるが、平均
あるのに対し、プロジェクト・マネジャーは管理職であ すると700万円程度になるようだ。ただし、小規模な
る。単純なステップ・アップではない。もしあなたが プロジェクトを担当する場合はもっと低いこともある。
SEで、
「プロジェクト・マネジャーにならないか」と上 逆に、責任範囲によっては1,200万円程度の収入を
司から打診されたら、慎重に検討しよう。 得ている人もいる。

採用の決め手となる
“究極の質問” 暇がない人も多
いらしい
ただし金を使う
年収 ★★★★ ばろう
ない程度にがん
「重圧」と感じ
★★★★ 象になる心配は
ない
「合コンの幹事は得意ですか?」 やりがい ★ 当分は自動化 やアウト ソーシングの対

将来性 ★★★★ クン」とあしら


われる危険性も
……
 あらゆるイベントはプロジェクトの要素を持つが、 単なる「段取り
モテ度 ★★
合コンは特にその要素が強い。失敗した場合に強く
非難されるからだ。よく知らない相手が参加するので、

July 2008 Computerworld 107


IT KEYWORD

40

ISDB-Tmm
I T
K E Y W O R D

(Integrated Services Digital Broadcasting-Terrestrial Mobile Multimedia)

ストリーミング/ダウンロード配信が可能な
“ポスト・ワンセグ”規格
4 0

Computerworld 編集部

 ISDB-Tmmとは、地上デジタル放送やワンセグ、 当てを希望しているのは14.5MHzである。VHFハイ・
デジタルラジオで利用されているISDB-T方式を拡 バンド帯に当たる14.5MHzは、受信のしやすさから
張した携帯機器向けマルチメディア放送規格のこと 携帯機器向けマルチメディア放送に適すると言われ
である。ワンセグを発展させた規格であるため、
“ポ ており、アンテナや受信機の小型化が見込める。
スト・ワンセグ”
として有力視する向きもある。  技術的には、ISDB-Tにデジタルラジオの規格で
 2011年にテレビ放送がアナログからデジタルへ切り あるISDB-Tsbを組み合わせたものがISDB-Tmm
替わることで、アナログ放送が利用していたVHF帯 である。映像フォーマットにH.264(MPEG-4 AVC)
に新たな空きができる。空いた周波数帯の利用につ が採用されており、現在のワンセグと共通している
いては現在、総務省で議論が進められており、その1 点が多く、テレビ局などの映像コンテンツ制作側が
つとして検討されているのが、携帯機器向けマルチメ 既存資産を生かしやすい。また、ワンセグやデジタ
ディア放送である。米国Qualcommが開発した携帯 ルラジオと基盤技術が共通であるため、共用端末を
機器向けマルチメディア放送の
「MediaFLO」
やデジ 作りやすいというメリットもある。
タルラジオなども、ISDB-Tmmと同様に同周波数帯  ISDB-T m mでは、14.5MHzをワンセグと同じよ
の利用に名乗りを上げている。 うに429k H z単位で分割してサービスを提供する。
 空きが出る周波数帯のうち、ISDB-T m mが割り 対抗規格として挙げられるMed ia FLOは、6M Hz
単位で分割するため14.5MHzの帯
ISDB-Tmmによる周波数利用イメージ。ストリーミング用帯域とダウンロード用帯域を時間帯に 域を使い切れず、むだが生じると
より柔軟に使い分けることができる
の指摘もある。
利用可能帯域幅
 また、ISDB-Tmmでは、ストリー
ストリーミング用帯域

ストリーミング用帯域

ストリーミング用帯域

ドラマ ミング型とダウンロード型による2
映画 つの映像配信形態が想定されてい
昼間

音楽
る。周波数を細かくセグメント分割
グラビア できるため、情報のリアルタイム性
ニュース が求められる昼間にはストリーミン
ダウンロード用帯域 グ配信、逆に夜間にはダウンロー
ド配信を中心にするといった柔軟
ストリーミング用帯域

ドラマ
映画
音楽 なサービス展開が可能だという。
夜間

小説
 なお、ISDB-Tmmは、フジテレ
グラビア
ニュース ビ、NTTドコモなど5社が設立した
スポーツ
ショッピング
マルチメディア放送企画LLC合同
会社
(MMBP)
が主導している。

108 Computerworld July 2008


 AppleがiPodで展開したのは垂直統合 自社プラットフォーム上で競争を繰り広
モデルだ。iTunes Storeで楽曲やビデ げてくれれば、プラットフォームの優位
オを購入し、ソフトウェアのiTunesで再 性はますます高まり、収益も増えるとい
生し、ポータブル・プレーヤーのiPodに インターネット劇場 うわけだ。
転送して外出先でも楽しむ。Webサイト  
「DRMをやめたらAppleの売上げが減
やソフトの使い勝手のよさ、そしてiPod るのではないか」
と多くの業界人はいぶか
のデザインのカッコよさが相まって強固 しんだが、すでに消費者の間にすっかり
な垂直統合モデルとなったのである。 浸透し尽くしているiPodとiTunesは、そ
 だ が、2007年2月、同 社CEOの ス の程度の理由では売上げが落ちない。
ティーブ・ジョブズ
(Steven Jobs)
氏は
佐々木俊尚 逆に、他の楽曲配信サイトやポータブル・
各レコード会社に対してDRM
(デジタル T o s h i n a o S a s a k i プレーヤーの顧客層をAppleの下に引き
著作権管理)
を放棄するよう呼びかけた。 寄せることが可能になり、さらに市場支
「すべてのオンライン・ストアが、オープンでライセンス Entry 配力は高まるとJobs氏は踏んだのではないだろうか。
可能なフォーマットにエンコードされたDRMフリーの楽 24  これこそがプラットフォーム・モデルの脅威である。
垂直統合モデルから
プラットフォーム・モデルへ

曲を販売する世界を想像してほしい。このような世界で このモデルを最初に具現化したのはご存じ、Googleだ。
は、すべてのプレーヤーがすべての店舗で購入した曲 Googleは検索エンジンというツールをビジネス化し、
を再生でき、すべての店舗がすべてのプレーヤーで再 その上に巨大な広告ネットワークを構築することに成功
生可能な曲を販売できる。これが消費者にとって最良 し、たぐいまれなプラットフォーム企業となった。
の選択肢であることは明らかで、Appleもこの選択肢を
支持する」
(CNET Japan 2007年2月7日の記事より)  このアプローチの延長線上で考えれば、日本の携帯
 Appleはそれまで、
「FairPlay」
という独自のDRM技術 電話業界も、まもなくプラットフォーム・モデルへと転
を組み込んだ楽曲を販売することで莫大な利益を上げ 換していくと思われる。2007年10月、総務省は
「新競
てきただけに、この意向は業界の人々をひどく驚かせた。 争促進プログラム2010」
を発表し、この中で、携帯電
話キャリアが独占してきた本人確認や課金サービスへ
 このJobs氏の方針は、実のところ、垂直統合戦略か の新規参入を促している。クレジットカード会社などが
らプラットフォーム戦略への転換である。Web 2.0の 共通IDを発行し、この共通IDを使ってeコマースだけで
世界においては、垂直統合を維持するよりもプラット なくコンテンツ課金も行えるようにするというものだ。
フォームに移行するほうが、最終的な収益は大きくなる  既存の携帯キャリアは抵抗感を持つかもしれない。
可能性が高い。つまり下位レイヤを自社で押さえ、上 だが、逆にとらえれば、自社のビジネス・モデルをプラッ
位レイヤにさまざまなプレーヤーを引き込んで、彼らが トフォーム型に転換していく好機になるとも言える。

PROFILE
ささき・としなお。ジャーナリスト。1961年
兵庫県生まれ。毎日新聞社記者として警視
庁捜査一課、遊軍などを担当し、殺人事件
や海外テロ、コンピュータ犯罪などを取材
する。その後、アスキーを経て、2003年2
月にフリー・ジャーナリストとして独立。以降、
さまざまなメディアでIT業界の表と裏を追う
リポートを展開。『ライブドア資本論』、
『グー
グル——既存のビジネスを破壊する』 など著
書多数。

July 2008 Computerworld 109


 シリコンバレーのエンジニアの給与水 そもそも優秀な人材を獲得することを主
準はかなり高いです。 目的にベンチャー・キャピタルから資金
 日本だと、大卒でメーカーに入社し 調達をするので、一流企業と同水準の
たばかりのエンジニアなら、年俸で400 給与、それに加えて当たれば大もうけの
万もらえればよいほうだと思いますが、
IT哲学 ストック・オプション、という感じで、
この地のソフトウェア・エンジニアだと、 待遇面から考えればどう転んでもベン
同じ条件で6 ~ 7万ドル辺りが平均的 チャーに行くことによるデメリットはほと
です。修士卒で7 ~ 8万ドル、博士卒 んどないのです。もし、そのベンチャー
なら学問の業績次第で8 ~ 10万ドルと が倒産したら、それこそ、そのときになっ
いった感じで、給与面から見れば明ら て大企業に就職すればよいのですから。
かに日本よりも学歴が重視されますし、
江島健太郎 こういう風土の後押しがあるから、優秀
K e n n E j i m a

優秀な人材に対してはきっちり支払うと な人材が不安を抱くことなくベンチャー
いう姿勢がうかがえます。 Entry
に集まるのだ、とも言えます。

34
エンジニアの給与水準に見る
日本とシリコンバレーの違い

 10万ドルというと、初任給にしてすでに2.5倍の差  私は、そういったエンジニアを雇用する立場にある
ですが、ここにはもちろん別の差もあります。 ので、同じ優秀さのエンジニアなら日本のほうが安く
 多くの日本企業では、業績さえよければ年度ごとに 雇えるというのは魅力的に映ります。一方で、約2倍
ベースアップがあり、年々給与が増えていくと思いま の給与差があっても日本を出ようという発想のない人
すが、こちらでは役職がつくなどジョブ・クラスが上が が多いことからもわかるように、英語の壁が高いのか、
らないかぎり給与は変化しません。つまり、新入社員 それとも日本が好きなのか、国際的な視点で行動でき
のときの給与水準のままずっと働く、ということも十 ているエンジニアは驚くほど少ないように思います。だ
分あるわけです。また、家賃や医療費などの物価が東 から、結局給与が高くても在米のエンジニアを雇うの
京よりも高いということもあります。したがって、どち が一番合理的だ、と判断しているのです。給与水準
らが得か損かは一概には言えない部分もあります。し が高いのは経営者としてはつらいけれど、それにはそ
かし、それにしても20代、30代のころに金銭的な余 れなりの理由があるのだな、とひしひし感じています。
裕が2倍もあるのは、ライフスタイルに大きな違いを生
むでしょう。  日本にも優秀な技術者はいる、という議論をよく見
かけますし、
同意もするのですが、
「優秀」
の定義には
「海
 また、ベンチャー企業と一流企業とで、待遇の差 外にも目を向け、かつ行動を起こしているか」
も含まれ
がほとんどないのも特徴的です。
こちらのベンチャーは、 ているような気がしてなりません。

PROFILE
えじま・けんたろう。インフォテリア米国法
人代表/XMLコンソーシアム・エバンジェ
リスト。京都大学工学部を卒業後、日本オ
ラクルを経て、2000年インフォテリア入社。
2005年より同社の米国法人立ち上げの
ため渡米し、2006年、最初の成果となる
Web2.0サービス
「Lingr
(リンガー)
」を発表。
1975年香川県生まれ。

110 Computerworld July 2008


 言うまでもないことですが、IT投資の に1本当たり14kgのCO2を吸収するそう
意思決定においては、投資効果の評価 なので、ITの投資効果を杉の木の本数
が重要です。 に換算することが可能です。
 通常、投資効果を表現するには、コ テクノロジー・ランダムウォーク  例えば、SCMソリューションの採用
スト削減、あるいは売上げ増という形で により、運搬車両の削減が見込めると
金額への換算が行われます。企業イメー します。従来は、
この削減効果を人件費、
ジ向上、従業員のモラル向上などの定 ガソリン代、高速代、車両保守費用な
量化しにくい効果もありますが、これら どに換算して
「年間xxx万円のコスト削
の効果を、ちょっと無理をしてでも金額 減が見込めます」
というように見積もり
に換算して評価することが多いでしょ
栗原 潔 を出していたわけですが、今後は
「年間
う。グリーンITが注目される昨今、ITの K i y o s h i K u r i h a r a xxx万トンのCO2が削減できます。これ
投資効果としてこのような金額換算の は、xxx本分の杉の木に相当します」

価値だけではなく、環境への貢献度も加えてみてはい Entry いう見積もりを提案書に加えることも考えられます。
「環境貢献度」

かがでしょうか。 34
IT投資の価値として

排出権取引による明確な環境貢献
 ITは、本来的には地球にやさしいテクノロジーです。  こういうエコ系の話は気分的な問題であって実際的
物理的な物のやり取りを最適化したり、デジタルな情 な意味はないと考える方もいらっしゃるかもしれませ
報に置き換えたりできるからです。これにより、化石 ん。しかし、そもそも、なぜ環境省がこのようなCO2
燃料や電力の消費、排気ガスの排出量を削減でき、 排出量の係数を公開しているのかを考える必要があり
を使ってみませんか

環境に貢献できることは容易に理解できます。 ます。これは、排出権取引を念頭に置いているのです。
 ここでの問題は、定性的には明らかであるITによる  排出権取引とは、各国あるいは企業ごとに温室効果
環境への貢献度をどのように定量化するかという点で ガス削減の目標を設定し、目標が達成できなかった国
す。実は、温室効果ガスの排出量などを計算するため や企業が、目標を上回って削減できた国や企業から排
の基 本的係数が 環 境 省により公表されています 出権を買うことで相殺できるという制度です。目標達
(http://www.env.go.jp/earth/ondanka/santei_ 成に金銭的インセンティブを与えることで効率的に環
keisuu/keisuu.pdf)
。これを利用することで、
ITソリュー 境問題に対応しようという考え方です。
ションの導入によるCO2削減量をおおまかに算出でき  まだ、日本においては企業間の排出権取引の市場
るのです。一例を挙げると、ガソリン1リットルの燃焼 が確立した段階にはありませんが、ITによるCO2削減
により、2.32kgのCO2が生成されます。また、やはり 効果を金銭的な価値としてアピールできるケースも増
環境省のデータによれば、
(成長中の)
杉の木は1年間 えてくるかもしれません。

PROFILE
くりはら・きよし。テックバイザージェ
イピー(TVJP)
代表取締役。弁理士の
顔も持つITアナリスト/コンサルタント。
東京大学工学部卒業、米国マサチュー
セッツ工科大学計算機科学科修士課程
修了。日本IBMを経て、1996年、ガー
トナージャパンに入社。同社でリサーチ・
バイスプレジデントを務め、2005年6
月より独立。東京都生まれ。

July 2008 Computerworld 111