「データベースからの情報漏えい」の報道は、お客様に対する私たちの責任に関して再考する良い機会となります。 企業や組織は、お客様のニーズや市場の変化、革新的な技術に対応したサービスを素早く作ることに努力しています。これはお客様にとっては喜ばしいことであり、このような対応を望んでいます。同時にお客様は、情報の安全性とプライバシーを望んでいます。しかし、この2つめの要望が満たされないことが多々あるようです。アジャイル性を高めるために、止むなくセキュリティやプライバシーを犠牲にしている企業が数多くあります。
アジャイル性とセキュリティ: 両立させる
重要なことは、2016年の今、一方のためにもう一方を犠牲する必要はないということです。実証済みの技術や有名なベストプラクティスを適用することで、セキュリティを大幅に高めることができます。 しかし残念ながら、ハッカーが何の苦労もなく侵入してしまうことが依然として繰り返されています。彼らは複雑なマルウェアを作る必要もなく、簡単に進入できるシステムを探すだけです。設定が誤っていたり、脆弱な技術を採用していたり、既知のセキュリティ対策がないシステムを見つければ良いのです。
「MVP(Minimum Viable Product=実用最小限の製品)」という概念は、大変重要で強力です。それは、お客様が要望しているもの(していないもの)に最小限の時間と労力で集中する方法でもあります。この結果、最終的にはより良い成果をより短期間で実現できますが、最初に提供するものは必要最低限になっています。 私たちが覚えておかなくてはならないのは、お客様のセキュリティとプライバシーは最初から常に必須要件だということです。こういった情報すべてが格納されているデータベースにおいては特にそうです。
新機能の構築や新しいサービスの導入において、DevOpsのチームはセキュリティのベストプラクティスと実証済みの技術を、常に取り入れなくてはいけません。これは後から付け足すことはできませんし、うまくいきません。例えば、1つめの問題として、このような「後付け」は忘れ去られて適用されないことがあります。データベースの設定が不適切であったために重大な情報漏えいが発生した、というニュースをまた見ることになるのは残念なことです。 2つめは、セキュリティを後から適用した場合、カバーしきれない部分が大きく残ってしまう可能性があることです。
私たちMarkLogicではこの問題を重要視しています。数兆ドル規模の金融情報やヘルスケア情報、個人や国家の機密情報にMarkLogicが使われています。さらに、組織に散在する数十ものデータサイロからのデータが、MarkLogicで統合されています。それぞれのデータサイロには機密情報が含まれており、MarkLogicはそのすべてを保持し守ることを託されています。私たちはこの責任を大変重く受け止めており、その結果として、NoSQLデータベースとしてコモンクライテリア認証を受けた市場で唯一の製品となっています。
セキュリティとプライバシーをスピードとアジャイル性の犠牲にしないでください。両立できます。
詳しい情報はこちらをご覧ください。
セキュリティ入門MarkLogicのセキュリティの概要を説明したユーザーガイド内のインタラクティブな章。
セキュリティデータベース MarkLogicクラスタ内のセキュリティデータベースの役割についての8分のチュートリアル。 MarkLogic 9のセキュリティ MarkLogic 9における新たなセキュリティ機能に関する発表
Joe Pasqua
ジョー・パスクワは、エンジニアおよびリーダーとして30年を超える実績があります。彼自身、いくつもの技術革新に貢献していますが、その中には、Xerox社による世界初のパーソナルコンピュータ、初期Oracle社によるRDBMSの勃興、Adobe社によるDTP革命などがあります。さらに、小さなスタートアップ企業からフォーチュン500企業まで多くの会社でリーダーを務めてきました。
直近では、まったく新しい市場の実現を目指す Neustar Labs を創設し、そのための戦略、テクノロジー、サービスを提供しました。それ以前には、シマンテックやベリタスで、戦略担当 VP、グローバルリサーチ担当 VP、20 億ドル規模のデータセンター管理ビジネスの CTO など、責任者の職務を数多く担ってきました。
Joeの技術的な専門分野は、システムソフトウェア、知識表現、権利管理などです。10件を超える特許を持っており、それ以外に出願中の特許もあります。カリフォルニア州立工科大学サンルイスオビスポ校でコンピュータサイエンスと数学の学士号を同時に取得し、現在、同校のコンピュータサイエンス諮問委員会のメンバーを務めています。