アスペルガー症候

群を抱えたITプロ
たちの
「苦悩」
と「現状」
 7
［コンピュータワールド］2008年7月号
月刊
発行・発売 （株） IDGジャパン 〒113-0033 東京都文京区本郷3-4-5
TEL:03-5800-2661（販売推進部） © 株式会社 アイ・ディ ・ジー・ジャパン
世界各国のComputerworldと提携

TM
contents
July 2008 Vol.5 No.56

Features 特集＆特別企画
“過剰な守り”
がビジネスを阻害していないか？──バランスが肝心

特集
セキ
［再考］
ュリティ・
マネジメント
60

自社のIT／情報資産を取り巻く脅威を知り、適切な対策を実施する
Part 1 62 時代の要請に応えるセキュリティ・マネジメント
「構築の実際」
平井哲生／金子浩之

巧妙化が極まるクラッキング、増え続ける攻撃の手口
Part 2 70 ネットワーク・セキュリティ──最新の脅威とその対策
武田圭史

ささいなミスも命取りに──10の
「やってはいけないこと」
Part 3 80 企業を危うくする
「よくあるセキュリティ 集」
［NG］
Matt Hines

インテルとAMDの戦いが再び激化、ユーザーはどう備える

クアッドコア時代が到来
マルチコアCPU最新事情
特別企画 87

George Jones

88 Intel： TICK TOCK戦略に基づき、サーバ／デスクトップ／モバイルの各レイヤでマルチコアCPUを展開

92 AMD： あらゆるレンジでクアッドコアCPUを投入し、価格性能比での巻き返しを狙う
　
Event Report イベント・リポート
RSA Conference 2008 San Franciscoリポート
6 業界のビッグネームたちが語る、情報セキュリティ対策の
“勘所”
大川 亮

Hot Person ホットパーソン

［話題のITパーソン］

10
ザック・ネルソン氏
米国NetSuite 社長兼CEO

「すべてのSaaSは、やがて単体提供からスイート提供へと向かう」

July 2008 Computerworld 3

 contents
7

Hot Topics ホットトピックス

IT Inside Topics［ニュースなIT］
14
-Moc
k
IT業界で闘う“アスピーズ”
Chew アスペルガー症候群を抱えたITプロたちの と
「苦悩」「現状」
Tracy Mayor／Computerworld編集部

News & Topics ニュース＆トピックス　　　24

Technology Focus テクノロジー・フォーカス

Computing 98
-
「GPUコンピューティング」
の可能性
Mock 中村維男／橋本昌嗣／正田秀明
Chew

Running Articles 連載
ITキャリア解体新書
（第4回）
106 プロジェクト・マネジャー
横山哲也

Opinions 紙のブログ
109 インターネット劇場
佐々木俊尚

110 IT哲学
江島健太郎

111 テクノロジー・ランダムウォーク
栗原 潔

Information インフォメーション
38 THE SECURITY INSIGHTリポート
55 本誌リポート提供サービス のご案内
86 のご案内
「定期購読お申し込みでCD-ROM年鑑プレゼント」
108 IT KEYWORD
112 本誌読者コミュニティ＆リサーチ のご案内
113 エンタープライズ・ムック のご案内
「ITマネジャーのための内部統制／日本版SOX法講座」
114 バックナンバーのご案内
116 イベント・カレンダー
117 おすすめBOOKS
118 読者プレゼント
119 FROM READERS & EDITORS
120 次号予告／AD.INDEX

July 2008 Computerworld 5

 「すべてのSaaSは、やがて単体提供から
スイート提供へと向かう」
ネルソンCEOが語る、ERPを核とする統合型SaaS
「NetSuite」
の強み
米国NetSuiteは、基幹業務を担うERP、営業業務や顧客管理を支援するCRM、販売・決済システムを構築するeコマースという
3領域のアプリケーションをSaaS
（Software as a Service）
モデルで提供する
「統合型SaaS」
のベンダーである。
今年4月には、グローバル企業における各国の支社のリアルタイム・ビジネス管理を可能にする
アドオン製品
「NetSuite OneWorld」
を発表するなど、SaaSの適用領域の拡大に努めている。
編集部は4月17日、米国カリフォルニア州サンマテオにあるNetSuite本社を訪れ、
社長兼CEOのザック・ネルソン
（Zach Nelson）
氏にインタビューを行い、
統合型SaaSの強みや開発環境面での競合との違い、クラウド・コンピューティングの可能性などについて聞いた。

聞き手・構成 河原 潤
本誌編集長

Hot Person［話題のITパーソン］

Zach Nelson ザック・ネルソン氏

米国NetSuite 社長兼CEO

10 Computerworld July 2008

「C/Sアプリケーションと同様、
SaaSでもスイート提供が主流になる」
──NetSuiteは1998年にSaaS専業
ベンダーとして創業し、今年で10年目
となる。自社のサーバやアプリケーショ
ンの運用を外部に委ね、サービスとして
利用するSaaSモデルは、ユーザー企業
の間でどのぐらい浸透したのだろうか。
N e l s o n氏：NetSuite、 あ る い は
Salesforce.comの成長を見てのとおり、
SaaSは今や大多数のユーザー企業に
受け入れられている。たいていの技術
トレンドは国や地域で進展のスピードが
異なるが、SaaSに関しては米国だけで
なく、欧州、アジア、そして日本でも急
速に浸 透しつつある。日本 法 人は、
2007年に本格的な市場参入をはたし
たばかりだが、ワールドワイドで見ても
非常に高い成長率で伸びている。
──ERP、CRM、eコマースの統合型
SaaSがNetSuiteの最大の特徴となっ
ている。現在のところ、SaaSでの提
供が進んでいるのはCRMやeコマース、
HR
（人事・人材管理）
などで、その領域
はある程 度限 定されているようだ。
SaaSの適用領域について、どのよう
に見ているのか。
N e l s o n氏：確実に広がっていくと考
えている。今から10年後には、SaaS
モデルで提供されていないアプリケー
ション分野を見つけるほうが難しくなっ
ているだろう。
　現在の市場では、CRMやHRなどを
単体提供するポイント・ソリューション
としてのSaaSが主流をなしているが、
今後、流れは確実にスイートに向かっ
ていくと見ている。当社は創業以来の
基本戦略として、SaaSでスイートを展
開するためにERPを提供している。
　1990年代後半にクライアント／サー
バ
（C/S）
システムの市場が進展したが、
それと同様のことがSaaS市場でも起き
ようとしている。当時、C/S市場を牽引
したのは分野ごとの単体製品だ。CRM 目がeコマースである。逆に、現在のと
ベンダー、HRベンダー、ERPベンダー ころ、本来の意味での製造業向け製品
といった具合に、それぞれの分野に特 はまだ提供していない。NetSuiteが、
化した専業ベンダーが相次いで登場し この業界の要件に応える各種の機能を
た。こうしてC/S市場はプレーヤーの まだ持ち合わせていないからだ。
乱立状態となったが、市場がその後ど 　NetSuiteの今年のバージョンアップ
うなったかというと、最終的には複数の の中には、
「WorkOrder」
という、製造
分野を包括するアプリケーション・スイー 業向けの新機能が含まれている。厳密
ト製品が多く選ばれるようになっていっ には、資材の組み立てなどを行う軽製
た。つまり、SAPやOracleのようなベ 造業の業務プロセスに対応する機能で
ンダーが勝者となったわけだ。 あり、今後、製造業全般に対応できる
　10年前、創業にあたってわれわれは、 よう拡張していく計画だ。
SaaSという市場が将来行き着く究極
の形は何かをじっくり考えた。
その結果、 ──業種別展開として、ISV
（独立系ソフ
SaaSこそスイートというモデルに行き トウェア・ベンダー）
やSIer、
着くのではないかという結論に達し、目 VAR
（付加価値再販業者）
な
標を定めた。そして次に、この最終的 どパートナー企業に、業種
な目標を達成するのにはどうしたらよい 特化型のソリューションの
Hot Person
かを検討した結果、ERPからスタート 開発を促進するための開発 ザック・ネルソン氏
するのがベストであると判 断した。 プラットフォーム
「NS-BOS」
ERPがバックボーンにあるスイートこそ を推進している。パートナー
SaaS市場の最終的な勝者になる。そ 企業側での活用は進んでい
う信じて出発した。 るのか。
N e l s o n氏：NS-BOSプラットフォー
SaaS開発プラットフォーム ムは、当社の戦略上、非常に重要な存
「NS-BOS」
で、パートナー発の 在 だ。 わ れ わ れ が 販 売 業 向 け の
業種別ソリューションを促進 NetSuiteをリリースし、それをパート
──統合型SaaSを構成する新アプリ ナー、ディベロッパーが、販売業の中
ケーションとして、ERP、CRM、eコマー でも細分化された、例えば電器製品販
ス以外のSaaSを提供する計画はある 売業向けにカスタマイズしたNetSuite
のか。 を提供する──NS-BOSはそうしたビ
Nelson氏：これら3つのアプリケーショ ジネスを可能にするものだ。
ンは、どの業種のビジネスにおいても 　NS-BOSは、2通りのビジネス・モデ
共通するコア要素である。業務アプリ ルを対象にしている。1つは、カスタマ
ケーション・ベンダーが最初に直面する イズでの利用をメインとするVARや
困難は、どの業種に向けて、どんな機 SIer、もう1つはISVである。NetSuite
能を自社製品に実装するのかを決める を扱う多くのVARは、すでにNS-BOS
ことだが、3つのコア要素は、あらゆる を恒常的に使っている。カスタマイズを
業種の業務プロセスに対応するうえで 1度行い、
そうして出来上がったソリュー
基本となるものだと考えている。 ション・セットをコーディングなしで複数
　業種について言うと、われわれが得 の顧客に販売できるよう、レプリケー
意としている業種がいくつか挙げられ ションを作成するといった用途が典型
る。最も強みを持っているのが販売業、 だ。一方のISV向けの展開は現在、市
流通業で、その次がサービス業、3番 場を検証しているところだ。
July 2008 Computerworld 11
 　業種特化型のNetSuiteを当社みず 時点でSalesforce.comもツール群をそ のSaaSアプリケーションは、すべて
からが提供したほうがよいのはどの業 ろえてくるだろう。 NetSuiteのERP、あるいはCRM、e
種か。パートナーの協力の下で提供し 　開発環境に対する両社の考え方の コマースがベースとなって、その上に
たほうがよいのはどの業種か。そうした 違いは、両社のパートナー、ディベロッ 構築されることになる。
見極めを行うのと同時に、すでに多く パー・コミュニティが、どのような形で
のパートナー・ベンダーにおいて業種別 ツールを使っているかに大きく表れて ユーザーからの要望に応えて
ソリューションの開発が進んでおり、合 いる。
「ディベロッパーの皆さんは、当 開発された
「OneWorld」
計約600種類のソリューションが構築さ 社の用意するForce.comのデータベー ──グローバル企業が各国に展開する
れている。 スを使って独自のアプリケーションを 支社のリアルタイム・ビジネス管理を支
作ってください」
──。Salesforce.com 援する
「NetSuite OneWorld」
が発表
SaaS開発環境における のアプローチは、彼らのディベロッパー された。この構想はかなり以前からあっ
Salesforce.comとの に対して、そのような説明がなされる。 たものか。
アプローチの違い だが、その際、Force.comの開発スタッ N e l s o n氏：NetSuiteのシングル・イ
──SaaS開発環境は、競合ベンダー クの中には、Salesforce.com独自の ンスタンス・アーキテクチャを、一企業
であるSalesforce.comも
「Force. CRMアプリケーションが入っていない。 が持つ複数の組織で活用していくとい
com」
として提供している。NS-BOS したがって、同社のディベロッパーは、 う考え方は、当社の開発チームの間で
とForce.comとで、最も大きな違いは そうしたアプリケーションの構築から独 何年も前から検討されてきた。そこで
何か。 自に検討する必要がある。 われわれは、この構想の具現化に向け
N e l s o n氏：SaaSアプリケーションを 　一方、
NetSuiteは、
「当社のデータベー て、データ・モデルの再構築に着手し、
構築するための開発ツール自体は、基 スを使って独自のアプリケーションを リリースに至った。
本的に同じと言ってよい。NS-BOSで 作ってください」
ではなく、
「当社のアプ 　OneWorldの製品化は、われわれの
ディベロッパー向けに提供されるツー リケーション群をベースに、独自のアプ 顧客からのニーズの高まりによるもの
ル群は現在のところ、Force.comのそ リケーションを作ってください」
というア だ。企業規模がだんだん大きくなるに
れよりも少し先を行っていると思う。具 プローチをとっている。Force.comと つれ、グローバル・レベルでリアルタイ
体的には、
「SuiteBundler」
や「Suite 違ってNS-BOSでは、その開発スタッ ムな統合管理を可能にするようなシス
Script D-Bug」
のような特徴的なツー クの中に3つのコア・アプリケーション テムが必要だという声が多く上がり、そ
ルの存在がある。ただ、あくまで現時 が 含まれ ているのだ。したがって、 れに応えていくことになったわけだ。
点での話であって、おそらく、どこかの NetSuiteのパートナーが手がける独自
──OneWorldの発表会では、
「今後、
あらゆる規模の企業に、リアルタイム・
ビジネス管理へのシフトを促していく」
というアピールがあった。OneWorld
は中堅企業がメイン・ターゲットとなっ
ているが、システムのスケーラビリティ
は、NetSuite自体のそれも含め、どの
Profile ぐらいまで対応できるのか。
ザック・ネルソン　Zach Nelson Nels o n氏：NetSuiteのスケーラビリ
Oracle、Sun Microsystems、McAfee、 ティだが、何ユーザーまで対応可能か
Ne t work Associa t esなどでマーケティン
グ、 営業、 製品開発などの部門の要職を歴任。 といった意味での制限は特にないと考
2002年以降、Ne t S ui t eの社長兼CE Oと
して同社経営の舵をとる。IT業界で20年に
えてほしい。
だが、
ERPの場合、
そのユー
わたるビジネス・リーダーシップの経験から、
ザー企業固有の要件に応える機能の実
同社の顧客ベースを世界各国の数千社にま
で拡大させている。St anf or d大学で理学士 装を追求する必要があり、その機能の
号と理学修士号を取得、 また、アプリケーショ
ン統合分野で特許を取得している 数や
“重さ”
がスケーラビリティを決定づ
けることになる。

12 Computerworld July 2008

　現行バージョンに備わる機能群を 商慣習にしても、各支社がそれぞれの ──NetSuiteやSalesforce.comが
もって考えると、中・大規模の販売会社、 ビジネス管理を完結した形で行えるよ 提供するSaaSモデルのERPやCRM、
サービス提供会社、eコマース企業の要 うになっている。あと、日本には、手形 それからGoogleの
「Gmail」
など、クラ
件には十分対応が可能だ。そして、標 という独特の決済の仕組みがあるが、 ウド・モデルで提供されるサービスが多
準のNetSuiteに加えてOneWorldを使っ OneWorldの日本版では、それにも対 くの企業で導入され始めている。一方、
てもらうことで、これら以外のユーザー・ 応していく計画だ。 業務アプリケーションやデータを外部
セグメントにも対応できるようになる。 に委ねることに抵抗を感じている企業
OneWorldの登場以前は、例えば複数 「SaaSは、クラウド・コンピューティング も、特に日本企業の場合少なくない。
の支社のシステムの統合が必要な場合 のサブセットである」 SaaSやクラウドが本格的に普及してい
は、それを可能にする製品を提供して ──発表会では、クラウド・コンピュー くためには、そうした心理的な障壁も取
いなかったので、NetSuiteが選ばれる ティングへの言及もあった。注目のキー り払っていく必要があるが、
“保守派”
の
ことはなかった。だが、今後はそうした ワードとなっているが、あなたが考える マインドを変えることが可能なのか。
状況も大きく変わっていくはずだ。 クラウドとはどのようなモデルなのか。 N e l s o n氏：逆に言うと、米国のビジ
　もう1つポイントを挙げるなら、中堅 N e l s o n氏：クラウド・コンピューティ ネス・シーンでは考えられないような動
企業向けで、複数の支社の統合を可 ングは、昔、AT＆Tが使っていたクラ きが日本で起きている。日
能にする既存の製品は機能のレベルが ウド・テレフォニーという言葉から来て 本の携帯電話の高機能化
あまり高くなかった。この事実もOne いるのだと思う。電話機をプラグインす と、ユーザーの活用ぶりに
Worldが変えていくことになる。例えば、 れば、すぐに電話をかけられるようにな 驚いている。携帯電話を
Hot Person
現在
「J.D.Edwards」
などを使っている る状態を指していた言葉で、それを可 使って支払いをすることが ザック・ネルソン氏
ユーザーは、OneWorldのデモンスト 能にする機能はすべてクラウドの中に 普通に行われているようだ
レーションを見るなり、すぐに高い評価 あるという意味だ。クラウド・コンピュー が、米国ではまずやらない。
をしてくれると思う。 ティングは、その進化版と考えてよい どの国にも保守的な考え方
だろう。クラウドの中にある機能を使い、 を持つ層は一定数存在する。もしかし
──OneWorldが導入されたNetSuite 今度は電話ではなくコンピュータをつ たら、
SaaSのUIを携帯電話に入れたら、
のグローバルなシステムは、各国の支 なぐというイメージだ。 日本の保守的なユーザーも違和感なく
社／支店のビジネス管理にどのような 　クラウド・コンピューティング・モデ 使ってもらえるのかもしれないが。
メリットをもたらすのか。 ルにおいて、デバイスをプラグインさえ 　さておき、心理的な障壁の問題は当
Ne l s o n氏：OneWorldは、グローバ すれば、多種多様なサービスを享受で 然、
きちんと考えなくてはならない。ただ、
ル企業で利用する1つのアプリケーショ きるようになる。例えば、ゲームで世界 SaaSやクラウド・コンピューティングの
ンにおいて、各国の支社が完結した1 各国のプレーヤーと対戦したり、Net ような動きを後押ししてくれるのは若い
つの企業として機能することを前提に Suiteのような業務アプリケーションを 世代が中心だ。ネットに親しみ、クラウ
設計されている。例えば、あるグロー ただちに自社で利用できたり、あるい ド・コンピューティングを使って育って
バル企業の日本支社は、階層的に見れ はeBayや楽天のオークションで気に きた世代が学校を出て就職すると、こ
ば、本社という上位の階層があるが、 入った商品を落札したりといったこと れまで使っていたコンシューマー向けの
この日本支社のマネジャーは、日本支 が簡単に行える。どれも今、われわれ アプリケーションだけでなく、業務アプ
社がただ1つのエンティティとみなして がすでに経験していることだ。 リケーションも同じように使いたいと思
ビジネス管理が行える。 　われわれが注力するSaaSは、クラ うようになるのではないだろうか。
　OneWorldを導入することで、例え ウドから享受できるサービスの1形態だ 　一方、年配の世代には、SaaSを使
ば日本支社のスタッフが商品の販売状 と考えている。クラウドから業務アプリ うことによって、いかに業務効率が高
況を見る際には、消費税が付された状 ケーションとビジネス・サービスを使え まり、コストが削減できるのかというメ
態でそれを確認することができる。同 るようにするものだ。クラウド・コン リットを説いていきたい。コストは非常
じタイミングで、ドイツ支社の場合は付 ピューティングという大きな概念があ に重要な要素だ。往々にして、金銭的
加価値税
（VAT）
が付されている、と り、そのサブセットの1つがSaaSという 効果が明らかであれば、心理的な障壁、
いった具合だ。こうして、
税制にしても、 ことになる。 懸念などは克服されるからだ。

July 2008 Computerworld 13

 3
643
7 0 6 79 2
11
42 841971
69 53 0 28
482
5

862803 7 95
2
383
79323846 2643

illustration：iwai Design

I T I n s i d e To p i c s
ニュースな IT
IT業界で闘う
“アスピーズ”
アスペルガー症候群を抱えたITプロたちの と
「苦悩」「現状」

優秀なプログラマーやエンジニアの中には、
驚くほどの集中力で高度な仕事をこなす反面、人づきあい、会議、営業トークを苦手とする人も多い。
そんな彼らは、もしかしたら
「アスペルガー症候群」
を抱え、
対人関係の構築に苦しんでいる
「アスピーズ」
かもしれない。
本稿では、IT業界で働くアスペルガー症候群を抱える人たちに焦点を当て、
彼らが今、直面する問題と苦悩をつまびらかにするとともに、
今後、われわれが改善すべき課題について考えてみたい。

Tracy Mayor
Computerworld米国版

14 Computerworld July 2008

超人的な記憶力を持つものの まま口にしてしまうのである。こうした遠慮のなさが、

くだらない冗談が理解できない 職場でトラブルを引き起こしてしまうのだという。

　オーストラリア郊外在住のライノ
（Ryno）
氏は、自ら 医学界でも見解が分かれる
を
「燃え尽き症候群で障害と共に生きる人間」
と表現 アスペルガー症候群の定義
する50代の元システム管理者である。
　Ryno氏はシステム管理という仕事に愛着を持ち、 　紹介した3人のITプロフェッショナルには、共通点
技術者として職務を遂行していた。しかし、会社生 がある。それは自閉症であるということだ。Bob氏と
活の中で、親愛の情を込めて背中をポンとたたかれ Ryno氏は自閉症の中にカテゴライズされる
「アスペル
たり、会議に出席したりといった、職務に伴う対人的 ガー症候群
（Asperger's Syndrome）
（アスペルガー
」
なコミュニケーションに耐えることができなかったとい 障害：Asperger's Disorderとも呼ばれる）
であり、
う。
「システムの効率化を図ったり、ダウンタイムを低 Jeremy氏は
「 高 機 能自閉 症
（High-Functioning
減させたりすることはできる。しかし周囲の人々を喜 Autismb：HFA）
」だ。ただし、アスペルガー症候群
ばせるような行動が、わたしにはできなかった」
（Ryno や高機能自閉症といった用語の定義については、医
氏） 学界でも意見が割れており、しばしば激しい論争も
　ハイテク業界で26年のキャリアを持つデータベー 起きている。基本的には、アスペルガー症候群も
ス・アプリケーション・プログラマーのボブ
（Bob）
氏は、 HFAも何らかの自閉症の特徴
（周囲への反応が一般
数学と論理学を得意としている。同氏は、本人いわ 的でない、社会的相互交渉がうまくいかないなど）
が
く
「変わった記憶力」
の持ち主で、質問に対する答え あるものの、典型的な自閉症に見られる
「認識障害」
や
が思い出せなくても、その答えをどの本で目にしたか 「コミュニケーション発達障害」
、「言語発達遅滞」
と
を、ページ、段落、そして文章の一言一句に至るまで、 いった症状がない状態を指している。
正確に思い出すことができるという。 　米国精神医学会が発行した
『精神疾患の分類と診
　Bob氏には、このほかに2つの変わった癖がある。1 断の手引
（Diagnostic and Statistical Manual of
つは強いストレスを感じると、言語能力が低下するこ Mental Disorders：DSM-IV-TR）
』によると、一般
と。そしてもう1つは、物事を文字どおりに
（つまり、 に
「アスピーズ」
と呼ばれるアスペルガー症候群の人
空気を読まずに）
解釈してしまうことだ。
「わたしが皮 は、非言語的なシグナルを読み取ることが苦手だとい
肉を皮肉として受け取らないことについて、上司はい う。また、周囲とうまく交友関係を築けなかったり、
らだたしく感じているだろう。だが上司は、少なくとも 特定の習慣や儀式的な行為に執着したり、手や指を
わたしの行動が故意でないことは理解してくれてい ひらひらさせるなどの特定の動作を繰り返したりする
る」
（Bob氏） 特徴が見られることがあるという。
　ジェレミー
（Jeremy）
氏は、プログラミングに対する 　オーストラリア・ブリスベン在住で、アスペルガー症
深い洞察力があり、ソースコードを内部から見渡すこ 候群の臨床医兼作家として世界的に知られているト
とができるかのように、プログラミングの問題を把握 ニー・アトウッド
（Tony Attwood）
博士は、より人格／
できる。また、取引先のCEOやCIOと、ビジネスや 性格的な観点からアスペルガー症候群を定義している。
技術に関する非常に専門的な内容を議論するのも得 「多くのアスピーズは、知識や真理を探求する強い欲
意だ。匿名を希望する本人の意向もあり、その専門 求を持っている。ただし、それらを探求する手法の優
分野は明かせないが、Jeremy氏は業界の誰もが知っ 先順位が、一般の人とは異なっているのだ。アスピー
ている大物プログラマーである。 ズが最優先にするのは問題
（課題）
解決であり、探求
　そのJeremy氏が苦手とするのは、つまらない発言 の過程で発生する他者の感情的なニーズや社会との
をする同僚をうまくあしらったり、職場に存在する
“官 かかわりなどは軽視することがある」
（Attwood氏）
僚主義的な習慣”
に折り合いをつけたりすることだ。 　Attwood氏が指摘する
「他者との関係性に関する
例えば、どう考えても失敗するようなアイデアをだれ 問題」
は、まるでIT技術者が抱える問題のことを言っ
かが提案した場合に、Jeremy氏は思ったことをその ているように聞こえないだろうか。

＊本文中、ファースト・ネームのみの人物は仮名
July 2008 Computerworld 15
 管理センターの概算では、8歳児の150人に1人の割
「紋切り型の見解ではあるが、 合で、何らかの自閉症の症状があるとされている。
ハイテク業界のアスピーズ率は 　この数字は以前の統計と比較し、急速に増加してい
一般社会のアスピーズ率よりも高い」 る。その理由がより正確な診断が下せるようになったた
Bob氏
（アスピーズのデータベース・アプリケーショ めなのか、より幅広い症状まで自閉症とするようになっ
ン・プログラマー）
たためなのか、本当に自閉症を抱える人が増加してい
るためなのか、あるいはこれらの要因やその他の要因が
複数関係しているためなのかははっきりしていない。
　米国Yale大学の発達障害クリニックが発表したア 　こうした背景から、成人したアスピーズの人口を把
スペルガー症候群に関する論文にも、同様の記述が 握するのはさらに困難だ。通常、アスピーズの知的能
見られる。その一部を紹介しよう。
「アスペルガー症候 力は平均的かそれ以上であることが多い。そのため、
群を抱える人は、物事への関心の向け方が特異的で その症状を隠して職場や社会に適応できてしまうこと
あることが多く、一般的でない。また極めて限定的な が少なくないからだ。その結果、診断を受けることな
対象物
（時刻表、蛇、天気、揚げ物用の鍋、電柱の く一生を過ごしてしまう人も多いという。
絶縁体など）
に関心を抱くことがある」 　米国国立精神衛生研究所の広報担当者によると、
　
“極めて限定的な対象物”
にはテクノロジーも含まれ 成人したアスピーズの人数を把握している政府機関
るだろう。前出のRyno氏がAttwood博士の診察を最 や学術研究は、同研究所が知るかぎりでは存在しな
初に予約したとき、受付の女性はこう尋ねたという。 いという。
「Rynoさんの最大の関心事は何ですか」
と──。 　統計がないのであれば、アスピーズたちのエピソー
　
「図らずも彼女は、診断の手がかりとなる重要な質 ドに頼るしかない。アスペルガー症候群を自覚してい
問をしたことになる。最大の関心事を尋ねるのは、ア るIT技術者に、IT業界とアスピーズの関連性を尋ね
スペルガー症候群かどうかを見極める第一歩であるか たところ、前出のRyno氏からは以下のようなメールを
らだ」
（Ryno氏） もらった。
　Ryno氏が強い関心を持っているのは、
「コンピュー
タ」
と「コミュニケーション」
だ。IT業界にはRyno氏と アスピーズ ⇒ 魚としてのIT技術者 ⇒ 水
（訳注：
「fish」
には「何らかの欠陥を抱えた人」
という意味がある）
同様の関心を持つ人が、数え切れないほど存在する
はずである。
　またデータベース・アプリケーション・プログラマー

アスペルガー症候群と のBob氏からは、
「紋切り型の見解ではあるが、ハイテ

IT業界の深い関係とは ク業界のアスピーズ率は、一般社会のアスピーズ率
よりも高い」
という返答をもらった。
　自閉症という症状が最初に報告され、正式にそう 　このテーマを語ってもらうのに、
テンプル・グランディ
命名されたのは1943年のことだ。自閉症は神経発達 ン
（Temple Grandin）
氏ほどの適任者はいないだろう。
障害が原因だと考えられているが、その解明はいまだ
十分に進んでおらず、原因や症状、研究、治療法など、
あらゆる側面で現在も激しい議論が続いている。
　特に、知能指数が比較的高いアスペルガー症候群
とHFAはその定義が難しく、診断が確定されなかっ
たり症状が過小評価されたりすることがしばしば起こ
る。そのため全体の人数が正しく把握されておらず、
また症状への理解も進んでいない。
　米国では近年、
自閉症
（アスペルガー症候群を含む）
と診断されるケースが急増している。米国疾病予防

16 Computerworld July 2008

Grandin氏はアスペルガー症候群を抱えながら博士 人たちに向いている職業には、コンピュータ・プログ
号を取得した大学教授であり、動物の環境に配慮し ラミング、製図
（コンピュータを使用するものを含む）
、
た家畜施設の設計者として世界的に知られている。 コンピュータのトラブル・シューティング／メンテナン
現在はセカンド・キャリアとして、アスペルガー症候 ス、Webデザイン、ゲーム・デザイン、コンピュータ・
群についての執筆と講演活動に注力している
（注1）
。 アニメーション作成などが挙げられている。
　
「アスペルガー症候群とITとの間に相関関係はある 　一方、非視覚的思考をする人たち
（Grandin氏は具
のか──。もしアスペルガー症候群というものが存在 体的に
「数学や音楽、事実問題を得意とする人たち」
しなければ、コンピュータは誕生しなかっただろう。 と定義している）
は、コンピュータ・プログラミング、
“ギーク
（Geek）
”や“ナード
（Nerd）
”とは、要するに軽 工学、在庫管理、物理学が適しているという。
度のアスペルガー症候群のことだ。アスピーズの関心 　なぜアスピーズは、技術的な仕事に興味を持つの
は、人ではなくモノに向けられている。そしてモノに だろうか。
関心を抱いた人たちが、現在われわれが使用してい 　米国ワシントン州シアトルの郊外にあるデモインと
るコンピュータを作ってくれたのだ」
（Grandin氏） いう町で
「Becker＆Associates」
クリニックを開業し、
発達障害のセラピーを行っているスティーブ・ベッカー

些細なことがネックに （Steve Becker）

氏は以下のように語る。

アスピーズの就職事情 　
「成人したアスピーズは、他者とどうやってかかわっ
ていけばよいのかを理解することができない。彼らは
　Grandin氏はアスピーズなどに向き／不向きな職業 パーティや社会的な交流ではなく、一定のルールが
を、
能力別にまとめて公開している 2）
（表1、 。
コンピュー ある作業のほうに魅力を感じている。
そんな彼らにとっ
タ技術に関する職業は、大方の予想どおりリストに登
注1：
『我、自閉症に生まれて』
『自閉症の才能開発』
など、日本語にも翻訳されて
場している。例えば、視覚的
（ビジュアル）
思考をする いる
（両書とも発行：学習研究社）

表1：Grandin氏のWebサイトで公開されている、高機能自閉症／アスペルガー症候群を抱える人に適した能力別職業リスト
（Webサイトを基に編集
部で作成） （http://www.autism.com/individuals/jobs.htm）
視覚的思考の人 非視覚的思考の人
コンピュータ・プログラマー コンピュータ・プログラマー
図版設計者 エンジニア
広告デザイナー ジャーナリスト
フォトグラファー／ビデオグラファー 図書館員
工業デザイナー 会計士
動物の調教師 コピー・エディター（校正者）
自動車デザイナー タクシー・ドライバー
コンピュータ修理師／トラブルシューター 在庫管理者
小工具修理師 ピアノ／楽器の調律師
Webデザイナー 銀行の出納係
建築業全般 事務員（ファイリングなどの書類管理）
ゲーム・デザイナー 統計学者
CGアニメーター 物理学者

表2：Grandin氏のWebサイトで公開されている、高機能自閉症／アスペルガー症候群を抱える人に適さない職業リスト
職種 理由
レジ係 異なる複数の要求を短時間に判断する必要があるため
忙しいレストランのコック 同時に複数の作業をこなす必要があるため
ウエイター／ウエイトレス 同上
タクシーの配車係 同上
旅行代理店 フライト変更など予測不可能な問題に対応する必要があるため
先物取引のディーラー 将来を予測して行動することが求められるため
航空管制官 予測不可能な情報を瞬時に判断する必要があるため
予約係 予約が立て込んだ場合、柔軟な対応が求められるため
電話オペレーター 問い合わせが立て込んだ場合、柔軟な対応が求められるため

July 2008 Computerworld 17

 いるよりもはるかに多様だ」
と指摘する。同氏によると、
「もし、アスペルガー症候群というものが アスペルガー症候群であることを隠して社会に適応
存在しなければ、コンピュータは する術を身につけた人は、トップ・グループで活躍す
誕生しなかっただろう」 るか底辺で生きていくかのどちらかになることが多い
Temple Grandin氏
（アスピーズの作家）
という。
　Becker氏やMeyer氏が懸念しているのは、業界の
底辺で働くアスピーズだ。アスペルガー症候群を抱え
てビデオ・ゲームやソフトウェア・プログラムを作る仕 ながら企業に就職した人は、データ入力業務や保険
事よりも適しているものがあるだろうか。ソフトウェア・ 金請求処理などの単純作業であれば、長期にわたっ
プログラムを設計する際には、特定のルールと規約に て従事することができる。だが、会議への出席など、
従えばよい。だが人生には、マニュアルは存在しない より高度な社会的相互交渉が求められる地位に昇進
のだ」 したとたん、大変な苦しみを味わうことになるからだ。
　なおBecker＆Associatesでは、成人したアスピー
ズのための小規模なグループ・セッションを継続的に ニュートンもアインシュタインも……
実施しているという。 天才、偉人とアスピーズ
　Becker氏は顧客のプライバシーに配慮しながらも、
米国Microsoftや米国Boeingといった地元の大手企 　アスピーズがIT業界に多いというのであれば、彼ら
業をはじめ、数百にも及ぶ両社の関連企業に勤める と同僚になる確率はほかの業界よりも高いことになる。
多くの人々やその子供たちが、同氏のクリニックに通 ひょっとしたら直属の上司がアスピーズかもしれない
院していると打ち明ける。同氏がカウンセリングをし し、その上の上司がそうかもしれない。あるいは上司
ている顧客の中には、ソフトウェア／航空宇宙のエン と部下の全員がアスピーズである可能性もある。
ジニアをはじめ、科学者、博士号取得者など、その 　前出のGrandin氏は、
「IT業界で活躍する有名人た
業界のトップ・クラスの人材も含まれているという。 ちのプロフィールを読んだりテレビで見たりするが、
　しかしアスペルガー症候群を抱えながら業界のトッ だれがアスペルガー症候群であるかは見分けがつく。
プで活躍する人々がいる一方、同じ業界でも下請け、 実名を挙げることはしないが、大物業界人の中にも明
孫請けの立場で苦労しているアスピーズも数多く存 らかなアスピーズはいる」
と指摘する。
在する。 　アスピーズは特別な存在ではない。それどころか、
　
『T h e A s p e r g e r S y n d r o m e E m p l o y m e n t 天才、偉人だっているのだ。科学者のアイザック・
Workbook
（アスペルガー症候群の雇用ワークブック）
』 ニュートン
（Isaac Newton）
、物理学者のアルバート・
の著者で、米国で歴史のあるアスペルガー症候群サ アインシュタイン
（Albert Einstein)、詩人のエミリー・
ポート・グループを運営する、米国オレゴン州ポート ディキンソン
（Emily Dickinson）
などはアスピーズだっ
ランド在住のロジャー・マイヤー（Roger Meyer）
氏は、 たと指摘されている。また、映画やテレビでおなじみ
「アスピーズが就いている職種は、一般に考えられて のミスター・スポック
（『スタートレック』
の登場人物）
や
ミスター・ビーン、シャーロック・ホームズもアスピー
ズの特徴があると言われている。そして、アスピーズ
と指摘されることが最も多い有名人は、ほかならぬ
「マ
スター・ギーク」
ことMicrosoft会長のビル・ゲイツ
（Bill
Gates）
氏である。
　ただしGates氏は同時に、
「もし本当にアスペルガー
症候群なら、あのように人前で堂々とふるまえるわけ
がない」
と、当のアスピーズから
「アスペルガー症候群
説」
を否定されている人物でもある。実際のところは
どうなのか。この質問を直接、Gates氏専属の広報担

18 Computerworld July 2008

当者に尋ねてみたが、コメントは差し控えたいとの返
答だった。
　Becker氏は、
「仕事が技術的であればあるほど、ア
スピーズは完璧にこなすことができる。しかし人によっ
ては、管理職として部下を監督することが困難な人も
いる」
と指摘する。
　Meyer氏も、
「対人関係の構築が困難なために昇進
できないこともある。このためアスペルガー症候群を
抱えながら働いている人々は、IT業界の中でも賃金
の低い業種や、アウトソーシングの対象になりやすい
職務に固定されてしまうことがある」
と説明する。
　Meyer氏は、
「アスピーズは1つのことに没頭し、ルー
ルに従って何らかの診断を下す作業が得意だ。例え 症を抱える社員に対しては、何の支援もしていない。
ばソースコードのミスを発見するといった作業は、豊 　Microsoftの広報担当者は、同社にはアスピーズ
富な知識を駆使して解決してしまう。また型破りであ のグループや彼らを支援する制度は存在しないとコメ
りながら効果的な方法を考えつくことも多い」
と、アス ントしている。過去には、アスペルガー症候群の社員
ピーズの特徴がIT業界でプラスになるとしつつも、
「た が支援策を求めてきたことがあったが、そうした場合
だしこうした仕事は、自動化やアウトソーシング化が には、障害者担当のケース・マネジャーが、
「ケース・
進んでいる。アスピーズが就職できるチャンスは縮小 バイ・ケース」
で「しかるべき支援」
をしていたという。
しているのが現状だ」
と問題点を指摘する。 　なお、米国Intel、米国Yahoo!、米国Googleにア
スピーズに関するに取材を申し入れたところ、Intelと

問題が表面化しづらい？ Yahoo!は取材拒否
（返答拒否）
、Googleは広報担当

進まないアスピーズ支援 者を通じて
「その質問には答えられない」
と回答してき
た。
　アスピーズが多いとされるIT業界。では、IT企業 　アスピーズへの支援が困難である理由の1つには、
は彼らのためにどのような支援制度を設けているのだ 車椅子を利用せざるをえない障害や、外国人社員が
ろうか。 直面する言語的な障壁とは異なり、その
“差異”
が目
　Becker氏とMeyer氏は、
「一般的な医療保険制度 に見えず、周囲からの理解を得られないことが挙げら
を利用してセラピー費用を負担するといったケースを れる。
「視覚的にすぐわかる障害のほうが、同僚らの
別として、アスペルガー症候群／HFAを抱える社員 理解を得やすいということはあるだろう。問題を抱え
の職務訓練や各種支援を制度として設けている企業 ると顔が真っ青になるというような症状が、アスペル
の存在は聞いたことがない」
と口をそろえる。 ガー症候群にあればよかったのだが……」
とRyno氏は
　IT業界にアスピーズが多いのであれば、彼らを支 嘆く。
援するため、少なくともその存在を認知するために、 　Jeremy氏も、
「（言語の異なる）
外国人の相手をする
なぜ業界として積極的に行動しないのだろうか。 ときのように、その
“差異”
がすぐにわかれば、アスペ
　IT企業は、人種的、身体的、発達的背景を持つ ルガー症候群を抱える人に対しても寛大になれるの
社員たちを支援するため、他業界の企業よりも積極 だろうが……」
と支援が難しい理由を説明する。
的に活動している。例えば、Microsoftもその1社だ。 　もう1つの理由として、その特徴からアスピーズは
同社には少なくとも20以上の
「アフィニティ・グループ」 組織を作るという行為が苦手であるという事情もある。
（マイノリティ支援グループ）
があり、アフリカ系アメリ Microsoftで組織されている支援グループは、いずれ
カ人、シンガポール人、シングル・マザー／ファーザー、 も当事者である社員が自発的に結成し、運営している
聴覚障害者、視覚障害者、同性愛者／両性愛者、 ものだ。アスピーズの場合、当事者の社員が単独も
性同一性障害者などを支援している。しかし、自閉 しくは仲間と共に交流グループを立ち上げることは非

July 2008 Computerworld 19

 常に考えにくいのである。またアスピーズは通常、ア 画面1：Edanと名乗るアスピーズが2002年に開設したWebサイト
（http://www.aspergia.com/）
スペルガー症候群であることを職場で公言していな
い。せいぜい1人か2人にしか打ち明けていないことが
多いのだ。
　アスペルガー症候群であることを公言すべきかどう
かについては、
今も論争が続いている。Ryno氏の場合、
最後となった職場でアスペルガー症候群であることを
公言した。しかし、同氏はそのことを後悔していると
いう。偶然にも上司が軽度のアスペルガー症候群だっ
たにもかかわらず、だ。
「アスピーズが上司になったの
は、そのときが初めてだった。わたしがなぜ他人と目
を合わせようとしないのか、会議を嫌うのか、くだら
ない冗談を適当にあしらうことができないのかを説明
せずに済むのは、とても新鮮な経験だった」
（Ryno氏）
画面2：自閉症を自覚するAmanda Baggs氏が自身の日常を撮影した
「In My Language」
。
自分の五感を通じた“世界” を理路整然と語っている

アスペルガー症候群は か？
「疾患」
（http://www.youtube.com/watch?v=JnylM1hI2jc）

カミングアウトの葛藤

　
「世界には約2,000万人のアスピーズがいます。こ
れだけの人数が一堂に会すれば、だれもわたしたちを
『変わった人』
などと呼ばないでしょうし、だれもわた
したちが
『症候群』
や『病気』
を抱えているなどと見なさ
ないでしょう」
　これは、エダン
（Edan）
氏と名乗るアスピーズが
2002年に開設したWebサイト
「Aspergia.com」
に掲載
した文章である
（画面1）
。ここでEdan氏が想定してい
るのは、集中力が短時間しか持続せず、常に他者と
交流することを必要とする
「定型発達者」
がマイノリ
ティで、アスペルガー症候群が
「障害」
ではなく正常だ
と見なされる世界である。
　Aspergia.comは、アスペルガー症候群をはじめと うに思う」
（Ryno氏）
する、自閉症を抱える人を支援するWebサイトの先駆 　Ryno氏はアスピーズの上司と2人でシステム管理
け的な存在だ。
「定型発達者以外はすべて障害者であ 者の負担を最小限に抑えたユーザー・サポート・シス
り、治療が必要である」
という世間の考えに対し、ユー テムを設計したものの、周囲からの反発を買い、その
モアや正当な理論を交えて反論しようとする動きは、 システムはほとんど利用されなかったと語る。そして
少しずつ広がっている。 同氏は、社内規定に違反してアダルト・コンテンツを
　その最新の事例が
「In My Language」
と題するア ダウンロードした社員のインターネット・アクセスを再
マンダ・バッグス
（Amanda Baggs）
氏の動画だ
（画面 度許可するよう幹部職員に命じられたあと辞職した。
2）
。この動画は
「YouTube」
で大変な人気を集め、世 同じくアスピーズの元上司は現在、多くの人が集まる
界中の主要メディアでも紹介されている。 懇親会や会議など、以前はほとんど参加を免除され
　一方、Ryno氏のように、アスペルガー症候群であ ていた行事への参加を強制されるようになったという。
るとカミングアウトしたことを後悔している人もいる。 　Jeremy氏もこれまでの経験から、アスペルガー症
「デメリットばかりで、得るものはほとんどなかったよ 候群を抱える社員が周囲に理解を求めたとしても理

20 Computerworld July 2008

解を得られる可能性は低く、最終的には職を失う結
果になると感じている。
「自分では物事をきちんと見ているつもりなのだが、
白黒がはっきりしない
“境界”
にあるような問題を、う
まく理解することができない。また、わたしは集団の
一員であるという感覚を持てずにいるが、他の人たち
は組織への強い帰属意識を持っている」
とJeremy氏
は語る。
　会社の同僚たちは組織の一員という自覚があるた
c o lumn
日本国内におけるアスピーズ支援はスタート地点に立ったばかり
Computerworld編集部
米国同様、日本にもアスペルガー症候群を抱えながら就労している人は多い。しかし、彼らの就労支援を「制度」として設けている企業はほとんどな
いようだ。アジア地域の中では比較的進んでいると言われる日本の支援体制だが、欧米に比較するとまだ課題は多いという。その課題とは何か──。
ここではNPO法人東京都自閉症協会で理事を務める尾崎ミオ氏の話を中心に、日本におけるアスピーズの現状とその支援課題を紹介する。
　日本では2005年4月1日に
「発達障害者支援法」
が施行され
た。これは、アスペルガー症候群やその他の広汎性発達障害
を持つ人を支援する法律である。発達障害を早期に発見し、
ライフ・ステージに合わせて適切なサポートを行うことで、発達
障害者の社会生活／自立を支援することを目的としているもの
だ。
　尾崎氏は、
「発達障害者支援法が施行されたことで、アスペ
ルガー症候群や高機能自閉症という言葉が、少しずつではある
が認知されるようになったと感じる。以前は
『自閉症』
と言えば、
引きこもりなどと誤解されることも多く、特に知的障害をともな
わない高機能自閉症やアスペルガー症候群の存在はほとんど
知られておらず、その特徴が正しく理解されていなかった」
と語
る。
　発達障害者支援法の施行後、厚生労働省は
「発達障害者就
労支援者育成事業」
を立ち上げた。これは
「若年コミュニケー
ション能力要支援者就職プログラム」
「発達障害者の就労支援
者育成事業の拡充」
「発達障害者を対象とした職業訓練」
などを
積極的に実施することで、発達障害者の就労を支援しようとい
うものである。しかし、これらは
「モデル事業」
として始まったば
かりであり、特にアスピーズの就労支援については、一部の企
業や就労支援者が草の根的に支援を行っているのが現状だ。
「アスペルガー症候群の特徴を理解し、彼らが就労しやすい環
境を提供する」
というレベルには到達していない。
　米国同様、日本でもアスピーズの人数を正確に把握している
機関は存在しない。その理由について尾崎氏は、
「アスペルガー
症候群、高機能自閉症、注意欠陥／多動性障害、学習障害は
その特徴が重なっていることが多く、明確な線引きができない。
また、診断する医師によっても判断が分かれているのが現状だ。
そのような状況では、アスピーズだけを数えることは難しい」
と てもそれができない。それよりも、会議や営業は他の社員と分
指摘する。
　本文でも紹介したとおり、米国では近年、自閉症と診断され
るケースが急増している。その傾向は日本でも同様のようだ。
め、
日々の過ちをお互いに修正し、
周囲に自分を
“適合”
させていくことができるが、Jeremy氏にはそれができ
ない。
「周囲の人たちは、わたしの悪い点を指摘しよう
とはしない。だから問題が顕在化するまで、自分が過
ちを犯していることに気づかないのだ。わたしは多く
のことに気づいてはいるが、重要なシグナルを見逃し
ている。見逃したシグナルはブラック・ホールのような
もので、あまりに多くのシグナルを見逃すと、最終的
にわたしはその穴から外に吸い出されることになって
文部科学省が2002年に公表した
「通常の学級に在籍する特別
な教育的支援を必要とする児童生徒に関する全国実態調査」
に
よると、学習面や行動面で著しい困難を示す生徒の割合は、
通常学級に通う生徒全体の6.3％に上るという。つまり30人ク
ラスであれば、1～2人は何らかの発達障害である可能性を抱
えた生徒ということになる。
　このような事情をかんがみ、文部科学省は2008年、
「特別
支援教育」
を掲げ、通常の学級などに在席する障害のある幼
児／児童／生徒を指導／支援する取り組みを開始した。
しかし、
現場の教師からは
「学級運営すら困難な状態では、障害児支援
まで手が回らない」
との声が上がっているという。尾崎氏は
「支
援が現場任せになってしまっているなどの課題はあるが、国や
教育機関が発達障害者を支援するという動きは評価できる。
やっと支援活動のスタートラインに立ったというのが実感だ」
と
語る。
分業体制の確立で特徴を発揮できる環境を
　では、日本でもIT業界にはアスピーズが多いのか。この点に
ついて尾崎氏は、
「正確な統計がないので、あくまでも主観だが」
と前置きをしたうえで、
「アスピーズの中には決められたルール
に沿って行う作業を得意とする人が少なくない。そういった仕
事がIT業界に多いのであれば、アスピーズ率が高くなっても不
思議ではない」
と語る。
　尾崎氏はアスピーズの就労支援として、
「分業体制の確立」
を
挙げている。
「現在の企業では、プログラマーであっても営業的
なスキルや会議への出席など、アスピーズにとって不得意なス
キルも要求されることが多い。アスピーズはその特徴が千差万
別だ。
『他人と同じことがなぜできないのか』
と“同化”
を求められ
担できる体制を整え、得意分野に集中できる環境を与えてほし
い。そうすれば、持っている力を発揮できるアスピーズは多い
はずだ」
（尾崎氏）
July 2008 Computerworld 21
 オフィス環境は改善できる。
「仕事を依頼してくる人は、 　また公式には発表されていないが、Microsoftはア
仕事を入力したら数週間後にその成果物を スピーズ支援のために
「バディ制度」
導入しているとい
出力してくれる機械のような役割を、 う。これは定型発達者
（非自閉症者）
とアスピーズとが
わたしに望んでいるように感じる」
ペアを組み、会議などの社会的相互交渉の必要性を
Jeremy氏
（高機能自閉症のプログラマー）
教える制度だ。多くのアスピーズはこの制度を
「実際
に行われているのであれば、評価できる」
としている。
　アスピーズの希望はシンプルだ。それは
「自分たち
しまう。その繰り返しだ」
（Jeremy氏） に適した役割
（仕事）
を、企業環境の中で見いだす機
　これは、仕事ができるかどうかの問題ではない。そ 会を与えてほしい」
というものである。企業は社員の聴
の証拠に、Jeremy氏はプログラマーとしての腕を高 覚能力、性的指向、人種、宗教を考慮し、適切な役
く評価されており、次々に仕事が舞い込んでくる。問 割
（仕事）
を見いだすように支援している。その支援対
題は人間関係をうまく築けるかどうかなのだ。 象にアスピーズも入れてほしいというだけのことなの
　
「（仕事を依頼してくる）
人は、仕事を入力したら数 だ。
週間後にその成果物を出力してくれる機械のような役 　前出の精神分析医Becker氏によると、先進的なハ
割を、わたしに望んでいるように感じる」
（Jeremy氏） イテク企業は、
（徐々にではあるが）
アスピーズを支援
する取り組みを実施し始めているという。Becker氏

アスピーズが切望する は
「アスピーズ支援の取り組みは始まったばかりで、

よりよい職場環境とは
　アスピーズが職場で抱えている
「社会的相互交渉が
困難」
という課題は、先進的な人事部門でさえ理解で
きないほど微妙なことなのかもしれない。しかし、だ
からといって、アスピーズの支援に消極的であること
を正当化する理由にはならない。専門家は、
「アスピー
ズに配慮した環境作りといっても、大がかりなもので
ある必要はない。また、
“アスピーズに特化した”
と考
える必要もない」
とアドバイスする。
　Grandin氏らは、オフィス環境に物理的な工夫を
するのも1つの施策だと指摘する。
多くのアスピーズは、
照明の明滅、エアコンやコピー機の動作音、電話の
呼び出し音を不快に感じている。オフィス内での
ちょっとしたしゃべり声すら苦手だという場合も多い。
そういった音のしない空間を確保したり、防音設備を
整えたり、あるいはホワイト・ノイズを流したりすれば、
全体的にはまだ十分ではない」
と指摘したうえで、以
下のように語る。
　
「少なくとも現時点では企業にも
（アスピーズ支援の
体制が整っていないことに対する）
釈明の余地はある。
ほとんどの企業は、アスペルガー症候群を抱えた人
物と接した経験がない。アスペルガー症候群という定
義が生まれたのは比較的最近のことであり、成人アス
ピーズという存在については、ほとんど知られていな
かった。多くのIT企業は、アスピーズを貴重な戦力
として支援したいと考えているが、そのやり方がわか
らないだけなのではないだろうか」
　こうした状況も、将来的には変化していくはずだ。
　
「今後5年から10年のうちに、より多くの企業がアル
ペルガー症候群やHFAを、普通の特徴としてとらえ
るようになるだろう」
（Becker氏）

「システムの効率化を図ったり、
ダウンタイムを低減させたりすることはできる。
しかし周囲の人々を喜ばせるような行動が、
わたしにはできなかった」
Ryno氏
（アスピーズの元システム管理者）

22 Computerworld July 2008

 マイクロソフト、ヤフー買収を断念──金額面で歩み寄れず交渉決裂
NEWS
3カ月におよぶ歴史的な買収劇に幕。ヤフーCEOのヤン氏、
「買収提案はもはや過去の話だ」

　米国Microsoftは5月3日、米国Yahoo! た。しかし、Yahoo!側はこの金額を
「過小 す声明文を発表した。
に提案した買収案を白紙撤回すると発表し 評価しすぎだ」
と一蹴。これに対しMicro 　Yahoo!の取締役会代表を務めるロイ・
た。約3カ月におよぶ歴史的な買収劇は、 softは株式公開買付
（TOB）
に応じるよう ボストック
（Roy Bostock）
氏は声明文の
交渉決裂で幕を閉じた。 Yahoo!の取締役会に圧力をかけるなど強 中で、
「Yahoo!はオンライン広告市場にお
　買 収 断 念 に 関 す る 声 明 文 の 中 で、 硬姿勢に出たものの、Yahoo!側はこれを いて、
大きく成長す可能性を秘めた企業だ」
MicrosoftのCEO、スティーブ・バルマー 拒否。5月に入ってMicrosoftはYahoo! と述べ、1株当たり37ドルの評価は妥当な
（Steve Ballmer）氏は、
「Microsoftが 株式を1株当たり33ドルで評価し、50億 要求であることを強調した。
Yahoo!に 対して 提 案した 買 収 案 は、 ドルの追加金額を提示したが、Yahoo!は 　また、Microsoftに批判的な人物として
Yahoo!をはじめ市場全体にとって意義の 1株当たり37ドルの評価を要求したため、 知られるYahoo!の共同創設者でCEOの
ある行為だったと確信している。われわれ 交渉は決裂したという。 ジェリー・ヤン
（Jerry Yang）
氏は、
「こちら
とYahoo!が1つになる目的は、市場を革新 　
「熟考した結果、Yahoo!への買収提案 が要求していないMicrosoftからの提案は、
し、ユーザーに多様な選択肢を与えると同 を白紙撤回することが、Micr oso f tの従 もはや過去のものだ」
と語ったという。
時に、両社の株主と従業員に、より多くの 業 員と株 主の利 益になると判断した」 　Yahoo!はMicrosoftからの買収提案後、
価値をもたらすことだった」
と述べ、買収 （Ballmer氏） 生き残りをかけたさまざまな代替案を模索
提案の正当性を主張した。 　Microsoftの発表を受け、Yahoo!は していた。その1つがグーグルの検索広告
　Microsoftが2月1日にYahoo!に提案し 「Microsoftの買収提案は、われわれを過 サ ービ スの 試 験 的 導 入 だ。Yahoo!と
た買収金額は、Yahoo!株式を1株当たり 小評価しすぎている。この認識はわれわれ Googleが 何らか の 形 で 提 携 すれば、
31ドルで評価した総額約446億ドルだっ の株主も同じだ」
と、従来の主張を繰り返 Microsoftにとってこれほどの脅威はない。
　Ballmer氏は声明文の中で、
「Yahoo!が
検索広告サービスをGoogleにアウトソー
シングすることは、長期的な視点から見て
Yahoo!の屋台骨を揺るがすことになる。
それだけでなく、Yahoo!の検索広告サー
ビスや広告戦略といった
“エコシステム”
を
弱体化させてしまう。これらはYahoo!の
成 長を阻 害 する要 因になる 」と述 べ、
Yahoo!がGoogleと提携関係を構築する
Yahoo!のCEO、Jerry Yang氏はMicrosoftの買収提 Microsof tのCEO、Steve Ballmer氏は先月、委任 ことを牽制している。
案を拒否するため、AOLやGoogle、Disney、News 状争奪戦による敵対的買収も辞さない可能性を示唆し
Corporationなどと交渉したと言われている ていた （IDG News Service）

●マイクロソフト、ヤフー買収を断念──金額面で を明言 （4/24） ⇒28ページ ⇒29ページ

N E W S H E AD L I NE

歩み寄れず交渉決裂 （5/3）
⇒24ページ ●ヤフー、サービス・プラットフォームの全面オー ●グーグル、モバイル・バナー広告市場に参入
●AMD、 企 業 向けPCプ ラットフォーム 「AMD プン化構想を発表 （4/24） （4/23）
Business Class」
を発表 （4/28） ●マイクロソフトの3Q決算、売上げ微増もEU制裁 ●アップル、2Qも堅調な業績── 「iPodの売上げ
●グーグルのBloggerでスパミングが急増──偽の 金で減益 （4/24） は鈍化したが、Macは好調」
（4/23）
ブログを自動作成 （4/28） ●ヴイエムウェア、 仮想化ソフト・スイート 「VMware ●アップル、省電力CPUベンダーのPAセミを買収
●サン、新興半導体メーカーのモンタルボを買収─ Infrastructure 3」
の最新リリースを日本語化 ──UMPC参入への布石？（4/23）
─省電力チップの獲得がねらい （4/24） （4/24） ⇒29ページ ●CNNのWebサイト、サイバー攻撃の標的に──
●
「Windows XPの販売終了期限に変更なし」 ── ●Gartner調査、2008年の世界CRM市場、14.2 中国批判発言が引き金か（4/23）
マイクロソフトが延長報道を否定 （4/24）⇒28 ％増の89億ドルへと拡大 （4/24） ●大規模なサイト・ハッキングが再発生──英国政
ページ ●イージェネラのモンカCTOが語る 「Vir tualiza 府や国連のサイトも被害に（4/22）
⇒26ページ
●デル、6月30日以降もWindows XPの販売継続 tion 2.0──データセンター全体の仮想化」 （4/23） ●マイクロソフト、新プラットフォーム 「Live Mesh」

24 Computerworld July 2008

 April, 2008

Sun Business .Next 2008のユーザー・パネルで語られた

EVENT REPORT
「ビジネス革新のために、IT部門がなすべきこと」
NTTドコモ、全日本食品、楽天の幹部がITの先進活用をみずから紹介

　4月18日、東京都内で開催されたサン・ 　
「当初、そのシステムを見て驚いた。想 末までに53トン売れたケースを紹介した。
マイクロシステムズのプライベート・イベン 像を絶する継ぎはぎが施された複雑な代 「予測が困難な分野だが、高度な技術と進
ト
「Sun Business .Next 2008」
では、同 物で、いつダウンしても不思議ではない状 化するコンピューティング・パワーをうまく
社のユーザー企業幹部が参加するパネル・ 態だった。IT部門がベンダーに丸投げして、 融合させ、新しい要素を発見していきたい」
ディスカッションが行われた。 どうにもならなくなっていたようだ」 （安武氏）
　パネリストとして招かれたのは、NTTド 　システムは属人性が高いものであり、シ
コモのプロダクト＆サービス本部プラット ステム構築以前に、まず業務改革が必要 ITはビジネスを生み出すツール
フォーム部長、青山明彦氏、全日本食品 と考えた同氏は直接、社長に改革案を提 使い方次第で革命を起こせる
の情報システム本部本部長の竹嶋孝一氏、 案したという。 　討論の結果、業種は異なるものの、IT
楽天の取締役常務執行役員、安武弘晃氏 　
「IT部門は各部門の希望を聞くだけでな 部門がビジネスに貢献するために共通して
の3氏だ。 く、主体となって改革すべきではないだろ 必要としているのはスピードであるという
　最初に話題に上がったのは、ITによるビ うか」
（竹嶋氏） 結論に至った。モデレータを務めたサン・
ジネス・イノベーションの 現 状 ついて。 　楽天の安武氏は、ヒット商品の販売で マイクロシステムズのマーケティング統括
NTTドコモの青山氏によると、携帯電話業 ユーザー数の予測の難しさを痛感している 本部プロダクト・ストラテジック・マーケ
界では現在、他社との値下げ競争による という。
「これほど爆発的にユーザー数が増 ティング本部本部長、藤井彰人氏は、
「IT
減収分を補う収入源となる、新技術による えると、先を読むのが難しくなる。かつて、 は企業にとってビジネスを生み出すための
新たなサービスをいち早く確立することが 最初のプレイステーションが発売された ツールであり、使い方次第でビジネスに革
命題となっているという。
「当社は世界で初 際、サイトで予約販売を受け付けたが、あ 命を起こすことができる」
とまとめ、ディス
めて携帯電話でJavaを稼働させた。その れほどの人気になるとは予測できず、膨大 カッションを締めくくった。　
（大川 淳）
際にサンの協力を得たわけだが、やはり、 なアクセスが集中、す
新しいサービスを始めるには、パートナー べてのシステムが停止
と共同で進めていくことが重要だ」
（青山 してしまった。eコマー
氏） スでは思いがけないこ
　全日本食品の竹嶋氏は、同社で大型汎 とが起こる」
（同氏）
。安
用機によるレガシーなシステムをオープン 武氏は、最近の例とし
化しようという機運が起こったとき、外部 て、2007年11月1日に、
から招かれ、そのプロジェクトを任された 安全な国内産の干し芋
人物である。同氏は次のように当時を振り が た った1分39秒 で 写真左から、NTTドコモのプロダクト＆サービス本部プラットフォーム部長、青山
明彦氏、全日本食品の情報システム本部本部長、竹嶋孝一氏、楽天の取締役
返った。 1,000袋 も 売 れ、2月 で常務執行役員の安武弘晃氏

のプレビュー版を公開 （4/22） 2013年には46億ドル規模へ （4/21） ●苦境のAMD、6四半期連続で損失を計上 （4/17）

● マ イクロソフト、 ホ ス テ ッドCRMサ ービ ス ●マイクロソフト、Google Docs対抗の新サービ ●グーグルの1Q決算、業績懸念をよそに増収増益
「Dynamics CRM Online」
を提供開始
（4/22） ス「Albany」のベータ・テストを開始 （4/18） （4/17）
●インテル、マッシュアップ 作 成ツール 「Mash ●Sun Business .Next 2008のユーザー・パネル ●グーグルのWebアプリ、XSS攻撃のターゲット
Maker」
を発表 （4/22） で語られた 「ビジネス革新のために、IT部門がな に
（4/17）
●ヤフーの1Q決算、予想を上回る好業績に （4/22） すべきこと」 （4/18） ⇒25ページ ●CTC、データセンターにおけるグリーンIT戦略を
●Ubuntu Linuxの企業向けサーバ版、満を持して ●IBM、データ・デデュープ技術のディリジェントを 披露（4/17）
登場（4/21） ⇒26ページ 買収 （4/18） ●ネットスイート、中堅企業のグローバル経営を支
●ネットアップCTOのパウロウスキーが語る 「スト ●オラクル、対SAP訴訟を拡大──SAP幹部の 援するアドオン製品 「NetSuite OneWorld」
を
レージ管理の課題解決のカギは重複除外と仮想 関与の可能性も指摘 （4/17） ⇒27ページ 発表（4/16）
⇒27ページ
化」
（4/21） ⇒28ページ ●マイクロソフト、 「BizTalk RFID」
のモバイル版を ●IBMの1Q決算、アナリスト予測を大幅に上回る
●Forrester調査、拡大するWeb 2.0関連市場、 発表 （4/17） 好業績に （4/16）

July 2008 Computerworld 25

 大規模なサイト・ハッキングが再発生──英国政府や国連のサイトも被害に
NEWS
「国連サイトの一部はまだハッキングされたままの状態だ」
と専門家

　米国Websenseは4月22日、英国政府 com』
を含む10万以上のURLが被害に遭っ にアクセスすると、悪意あるJavaScript
のWebサイトや国連のWebサイトなどを含 た。今回も10万以上のURLが被害に遭っ がマルウェア・ホスティング・サーバから
む多数のWebサイトがハッキングされ、マ ている可能性がある」
（Hubbard氏） ファイルをロードし、中国のサーバでホス
ルウェアをまき散らしているとの報告を発 　Websenseは同日、同社のWebサイト ティングされているページにリダイレクトさ
表した。 で
「今回の攻撃では、悪意あるペイロード れるという。
　Websenseでセキュリティ調査担当上 をホスティングするハブを、新たなドメイ 　
「いったんロードされると、そのファイル
級副社長を務めるダン・ハッバード
（Dan ンに切り替えたようだ。しかし、3月に猛 は8通りものエクスプロイトを仕掛ける」
と
Hubbard）
氏によると、今回の攻撃は、今 威をふるった大規模なSQLインジェクショ Websenseは警告する。
年になって急増しているSQLインジェク ン攻撃と関連があることはまちがいない」
と 　Firefoxのアドオン
「NoScript」
の開発者
ション攻撃
（外部からSQL文を入力して、 警告した。 として知られるセキュリティ研究者ジョル
データベース・サーバ内のデータの改竄・ 　Hubbard氏は
「3月の攻撃も今回の攻撃 ジオ・マオン
（Giorgio Maone）
氏は、次回
不正取得を行おうとする攻撃）
の一種であ も、IPアドレスは中国にあるものだ。また、 の攻撃では今回感染しなかったWebサイト
るという。 1つのホスティング・サイトだけを利用して も被害を受ける可能性があると警告してお
　
「現時点でハッキングされたWebサイト いるように見せかけているが、
（攻撃に利用 り、Hubbard氏も
「Webサイトの所有者は、
の正確な数は判明していない。しかし、今 する）JavaScript内のリンクは変更されて 速やかに脆弱性を修正し、セキュリティ強
年3月の大規模なSQLインジェクション攻 いる」
と指摘している。 化に取り組むべきだ」
と指摘している。
撃では、有名なニュース・サイト
『MSNBC. 　ユーザーがハッキングされたWebサイト （Computerworld米国版）

Ubuntu Linuxの企業向けサーバ版、満を持して登場
PRODUCTS

仮想化サポートなど、企業ニーズを満たす機能を搭載。企業向け市場に本格参入

　人 気 のLinuxディストリビューション ダウンロードできる。また、どちらもLTSリ 　一方、米国Dellは、コンシューマー向け

「Ubuntu」
の商用スポンサーである英国 リースであり、Ubuntuの標準サポート期 の一部のノートおよびデスクトップPCに
Canonicalは4月21日、企業向けとして長 間18カ月よりもはるかに長い5年間にわた Ubuntuのデスクトップ版を提供し続ける
年待ち望まれてきたUbuntuのサーバ版 るサポートをCanonicalから受けることが 方針を明らかにしている。
「Ubuntu 8.04 Long Term Support
（LTS） できる。 （Computerworld米国版）
Server Edition」
を発表した。 　
「LTSは、企業など、システムを大々的
　Ubuntuのサーバ版は約2年半前にもリ に入れ替えて長期間利用したいユーザーに
リースされたが、仮想化のサポート、パ とっては魅力的だ」
と、Ubuntu Linuxを世
フォーマンスの強 化、米国Sun Micro に送り出したマーク・シャトルワース
（Mark
systemsの各種ハードウェアでの動作確認 Shuttleworth）
氏はコメントしている。
など、IT部門における複雑なニーズを完全 　今回のサーバ・リリースで目を引くのは、
に満たすエンタープライズ対応のサーバ版 2種類の仮想化プラットフォーム
（Linux標
リリースは今回が初めてとなる。 準のKVMプラットフォームとVMwareプ
　Canonicalはこの日、サーバ版と同時に ラットフォーム）
をサポートすることと、この
デ スクトップ 版 の
「Ubuntu 8.04 LTS 新OSで稼働するエンタープライズ・アプリ
Desktop Edition」
もリリースした。両エディ ケーションの認定がISVによって急ピッチ
ションともUbuntuのWebサイトから無償で で進められていることだ。 Ubuntuの公式サイト

26 Computerworld July 2008

 April, 2008

ネットスイート、中堅企業のグローバル経営を支援するアドオン製品

PRODUCTS
「NetSuite OneWorld」
を発表
「真の意味でのリアルタイム・ビジネス管理を実現する」
とネルソンCEO

　米国NetSuiteは4月16日、同社のSaaS システムは、真の意味でマルチカンパニー ス管理システムに円で数字の入力を行う

スイート
「NetSuite」
のアドオン製品として、 対応とは呼べない」
（Nelson氏） と、直ちにシステムが更新され、同じシス
中堅企業のグローバル展開を支援するため 　そしてNelson氏は、同社が創業以来注 テムにアクセスした英国支社の販売担当マ
の機能拡張モジュール
「NetSuite One 力してきたシングル・インスタンスの統合 ネジャーが、ポンドでその処理を確認する
World」
を発表した。同モジュールは、Net 型SaaSスイートを各国に展開することこ ことができる、というシーンが実演された。
SuiteのSaaSアプリケーションの機能を拡 そが、多国籍企業のITシステムの正しいア 　OneWorldの価格は1カ月当たり1,999
張し、多国籍企業が各国で展開する支社の プローチであるとし、それを可能にするの ドルで、NetSuiteのアドオン製品として販
経営活動を、統合的かつリアルタイムに管 がOneWorldであると説明した。 売される。 （Computerworld）
理・調停することを可能にする製品である。 　OneWorldが提供するリアルタイム・ビ
　サンフランシスコ市内で開かれた製品発 ジネス管理の一例として、Nelson氏は通
表会イベントで、同社CEOのザック・ネル 貨の調停機能を挙げた。同モジュールに
ソン
（Zach Nelson）
氏は、グローバルIT よって、各国の市場に合わせて設定される
システムに対する従来型のアプローチが抱 通貨率は自動的に更新され、グローバルで
える問題を指摘した。
「支社の数だけ基幹 常に一貫性が保たれることになる。同氏は
データベースが存在し、それにつながるア この機能をデモンストレーションを行って
プリケーションが大量に走っている。これ 説明してみせた。デモでは、日本支社の販
On e W o rldのデモでは、グローバルで一貫性を保った
らを単に本社のシステムとつないだだけの 売担当マネジャーが、NetSuiteのeコマー うえで通貨率の更新処理を行うさまが示された

オラクル、トゥモローナウに関するSAPとの訴訟を拡大

NEWS
──SAP幹部の関与の可能性も指摘
SAPはオラクルの主張を否定し、
「裁判の無用な引き延ばしだ」
と非難

　米国Oracleは4月17日、ドイツのSAP 利用し、本件の解決を必要以上に引き延 部を入れ替えている。しかし、SAPは、い

を相手取った訴訟を拡大する考えを示し ばしていると非難した。同氏は、
「Oracle ずれの不正行為もOracleが主張するよう
た。Oracleは2007年、SAP傘下の米国 は判事の警告を無視し、裁判書類を装っ な継続的な違法行為ではなく、個別の事
TomorrowNow
（TN）
の従業員が顧客を て誇張した主張を提出し続けている」
と述 件であると主張している。Oracleは、裁
装ってOracleのサポート・サイトからソフ べている。 判で損害が証明されることを期待し、SAP
トウェア・パッチやその他のサポート資料 　また、Oracleは、この件に関し、SAP に対してOracle製品の返還命令と訴訟費
を入手したとして、SAPを提訴していた。 幹部も
“共謀”
の可能性があるとしている。 用の支払いを求めている。
Oracleによると、TNは入手したパッチや Oracleは、
「SAP本社と米国法人の幹部は、 （IDG News Service）
資料を用いてOracleの顧客に割引サービ TNのビジネス・モデルの違法性をその買
スを提供し、SAPの製品へ乗り換えさせよ 収時点で認識していたが、ビジネス上の理
うと画策したという。 由からこれを改めさせることに失敗したと
　17日にOracleによって提出された訴状 見られる」
と述べている。なお、
Oracleから、
には、TNが、サポート資料のみならず、 この件にかかわったSAP幹部の具体的な
Oracleのアプリケーションも許可なくTN 氏名は挙げられていない。
のビジネスに利用していたと記されている。 　SAPは、
“不適切なダウンロード”
をTN
　SAPの弁護士は、Oracleの主張は誇張 がOracleから行っていた可能性を認めて
Or a cleとの訴訟問題に関する声明などを公開している
されており、訴状を
“プレスリリース”
として おり、本件が提訴された後にTNの最高幹 SAPのWebサイト （http://www.tnlawsuit.com/）

July 2008 Computerworld 27

 「Windows XPの販売終了期限は6月30日で変更なし」
NEWS
──マイクロソフトが延長報道を否定
デルは、
「ダウングレード権」
を利用して6月30日以降もWindows XPの販売を継続
　米国MicrosoftのCEO、スティーブ・バ
ルマー（Steve Ballmer）
氏は4月24日、欧
州で行った記者会見で
「顧客のフィード
バックを的確に反映することはわれわれの
企 業 理 念だが、2008年6月30日がWin
dows XPの販売期限という方針に現時点
で変更はない」
との声明を発表した。この
発言が発端となり、Windows XPの新規
ライセンスの販売終了期限の延長を同社
が再考しているとの報道が相次いだ。
　しかし、MicrosoftのPR会社である米
国Waggener Edstromの広報担当者は、
現行の計画に変更はないと報道を否定し
た。同広 報 担当者はまた、
「Windows
Vistaへの移行に、より多くの時間が必要
な一部の顧客に対し、Microsoftは適正な
便宜を図っていく」
とも語った。
「ストレージ管理の課題解決のカギは重複除外と仮想化」
INTERVIEW
ネットアップCTOのポロウスキー氏に、ストレージ管理の課題を解決に導く同社の技術／取り組みを聞く
　爆発的に増加し続ける情報への対処、
コンプライアンスや環境問題にも配慮した
情報管理の実践など、企業におけるスト
レージ管理には課題が山積している。編集
部は4月17日、米国NetAppのCTO、ブラ
イアン・ポロウスキー（Brian Pawlowski）
氏に、そうした課題に対処するための同社
の技術や取り組みについて話を聞いた。
─ ─ 情 報 量 の 増 大といった 課 題に 対し、
NetAppはどんな解決策を提供しているのか。
Pawlowski氏：これからの企業は、コン
プライアンス上の要件から、基幹業務デー
タなどを複製して長期間、保存しておく必
要に迫られる。これらの複製データは、基
幹業務データの約20倍に達すると言われ
ている。われわれは、元データの複製を作
28 Computerworld July 2008
　同氏の言う
“便宜”
とは、例えば、Win 「XPS」
で、オプションとしてVistaのDVD
dows Vista BusinessまたはUltimateを が付属する。そのため、将来ユーザーが
大量に購入した企業に与えられる
「ダウン Vistaを利用したい場合にも対応できると
グレード権」
を意味している。これは、企 いう。
業内システム環境の制約などで、以前の 　
「われわれはMicrosoftがダウングレード
バージョンのWindowsを使用する必要が 権を提供し続けるかぎり、Windows XP
ある場合を考慮して提供されるライセンス をプリインストールしたPCを販売する」
だ。 （Dellのスポークスマン）
　米国Dellのスポークスマンは4月24日、 （IDG
News Service/InfoWorld米国版）
このダウングレード権を利用することで、
Windows XP搭載PCを6月30日以降も販
売する予定であることを明らかにした。同
社は、6月30日以降に販売するWindows
XP搭載PCを、
「ダウングレード権を利用し
たVista」
という位置づけで販売する方針だ。
　Dellによると、対象となる機種は
「Lati
6月30日以降もWindows XP搭載機種として販売され
tude」
「OptiPlex」
「Precision」
「Vostro」 るLatitudeシリーズ
（写真はLatitude ATG D630）
る際に重複した部分を除外する技術を提 活用してビジネスを成功させるための重要
供している。同技術により、物理的な情報 な要素になりつつあり、今後も普及が加速
スペースを20分の1に縮小することが可能 していくだろう。NetAppは、
データセンター
だ。重複除外技術を用いることは、環境 の仮想化を進めるにあたり、米国VMware、
配慮の観点からも意義が深い。 米国Microsoft、米国Citrix Systemsの3
社と提携した。今後は各社と協力して、仮
──環境に配慮する技術として、NetApp 想化型データセンターの構築を顧客に促し
では仮想化技術にも注力しているが、最近 ていきたい。 （Computerworld）
の成果を教えてほしい。
P a w l o w s k i氏：われわれは最近、英国
の通信企業BTのデータセンターの見直しを
行い、物理サーバ3,103台を134台に集約
した。これにより、
消費電力量の削減、
スペー
スの削減などが実現した。現在、企業にお
いてサーバ仮想化の導入が急速に進んで
いる。ストレージ仮想化も含め、仮想化技
術を導入することは、企業が情報を迅速に 米国NetAppのCTO、Brian Pawlowski氏
 April, 2008

イージェネラのモンカCTOが語る

INTERVIEW
「Virtualization 2.0──データセンター全体の仮想化」
「サーバ仮想化は、データセンター全体から見れば部分的なものにすぎない」

　現在、仮想化技術の導入が企業で活 ジョンなどについて話を聞いた。 化に取り組んでいる。

発化しているが、設立当初よりデータセ
ンター全体の仮想化を推進してきたのが
米 国E g e n e r aだ。 編 集 部 は4月23日、
同社でCTOを務めるピート・モンカ
（Pete
Manca）
氏へインタビューを行い、仮想化
市場における同社の現在位置と今後のビ
　また、仮想化により複雑化したIT環境
──仮想化市場の現在の状況をどのように の運用管理も非常に重要だ。そこでわれ
とらえているか。 われは、管理ソフトの
「PAN Manager」
に
M a n c a氏：現在、各社が注力しているの より、仮想化環境を一元管理できるように
はハイパーバイザ技術が中心だ。ハイパー している。
バイザは、個々のサーバを統合するという
面では効果的だが、それはデータセンター ──仮想化市場におけるEgeneraの強みと

全体から見れば1つの側面にすぎない。わ は何か。

米国EgeneraのCTO、Pete Manca氏
れわれは、こうしたハイパーバイザを中心 M a n c a氏：われわれは仮想化市場では、
とした仮想化への取り組みを
「Virtualiza 常に革新的なポジションを維持できるよう
tion 1.0」
と呼んでいる。 に動いてきた。こうした動きの速さを実現
　当社は、そこから一歩進んだ
「Virtualiza できる1つの強みとしては、当社が比較的
tion 2.0」
というポジションに立っていると 小規模な会社だという点が挙げられる。わ
考えている。つまり、サーバ仮想化だけに れわれは素早く動ける規模であるからこそ、
とどまるのではなく、CPUやメモリ、I/O、 仮想化市場で非常によいポジションに立っ
ストレージなどデータセンター全体の仮想 ていると考えている。 （Computerworld）

ヴイエムウェア、仮想化ソフト・スイート
「VMware Infrastructure 3」
の

PRODUCTS
最新リリースを日本語化
価格別に3エディションを用意。SMB向けには低コスト性を重視した製品もラインアップ

　ヴイエムウェアは4月24日、仮想化ソフ Infrastructure 3 version 3.5の日本語化 マイグレーション機能やストレージ間で仮

トウェア・スイート
「VMware Infrastruc 対応を図ったもので、製品マニュアル／ヘ 想マシンのディスク・ファイルを移動する
ture 3」
の新版
「VMware Infrastructure ルプ画面などがすべて日本語化されてい 「VMware Storage VMotion」などを
3 version 3.5 アップデート1（日本語版）
」 る。また、サポートするハードウェアが拡 Standardの構成に加えた
「Enterpraise」
を発表した。すでに5月1日から出荷が開始 充されており、10ギガビットEthernetや （価格90万円程度）
の3エディションだ。
されている。 SAS
（Serial Attached SCSI）
ストレージ 　また、低コスト性を重視したSMB向け
　新版は、昨年12月に発表したVMware などに対応している。 製品をラインアップした。使用できるCPU
　発表された新版には、3種類のエディ 数に制限を加えるなどして価格を抑え、同
ションが用意されている。サーバ仮想化ソ 様の機能を実現する大規模向け製品より2
フト
「VMware ESX Server 3.5」
や仮想 ～3割の低価格化を図ったという。
マシンのバックアップを行う
「VMware 　ヴイエムウェアの代表取締役社長、三
Consolidated Backup」
などで構成する 木泰雄氏は、競合に対する同社製品の強
「Foundation」
（価格20万円程度）
、ハー みとして、
「競合の製品は
（仮想化環境の）
ドウェア障害の影響を受けた仮想マシンを 運用管理ソフトが充実していない。この点
自 動 的 に 再 起 動 する
「VMware High が当社とは大きく異なる。現状では、本当
Availability」
をFoundationの構成に加え の意味で競合と呼べる企業はいない」
とア
ヴイエムウェアの代表取締役社長、三木泰雄氏 た
「Standard」
（価格47万円程度）
、ライブ・ ピールした。 （Computerworld）

July 2008 Computerworld 29

 Reconside
ration : S
ecurity Manageme
nt

り”がビジネスを阻害して
“過 剰な守
いないか？─
バランスが肝心

60 Computerworld July 2008

 特集

［再考］
セキュリティ
t

・
マネジメント 要 請 に応えるべ
く、IT
いる
求められて ばかりが
った 、今 日の企業に かし な がら “守り”
、
ンスとい いる。し という
部 統 制や コンプライア 化・見 直し が叫ばれて ITの 効 果 的な活用」
内 ティの強 おける 喪失
テム にお けるセキュリ んだ 場合、 「ビジネスに 、 価 値 創出機会の
シス テーマに 臨 効率の低 下 ステ
調さ れた スタンスでこの なコ スト の発生や業務 ネ ジ ャー は 、自社ITシ
強 かり、余計 、ITマ 害
の目 的からは遠ざ こと があ る。したがって うえ で、 ビジネスを阻
本来 てしまう に把握した 特
のマ イナ ス 要素を招い ティ ・リスクを十分 い く必 要 がある。本
など なセキュ リ スをとっ て
ぼすさまざま ント・バラン 「ビジネス
ムに 影 響を 及
ュリ ティ・ マネ ジメ
務で 活 用 できるような
い、適切な
セキ ぞれの業
することのな を 信頼し、それ い。
員 が自 社 のITシ ステ ム
あら ためて検討してみた
業 について、
集では、従 キュリティ」
ため のITセ
価値を生む

July 2008 Computerworld 61

 Part

1 自社のIT／情報資産を取り巻く脅威を知り、
バランスのとれた対策を実施する

時代の要請に応える
セキュリティ
・マネジメント
「構築の実際」
企業・組織において情報セキュリティ・マネジメント体制／基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を
継続・成長させていくうえでの大前提である。本パートでは、今日求められる経営課題を踏まえながら、情報セキュリティに関するイ
ンシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応
えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。

平井哲生
みずほ情報総研 コンサルティング部マネジャー

国内の情報セキュリティに れているというのが実情だ。

関する動向
情報漏洩の85％は
「人的要因」
　今日、企業・組織が事業活動を継続していくため 　NPO日本ネットワークセキュリティ協会
（JNSA）
は
には、コア・ビジネスに関する取り組みとともに、日本 4月3日、
「2006年情報セキュリティインシデントに関す
版SOX法や個人情報保護法などへの対応で必要に る調査報告書」
を発表した。同リポートによれば、
なる内部統制の構築・強化や、コンプライアンス
（法令 2006年の1年間に発生した個人情報の漏洩事件の公
順守）
に対する全社的な意識向上などについても確実 表件数は993件
（前年比96％）
、漏洩人数
（被害者数）
に取り組んでいくことが求められている。そして、こ 約2,200万人
（前年比250％）
であった。前年比で見る
れらの経営課題のなかでも欠くことができないものの1 と、公表件数は同規模でありながら、漏洩人数が大
つが情報セキュリティ・マネジメントである。 幅に増大するという結果となった。
　2005年4月より全面施行された個人情報保護法は、 　表1は、この報告書を基に個人情報漏洩の原因を
情報セキュリティに対する社会の関心や認識を高め まとめたものである。同報告書によると、件数993件
ることとなった。同法の施行に前後して、多くの企業・ のうち85％以上が人的要因によるものであった。その
組織が自社の情報セキュリティに関する対応を行い、 内訳に目を向けると、人為ミス
（紛失・置き忘れ、目的
情報セキュリティ・マネジメントの構築に取り組んだは 外利用など）
が約30％、犯罪
（内部犯罪・不正行為や
ずである。しかし、そうした取り組みを推進したはず 不正持ち出し、盗難など）
が約30％、技術的要素のあ
の企業・組織であっても、システム障害、インターネッ る人為ミス
（設定ミス、誤操作、管理ミス）
が約25％と
トを経由した不正アクセス、個人情報をはじめとする 続き、
「Winny」
「Share」
といったP2P
（Peer-to-Peer）
重要／機密情報の漏洩・流出などの事件・事故を起 型のファイル共有／交換ソフトウェアを悪用したウイ
こすところがあとを絶たず、頻繁にメディアで報じら ルス／ワーム感染による漏洩が12％あった。

62 Computerworld July 2008

 ネジメント
・マ
］セキュリティ
特［再考
集

表1：個人情報漏洩原因の分類

要素 原因 詳細 比率 具体的事例

技術的 人為ミス 設定ミス Webサーバなどの設定ミスで外部から閲覧可能になり、機密情報が閲覧された

誤操作 24.7％ あて先まちがいにより、

メール、
ファクス、郵便の誤送信が発生した

管理ミス 情報の公開、
管理ルールが明確化されておらず、誤って開示した

OS、
アプリケーションなどのバグ、
セキュリティ・ホールにより、Webサイトなどから機密情報が閲覧可能になり漏
対策不足 バグなど 洩した

ウイルス 13.3％ ウイルス／ワームの感染により、意図に反してメールが発信され、

メール・アドレスなどの個人情報が漏洩した

不正アクセス ネットワーク経由でアクセス制御を破って侵入され、機密情報が漏洩した

人的 人為ミス 紛失・置き忘れ 電車、

飲食店など外部の場所に、PCや情報媒体などを紛失または置き忘れた
29.8％
組織ぐるみ、
もしくは組織の業務に関連して、個人情報を目的以外の用途で使用した／関係会社など、開示範囲
目的外利用 外の組織に公開した

内部犯罪 社員、派遣社員などの内部の人間が機密情報を悪用するために不正に取得して持ち出した／持ち出した情報を
犯罪 使った犯罪、売買により、漏洩した
内部不正行為
社員、派遣社員、外部委託業者、
出入り業者、元社員などが、顧客先や自宅で使用するために情報を持ち出して、
不正持ち出し 29.3％ 持ち出し先から漏洩した

盗難 車上荒らし、事務所荒らしなどにより、情報媒体とともに機密情報が盗難された

その他 その他 その他 2.9％ ダイレクト・メール封入時に他人あての文書も混入してしまった

＊資料：NPO日本ネットワークセキュリティ協会「2006年情報セキュリティインシデントに関する調査報告書」
を基に作成

　特に、ファイル共有／交換ソフトに起因した漏洩 情報セキュリティに関する
事件がここ最近、急増している。この要因では、無 標準規格／ガイドライン
断で社外に持ち出した情報を私有PCにコピーしたた
めに漏洩してしまったというケースが半分を占めてお 　ここで、企業・組織が自社のセキュリティ・マネジメ
り、それも含めれば人的要因としてとらえられる情報 ントの整備、強化を図っていくうえでの指標となる、
漏洩事件・事故は全体の90％を超えることになる。 情報セキュリティ関連の国際標準規格およびガイドラ
　漏洩経路を見ると、発生頻度の高さという点では インについて確認しておきたい。標準規格／ガイドラ
紙媒体が40％以上あったが、大規模な情報の漏洩と インは大きく、
「技術的対策を主としたもの」
「組織的対
いう点ではファイル共有／交換ソフトやUSBメモリな 策を主としたもの」
「リスク評価に関するもの」
という3
どのリムーバブル・メディアによる持ち出しに起因する つのグループに分類することができる。以下、それぞ
ものが多くなっていることも特徴である。 れについて説明する。
　なお、同報告書では、個人情報漏洩事件に対する
想定損害賠償額算定式の検討も行っており、リスク 技術的対策を主としたガイドライン
の定量化を試みている。
企業・組織の情報セキュリティ 　1つ目は、コモンクライテリア
（Common Criteria：
責任者にとっては、セキュリティ・リスクと対策にかか CC）
を中心とした技術的対策が主なテーマとなってい
るコストとの関係を整理し、バランスのとれた効果的 る標準規格で、ISO/IEC 15408およびその国内規
な取り組みを進めるうえで参考になる資料と言える。 格であるJIS X 5070などが含まれる。ITで防ぐこと

July 2008 Computerworld 63

 P a r t 1 │ 時 代 の 要 請 に 応 え る セ キ ュ リ テ ィ・ マ ネ ジ メ ン ト「 構 築 の 実 際 」

のできる脅威を対象としており、IT製品やシステムの
セキュリティを評価・保証する7段階からなるレベル
（EAL：Evaluation Assurance Level）
を規定し、
それぞれにIT製品やシステムがその中の特定のレベ
ルの条件を満たすかどうかを評価するような仕組みを
（Side Storyを参照）
提供している 。 の策定、その管理作業の実施、有効性の評価にまで
組織的対策を主としたガイドライン
　2つ目は、組織的対策が主なテーマとなっている標
準規格で、ISO/IEC 27001がその代表格だ。ベー
スとなったのは英国規格協会
（BSI）
によって標準化さ
れたBS 7799で、これが国際標準化された。
　ISO/IEC 15408がIT製品やシステムのセキュリ
ティという特定の範囲に着目しているのに対し、ISO/
IEC 27001は、組織としてのセキュリティ・ポリシー
言及したものとなっており、CIA
（Confidentiality：
機密性、Integrity：完全性、Availability：可用性）
の3項目を管理、維持することを主眼としている。国
内では、ISMS適 合 性認 証 制 度の認 証 基 準
（JIS

活用が進みつつあるセキュリティ国際規格
「ISO/IEC 15408」
金子浩之
みずほ情報総研 情報セキュリティ評価室長

　ISO/IEC 15408は、IT製品やシステムが備えるべきセキュリティ システムを調達する際に、CC認証製品をシステムの構成要素として

機能の設計・実装状況を評価するための国際規格であり、欧米各国 選択することなどが定められている。ST確認制度とは、
「セキュリティ
で利用されるITセキュリティ評価の共通基準であるコモンクライテリア ターゲット
（ST）
」というセキュリティ基本設計文書と機能設計書を評
（Common Criteria：CC）
を国際規格としたものである。 価機関に提出し、その評価結果を認証機関
（IPA）
が検証してST確認
　日本では、独立行政法人情報処理推進機構
（IPA）
を認証機関とす 証を付与する制度であり、ITセキュリティ評価認証制度の一部をなし
る
「ITセキュリティ評価及び認証制度」
に適用され、IT製品ベンダーや ている。
ITサービス／システム・プロバイダーが開発した製品／システムを第 　各府省庁は、この基準に従ってシステム調達を進めており、情報シ
三者である評価機関が評価し、その結果を認証機関が検証すること ステムの設計・構築を担当するSIerはSTを作成し、STの評価、確認
によって認証が与えられる
（一般に、CC認証と呼ばれる）
。 を受ける対応を行うことになる。またソフトウェア調達などに応札する
Side Story

　現 在、評 価 機 関として、ITSC、ECSEC、みずほ情 報 総 研、 ベンダーも、CC認証取得を受けた製品のラインアップを進めている。

TÜViTの4つの機関が認定を受けている。このCC認証の特色は、各 特にデジタル複合機の分野では、多くのベンダーがCC認証製品をそ
国の評価・認証制度で受けた認証が、CCRA
（Common Criteria ろえている。
Recognition Arrangement：CCを相互認証するスキーム）
加盟国の
間で相互承認されることにある。 民間での活用効果が現れる
　民間では、情報基盤強化税制の恩恵を受け、新たな情報システム
国内での活用推進のカギとなる2つの背景 の導入にこの制度を利用して、かなりの額の減税効果を得た企業があ
　これまでにCC認証された製品分野は、OS、DBMS、ファイアウォー る。この税制は、部門間、企業間で情報共有・活用を促進する情報
ル、ICチップ、スマートカード、デジタル複合機、PKI
（公開鍵暗号基 システム投資において、セキュリティが保証されたCC認証製品
（OS、
盤）
製品など多岐にわたる。現在までに、全世界で約900製品が認証 DBMS、ファイアウォールに限定）
を購入した場合に、税額控除や特
を受けている。欧米各国の政府調達において、ISO/IEC 15408など 別償却が選択的に認められるものである。この情報基盤強化税制は、
で認証を得た民生品の調達を推し進めていることから、認証取得はさ 平成20年度も継続される見込みであり、中堅・中小企業にとって、よ
まざまな製品分野への広がりを見せている。 り適用しやすい条件に変更される予定である。
　日本でこのCC認証製品の活用が進む背景には、2つのカギとなる
政策が関連する。1つは、政府機関の情報セキュリティ対策の基準を CC認証製品を利用する場合のポイント
定めるために、2005年に策定された
「政府機関の情報セキュリティ対 　情報システムのうち、セキュリティ上重要な部分の製品をCC認証
策のための統一基準」
である。そしてもう1つは、平成18年
（2006年） 製品から選択することで、第三者によってセキュリティを検証された
度税制改正において、産業競争力向上のために創設された情報基盤 製品であることの安心感を得ることができる。ただし、CC認証製品の
強化税制である。 導入を検討する場合、認証機関などが公開するその製品の認証報告
書やSTを参照し、そのシステムの運用環境と同等の条件で評価され
政府機関でどのように使われているか たものであるかどうかを確認することが望ましい。検証された条件が、
　政府機関統一基準には、調達するシステムそのもの、またはそのシ そのシステムの環境条件と異なっていたり、必要なセキュリティ機能
ステムのために開発するソフトウェアに対するST確認制度の活用や、 が評価の対象となっていなかったりする場合もあるためだ。

64 Computerworld July 2008

 ネジメント
・マ
］セキュリティ
［再考
集
特

Q27001:2006。ISO/IEC 27001:2005をJIS化した 図1：リスク評価のステップ

もの）
として広く知られており、2008年4月25日現在で
現状調査
2,641件の認証登録がある。

リスク評価に関するガイドライン 脅威の調査 重要性の分類

　3つ目は、情報セキュリティ・マネジメントの実現に
あたって必要となるリスク評価
（リスク・アセスメント）
脅威の発生頻度および
などの具体的な方法などを示すガイドラインで、ISO/ 発生時の被害の大きさ
管理水準の設定

IEC TR 13335（GMITS：The Guidelines for the

management of IT Security）
などが含まれる。リス
対応策の検討・策定
ク評価は、情報セキュリティの仕組みを構築するうえ
で、重要かつ対応に時間を要する取り組みである。
　一般にリスクの算出・定量化は、
「予想損失額と発
生確率の積」
で表すことができる。リスク評価の作業 リティ責任者は、組織の現状を考慮し、実態に合っ
では、リスクに対する査定を行い、適切で信頼できる た対策を選択できるようになる。
情報セキュリティ対策を選択することになるが、その 　元は政府機関向けに整備された基準であるが、情
ためには、予想損失額といった定量的な評価指標だ 報セキュリティ・マネジメントの構築、強化、見直しな
けではなく、情報資産の価値、重要度の分類、それ どに取り組もうとする一般企業においても、ガイドラ
に対する脅威の特定、それらの脅威を引き起こす要 インとして大いに参考になると思われる。
因、脅威に対する管理策の弱点
（脆弱性）
を適切に評
価・分析する必要がある
（図1）
。 セキュリティ・マネジメントの
　このような項目を整理・体系化し、詳細に解説をし 構築における基本的な考え方
ているのが、技術報告書のISO/IEC TR 13335であ
る
（TRはTechnical Reportの略）
。 　ここでは、情報セキュリティ・マネジメントの構築・
強化に着手する際に基本となる考え方やスタンスを整
　最近、公表されたものでは、2008年2月に改定され 理しておきたい。
た、内閣官房情報セキュリティセンター（NISC）
の「政
府機関の情報セキュリティ対策のための統一基準
（第 ①情報セキュリティの特徴を理解したバランスのと
3版）
（情報セキュリティ政策会議）
」 に注目したい。 れた対応を進める
　同基準は、政府機関全体の情報セキュリティ対策 　情報セキュリティに関する取り組みを進めるには、
を強化・拡充するために、
各機関が行うべき情報セキュ その特徴を理解したバランスのとれた合理的な対策
リティ対策の統一的な枠組みを構築し、各府省庁の を行うことが重要である
（66ページの図2）
。
情報セキュリティ水準の斉一的な引き上げを図ること 　セキュリティ対策の強化を推し進めていけば、それ
を目指したものである。個人情報漏洩などの情報セ に伴いリスクは軽減され、安全性は高まっていく。し
キュリティ侵害の状況や新たな技術動向、国際標準 かし反面、対策の実施にかかるコストは増大し、業務
規格などを踏まえた見直しがなされ、より具体的な内 の利便性や効率性を損ねる面も出てくる。したがって、
容を示し、情報セキュリティ対策を強化したものに このようなトレードオフ
（利益相反）
の関係を十分に認
なっている。また、
「基本遵守事項」
と「強化遵守事項」 識したうえで適度にバランスのとれた対策を行うこと
と呼ばれる対策レベルも明示されており、情報セキュ が重要となる。対策が過剰なものとなり、本来の事業

July 2008 Computerworld 65

 P a r t 1 │ 時 代 の 要 請 に 応 え る セ キ ュ リ テ ィ・ マ ネ ジ メ ン ト「 構 築 の 実 際 」
図2：情報セキュリティ対策に取り組むうえで重要な
「バランス」
対策にかかるコストとリスク量は 安全性と利便性は
トレードオフの関係 トレードオフの関係
情報セキュリティ・マネジメントを構築
 トップ・マネジメントの関与による総合的視点や経営判断が必要
リスクをゼロにすることは不可能 対策のカギは、技術上の問題
→何らかの割り切りが必要 よりも管理上の問題
活動に悪影響を与えてしまうようであれば、ビジネス
におけるIT活用の本質を見失っていることになる。
　企業・組織にとって重要な情報資産であれば、
当然、
可能なかぎりリスクを低減する対策を行うことになる。
だが、そうであったとしてもリスクを完全にゼロにする
ことは不可能であり、残存するリスクに対してどこか
で割り切ることを考えなければならない。
②セキュリティ対策のカギとなる人的対策を適切に
実施する
　上述した報告書の結果からわかるように、セキュリ
ティ対策でカギを握るのは人的要因である。そこで情
報資産の取り扱い1つ1つを組織内に周知徹底し、認
識不足や不注意、誤りなどの発生を極力、低減する
ことが重要となってくる。繰り返しになるが、自社で
の情報セキュリティ対策の成否を決めるのは、技術
的対策より、むしろ人的対策なのである。
③経営層が関与するトップダウン型の組織体制を
整備する
　①に示した、バランスのとれたセキュリティ対策を
推進するには、企業・組織の総合的視点や経営判断
が必要になってくる。ある対策と、ある事業部門の利
便性や効率性を追求した事業活動とがトレードオフの
関係になるといったケースは多くあるが、
こうした場合、
企業・組織の総合的視点に立った判断を下す立場の
トップ・マネジメントがしっかりと関与した推進体制を
整備できるかどうかが重要となる。
66 Computerworld July 2008
④IT部門だけでなく、全社的な取り組みであること
を周知する
　情報セキュリティ対策では、IT部門が推進の中心
的な存在になることが多い。だが、個人情報の漏洩
などのセキュリティ・リスクは主に、実際に情報にアク
セスし、活用する事業部門
（支社や支店を含む）
に存
在するため、当然、IT部門にまかせっきりで済む話
ではない。企業・組織としての全社的な取り組みであ
るというスタンスを明確にしたうえで実践していくこと
を広く周知する必要があろう。
⑤企業・組織ごとにとるべき対策・対応が異なるこ
とを認識する
　情報セキュリティ対策は画一的なものではなく、企
業・組織の保有する情報や組織の規模や体制などに
よって、
大きく異なるものである。上述した標準規格／
ガイドラインに準拠するにしても、とるべき対策の具
体的な指南まではされていないし、他の企業・組織で
整備した情報セキュリティ対策をそのまま持ってくれ
ば済むという話でもない。
　つまり、業務形態、ネットワークやシステムの構成、
情報資産の格納方法などITインフラ／システムの状
況を正しく把握したうえで、適切な情報セキュリティ
の指針・ポリシーを策定し、実効性の高い情報セキュ
リティ・マネジメントを行っていく必要があるのだ。
セキュリティ・マネジメントの
構築におけるポイント
　前節で述べた情報セキュリティ・マネジメントの構
築・強化における基本的な考え方を念頭に置きながら、
以下で、それを実際に行っていく際に留意すべきポイ
ントを挙げていく。
①情報資産の識別と重要度別分類を行う
　まずは自社で管理対象となる情報資産とは何かを
明確にする。ここから実際の作業が始まる。一口に企
業・組織の情報資産といってもさまざまなものがある。
情報
（電子情報、記録媒体、出力帳票、記録文書など）
 ネジメント
・マ
］セキュリティ
特［再考
集

表2：情報資産を取り巻く脅威とその対策例

区分 脅威の例 対策の例

物理的・ 天災や火災など 建物の立地条件や構造から考慮した対策実施など

環境的

故障や経年劣化 使用環境改善
（空調、埃・水漏対策など）、機器の更新、点検実施など

破壊や盗難 設置場所への入退室制御、施錠、管理簿記帳、定期的な棚卸など

技術的 不正アクセス、不正侵入 ファイアウォール、侵入検知ソフト、

ファイル整合性チェック・ソフトの活用など
（ネットワークや
システム関連）
ネットワーク盗聴 スイッチング・ハブ、暗号化通信導入、
ネットワーク監視など

ウイルス／ワーム ウイルス／ワーム対策ソフトや侵入検知ソフトの活用、最新情報への更新など

Web改竄、
不正中継、 侵入検知ソフト、
ファイル整合性チェック・ソフトの活用など
サービス停止攻撃
OS、
アプリケーションの
最新のセキュリティ情報チェック、重要問題発見時の早急な対策、定期的なシステム更新チェックなど
脆弱性問題

ソフトウェアのバグや セキュリティ要件を考慮した設計、計画的更新、試験環境での十分な事前検証など
システム更新

システムの
定期的かつ確実なデータ取得、取得データ管理、
リストア手順訓練など
バックアップ

人的 組織や体制の問題 セキュリティを考慮した組織体制の確立、定期監査、見直し実施など

設定・運用ミス 事前検証、
ドキュメント整備・更新、相互チェック、更新履歴保管など

機密情報漏洩、 事前教育、不正検出可能であることの明示（牽制）、複数名による管理、定期的な職務異動など
ソーシャル・エンジニアリング

業務外利用や悪用 事前教育、職務に応じたサービス制限、
メールや参照可能サイトのフィルタリング、定期的な統計結果など

および情報を管理する情報システム、ネットワーク、
システム開発、運用および保守の資料など多岐にわ
たり、電子情報や特定の情報システムを指しているも
のではない。これらの情報資産の中から、自社におい
て真に守らなければならない重要な情報資産を識別
する必要がある。識別にあたっては、自社の事業活
動にもたらす価値の高さ、機密性の高さ、法的要求
事項などを考慮し、数段階に分類することになる。
②情報資産を取り巻く脅威を認識する
　重要な情報資産の識別・分類を終えたら、次にそ
れを取り巻く脅威について洗い出し、把握する必要
がある。筆者の所属するみずほ情報総研で、これま
でに収集した情報セキュリティに関連する事件・事故
などの情報から、脅威とその対策例を整理・分類して
いるので参考にされたい
（表2）
。
　情報セキュリティに関する脅威と聞くと、不正アク
セスや不正侵入、ウイルス／ワーム感染などがまず思
い浮かぶ方が多いと思われる。だが実際には、表2に
示すとおり、天災や事故といった物理的・環境的なも
のから、OS／アプリケーションの脆弱性やソフトウェ
アのバグといった技術的なもの、そして、設定・運用
ミスや悪用などの人的なものまで、さまざまな種類の
脅威が含まれる。
　脅威に対する認識が甘く、個人情報漏洩のような
事故を起こしてしまうと、顧客や取引関係にある企業・
個人に不利益や精神的苦痛を負わせたり、企業・組
織の社会的信用が損なわれたりと、組織の存続自体
が危ぶまれるような事態に陥ることすらあることを、あ
らためて心に留めていただきたい。

July 2008 Computerworld 67

 P a r t 1 │ 時 代 の 要 請 に 応 え る セ キ ュ リ テ ィ・ マ ネ ジ メ ン ト「 構 築 の 実 際 」
図3：情報セキュリティ・マネジメント体制の例
情報セキュリティ最高責任者（CSO）
委員会
情報セキュリティ責任者（セキュリティ・マネジャー）
外部専門家
情報セキュリティ管理会議 （セキュリティ・コンサルタントなど）
監査
情報管理責任者
情報利用者
③情報セキュリティ・マネジメントの推進体制を整
備する
　情報セキュリティ・マネジメントの推進体制にトッ
プ・マネジメントの関与が必要なことは前に述べたが、
さまざまな取り組みを企業・組織全体に周知し、順守
させるには、役割と責任を明確にした体制を整えてお
く必要がある
（図3）
。 るようにマネジメントしながら対応することが求められ
　情報セキュリティ・マネジメント推進組織の形態と
しては、委員会型と専任部門型の2つが考えられ、ど
ちらの形態をとるかは、組織の風土・文化を考慮する
必要がある。
　委員会型は、組織を構成するさまざまな部門の従
業員が参加し、懸案事項を協議して推進する形態で
ある。この形態の場合、関係者の意見を反映した取
り組みを実施できる一方で、総意を形成するために
時間がかかり、また委員会メンバーの情報セキュリ
ティに対する認識レベルによっては、有効な議論がさ
れないという欠点がある。
　専任部門型は、情報セキュリティ対策課や情報リ
スク管理室といった組織を新たに設置するものだ。こ
の形態では、懸案事項の検討・決定が迅速に行われ
る一方で、実際の運用を行う各部の情報管理者との
間に起きる意見の相違を極力、解消する努力が必要
となる。
68 Computerworld July 2008
Plan
・基本方針や対策基準を策定する
・組織全体の取り組み内容に責任を持つ
Check & Action
・改善点の調査、見直し。改善点の指導を行う
Do
・責任者の定めた基本方針、対策基準に従い、
一般職員に実施、順守させる
・日常的に検査を行う
Do
・手順書に従い、業務を遂行する
④情報セキュリティ・マネジメントのよりどころとな
る文書を整備する
　②で確認した脅威には、物理的・環境的、技術的、
人的なものがあるが、より効率的・効果的な情報セキュ
リティ対策を実現するためには、それぞれが独立した
ものとして対応するのではなく、相互補完の関係にな
る。実効性を高めるには、特に人的な対策が重要と
なることは、これまでに述べたとおりだ。
　この人的な対策を推進するため、企業・組織の情
報セキュリティに対する考え方、取り組み姿勢、情
報資産の具体的な取り扱いを規定したものが、情報
セキュリティ・ポリシーをはじめとする情報セキュリ
ティ関連のルールの文書である
（図4）
。
　すでに多くの企業・組織で、情報セキュリティ・マ
ネジメントにまつわる一連の事項を文書化し、取り組
みのよりどころとして整備していることと思うが、それ
が現在でも実効性を維持したものでなければ存在の
意味がなくなってしまう。もし、これらの文書が形骸
化したものになっているならば、直ちに見直しをかけ
る必要がある。
⑤情報セキュリティ・マネジメントを定着させる
　情報セキュリティ対策は、企業・組織の情報資産
 ネジメント
・マ
］セキュリティ
［再考
集
特

図4：情報セキュリティ関連の文書

組織の理念
基本方針
（Policy）
情報セキュリティ・ポリシー （組織の規則）
経営者の基本方針・宣言
個人情報保護方針 整合 就業規則
組織規則など

対策基準
（法律など）
（Standard） 情報セキュリティ対策基準
個人情報保護規程 準拠 個人情報保護法
対象範囲の明記、 不正アクセス禁止法など
すべての規程

実施手順 （ガイドラインなど）
（Procedure） 情報セキュリティ管理手順書 委託先の管理に係る手続 参照
利用に係る手続
対象者や用途により、
手順などを具体的に記述 開示などの請求に係る手続

を取り扱うすべての者
（経営層、派遣スタッフも含む 図5：PDCAサイクルによるスパイラルアップ

従業員など）
に周知し、順守させることになる。
　周知には、教育研修、社内通達、社内報などによ
る情報伝達など複数の手段がある。集合研修のよう
に直接、周知できれば効果も高いであろう。人員規
模や拠点数を考慮し、eラーニング研修を導入してい Act 継続的に実施 Plan
る企業・組織も近年では増えている。
Check Do
　順守、定着化には、定期的なモニタリングが必要
である。情報セキュリティ関連のルールに従っている Act Plan
かを各部で自主点検したり、業務監査事項に情報セ 見直し改善 体制整備

キュリティ関連の内容を含めて監査したりといった施 Check Do
監査 実施
策により、有効性を評価する。
　評価結果から、現行のルールを改善する必要があ
れば、当然、それへの早期対応が必要になる。情報
セキュリティ・マネジメントは、自社のビジネスとITの
現状を正しく認識し、情報セキュリティに関するリス 本来のビジネスに関する活動と、情報セキュリティ・
クをとらえて、適切な対応を進めていくことで構築さ マネジメントをはじめとする内部統制やリスク管理に
れるものであり、PDCA
（Plan-Do-Check-Act）
サイ 関する活動は、両翼に搭載されたエンジンと見ること
クルを意識した継続的なスパイラルアップ
（図5）
を実 ができる。企業・組織が目指す地点に向かって前進
現する仕組みが整っていなければ、すぐに陳腐化し するには、この両翼のエンジンのどちらか一方の推進
てしまうのである。 力が強すぎたり、弱すぎたりすることなく、バランス
よく機能させ、さまざまな環境変化に適時に対応しな
＊　　＊　　＊
がら、力強く継続して前進するものでなければならな
　昨今の企業・組織の活動を航空機に例えるならば、 いのである。

July 2008 Computerworld 69

 Part

2 巧妙化が極まるクラッキング、
増え続ける攻撃の手口

ネットワーク・セキュリティ
最新の脅威とその対策
最近、正規のWebサイトを改竄してマルウェア感染サイトに誘導する攻撃が多発している。セキュリティの脅威の目的が営利化した
結果、換金が容易なインターネット・ユーザーのアカウント情報が狙われるようになったからである。このような脅威に対して、企業・
組織はどのような対策を講じればよいのだろうか。本パートでは、ネットワーク・セキュリティ環境を取り巻く現状とリスクを明らかに
したうえで、最新の脅威に立ち向かうための具体的方策を提起したい。

武田圭史
カーネギーメロン大学大学院 情報セキュリティ研究科
（日本校）
教授

脅威の「営利目的化」で とにしたい。

引き起こされる問題
潜在する情報リスクを
　
「セキュリティ脅威の動機が、愉快犯から営利目的 正しく認識する
に変化している」
と言われるようになって久しい。確
かに破壊的なウイルス／ワーム感染による被害の報 　情報セキュリティ対策を講じるにあたって最も重要
道は減少し、詐欺的なソフトウェアや迷惑メールの送 なポイントの1つが、情報リスクを正しく認識すること
信によって引き起こされる金銭的被害が多く見られる である。それには外部からの意図的な攻撃や、内部
ようになっている。さまざまな情報セキュリティ・ベン 犯行、不慮の事故や地震・災害などさまざまな事象が
ダーや政府関連団体が
「営利目的化する脅威」
につい 含まれる。他社の事例などを鑑みて、組織が実際に
て警報を発しているが、企業側では、それによって どのような脅威によって被害を受けているのかを正し
具体的にどのような問題が引き起こされるのか、また、 く認識することは、情報セキュリティのリスク管理の
どのような対応が必要なのかという点で理解が浸透し 基礎となるはずだが、これをうまく実行できている組
ているとは言い難い。むしろ、現在の企業環境にお 織は少ない。
ける情報セキュリティの現実問題と言えば、Winnyな 　日本国内における脅威動向など、セキュリティに関
どのファイル交換ソフトによる情報漏洩、メールの誤 する情報の多くはセキュリティ・ベンダーやセキュリ
送信、PCの盗難・紛失などが筆頭に挙がるだろう。 ティ関連団体などが出所となっている。だが、
こういっ
　そこで本稿では、企業のネットワーク・セキュリティ た情報はベンダーの製品やサービス、組織の事業展
環境の脅威の現状を概観したうえで、それらが企業 開など、発信元となるセキュリティ組織の関心ある事
にどのような影響を及ぼしているのかを解説し、さら 項に偏りがちであり、必ずしも潜在的な被害者である
に最新の脅威に対抗するための具体的方策を示すこ 企業の立場に立ったものばかりではないので注意が

70 Computerworld July 2008

 ネジメント
・マ
］セキュリティ
［再考
集
特

必要だ。企業のセキュリティ担当者としては、そうし 図1：報道された情報セキュリティ事故種別の割合

た情報を鵜呑みにするのではなく、示されたデータに 2006年に報道された情報セキュリティ事故種別の割合（計216件）
潜む現実を読み取り、自社の立場から問題をとらえ その他 1.9%
ターゲテッド・アタック 1.4%
直すことが重要である。 Winny/Shareを介した
サービス妨害 1.9% 情報漏洩
　図1は企業や官公庁などの組織において発生した システム障害 2.3%
情報セキュリティ事故について種別ごとの割合を示し 業務ミス 2.3%

たものである。2006年と2007年に発生した事件・事 不正アクセス 2.8%

設定ミス
故を対象に、当事者となった組織がWebに公開した 3.2%
フィッシング
情報と複数のメディアの報道から集計した。対象が 3.2%
ウイルス感染
公開情報に限定されるため、必ずしも情報セキュリ 3.7%
ティの全体的な傾向を示しているとは言えないが、情 内部犯行 4.6% 49.5%
報セキュリティの脅威を把握するための参考とするこ
Webアプリ脆弱性 5.1%
とができるだろう。
　2007年に報道された情報セキュリティ事件・事故 情報紛失
7.9%
のうち、最も多かったのが
「Winny/Shareなどの匿名
10.2%
ファイル共有ソフトを介した情報漏洩」
である。これ
メーリングリスト関連ミス
は2006年の49.5％から若干の減少が見られるものの、
2007年も43.8％と変わらず大きな割合を占めている。 2007年に報道された情報セキュリティ事故種別の割合（計144件）
　次いで多かったのは
「不正アクセス」
で、全体の Webアプリ脆弱性 0.7% 0.0%
ターゲテッド・アタック
12.5％を占めた。前年
（2.8％・9位）
から大きく順位が サービス妨害 2.1%

上がったが、これは2007年後半から2008年にかけて ウイルス感染 2.1%

Winny/Shareを介した
システム障害 2.8% 情報漏洩
大手企業などのWebサイトが改竄されて不正プログラ
フィッシング 2.8%
ムが混入するといった事件が増加したためと思われ
メーリングリスト関連ミス 2.8%
る。これについては次章で詳しく解説する。 業務ミス
　3番目に多かったのが
「情報紛失・盗難
（10.4％）
」。
3.5%
内部犯行 4.2%
重要な情報を格納したPCやハードディスク、USBメ
その他 5.6% 43.8%
モリなどを紛失した、あるいは盗まれたというケース
である。これは2006年の3位
（7.9％）
と変わらず上位
にランクインしている。そのほか
「設定ミス
（6.9％）
」が4 設定ミス 6.9%

位、
「内部犯行
（4.2％）
」が6位と続いた。
10.4%
　冒頭でも触れたように、実際、企業のセキュリティ 情報紛失

担当者へのヒアリングでも
「ファイル共有ソフトでの情
12.5%

報漏洩」
、
「設定ミスや業務ミス」
、
「PC等の盗難・紛失」 不正アクセス

などが組織の気になる脅威として認識されている。
2006年の時点においては、不正アクセスやウイルス／
ワーム感染といった悪意を持つハッカー／クラッカー
による意図的な攻撃よりも、職員やスタッフによるミ
スが脅威の大半を占めていたが、2007年では不正ア
クセスや内部犯行といった意図的な脅威が割合を伸
ばしており、営利目的化する脅威という傾向と一致し
ている。ただし実際の状況は、
「企業の内部情報を狙
う悪意を持ったハッカーが社内ネットワークに侵入し
てくる」
といったステレオタイプな攻撃とは事情が異な

July 2008 Computerworld 71

 P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策
るので注意が必要だ。この辺りの状況については次
節以降で詳しく解説する。
Webサイト改竄による
不正プログラムの配布
　営利目的化する脅威の実態を理解するには、どの
ような仕組みで攻撃者が金銭的な利益を得ているか
を理解する必要がある。
　現在、攻撃者が主なターゲットとしているのは、企
業などの組織ではなく、セキュリティ対策について十
分な対策を講じていない一般のエンドユーザーである
場合が多い。経済的な利益を得ることを目的とする
攻撃者にとっては、リスクが少なく手間がかからない
方法で稼げるほうが望ましい。仮に企業秘密などの
内部情報を盗み出したとしても、その情報に興味を
持つ競合他社などを探し出して販売するのは、手間
がかかるうえリスクも大きい。したがって、盗み出し
たあとで販売経路に乗せやすいコンテンツが、攻撃
図2：Webサイト改竄による不正プログラムの配布
メジャーなサイト
SQL
インジェクション コンテンツの改竄
攻撃者
不正コード・ダウンロード 不正コード・ダウンロード
72 Computerworld July 2008
者にとって魅力のあるターゲットとなる。具体的には、
オンライン・ゲームのアカウント情報、クレジットカー
ド番号、オンライン・バンキングのアカウント情報、踏
み台として利用可能なホストのアカウント情報、スパ
ム・メールの宛先となる電子メール・アドレス、などが
挙げられる。
　アカウント情報の取り引きは、ネットを通じて容易
に完了できるうえ、金銭のやり取りも、オンライン・ゲー
ム内のアイテムなどを現金で売買するリアルマネー・ト
レード
（RMT）
サービスなどの市場を悪用することで、
追跡が困難になる。
　ターゲットとなるアカウント情報を取り扱う企業の
サーバは、攻撃者にとって宝の山となるわけだが、通
常、そのような企業はセキュリティ対策についてもそ
れなりの体制を整えている。攻撃者としては、当然、
対策の甘い個人ユーザーから広く浅く情報を集めた
ほうがリスクも少なく効率もよいため、主な攻撃対象
は往々にして個人のエンドユーザーとなりがちだ。
　エンドユーザーからアカウント情報を引き出すため
には、キーロガーを仕掛けてホスト上でのキー操作を
監視し、ユーザーが入力するアカウント
（ID／パスワー
ド）
やクレジットカード番号などを外部へ転送する、あ
るいは、ホスト上のファイルから目的の情報を盗み出
すスパイウェアをインストールする、外部からログイン
してホスト上であらゆる操作を実行可能にするバック
ドアを設置する、といった手法が用いられる。
　かつてこのような悪意あるツールを配布する手段と
して自己複製能力を持つウイルス／ワームが使用され
ていたが、ウイルス／ワームの場合、感染が広がると
すぐにウイルス対策ソフトの検知パターンに登録され、
感染がある一定レベルで頭打ちになるため効率が悪
い。つまり攻撃者としては、ウイルス対策ソフトが対
応するまでの間に効率よく不正なプログラムを拡散さ
せる必要がある。
　そのような背景の下、2007年の後半ごろから急増
しているのが、
正規のサイトの脆弱性を突いてWebペー
ジを書き換え、サイトにアクセスしたユーザーに不正プ
ログラムをダウンロードさせるという手口だ
（図2）
。この
手口自体は数年前から存在していたが、このところ被
 ネジメント
・マ
］セキュリティ
［再考
集
特

害が急増しており、多数のユーザーが訪れる大手の 画面1：改竄され不正なコードが埋め込まれているサイトの検索結果の例

Webサイトなどが標的として狙われる傾向がある。
　具体的には、自動化されたツールを用いてWebア
プリケーションのSQLインジェクションの脆弱性を効
率よく探し出し、SQLインジェクションを用いてWeb
ページのコンテンツを書き換える。書き換えられたペー
ジには、
JavaScriptによる不正コードや、
iframeを使っ
て外部の不正なコードを参照させる悪質なタグが埋め
込まれる。そうしたページにアクセスしたユーザーは、
知らないうちに不正なコードを含むファイルを開くこと
となり、それによって、エンドユーザーのホストの脆
弱性を突いた不正な処理が実行され、情報を盗み出
すためのキーロガーやスパイウェア、バックドアなど
が設置されるなど、さらなる攻撃の足がかりとして利
用される。
　この攻撃の特徴は、サーバ自体が保有する情報は
攻撃に関係がなく、多くのユーザーがアクセスするサ
イトであればよいということだ。つまり、不正プログラ
ムの大量配布をもくろむ攻撃者にとっては、利用者の
多いWebサイトであることが利用価値の高いサーバと
なるため、企業側は、たとえ自社のWebサイトが重要 ただし、不正なプログラムを送りつけるだけではユー
情報を持っていなかったとしても、攻撃を媒介する場 ザーに実行させることはできないため、何らかの有用
として悪用される可能性があることを認識しておかな なプログラムやデータに見せかけて送信されるケース
ければならない。2008年4月現在、世界中でこういっ が多い。
た攻撃の被害が確認されており
（画面1）
、今後も不正 　このようにファイルが本来持つ機能のほかに不正な
プログラムの配布目的で、SQLインジェクションだけ 目的のコードを含むファイルは
「トロイの木馬
（Trojan
でなくさまざまな脆弱性を狙ったWebサイト改竄事件 Horse）
」あるいは略して
「トロイ
（Trojan）
」と呼ばれる。
が発生することが考えられる。 　トロイにはさまざまな機能を持たせることができるが、
営利目的のトロイでは各種アカウント情報を盗み出すス

国内での蔓延も懸念される パイウェア機能や、不正プログラムを生成する機能
（ド

スパム型トロイ攻撃
　前項で述べたように、営利を目的とした攻撃者は、
エンドユーザーのPCから情報を盗み出すプログラム
を、短時間に最小限のリスクで効率よく実行させたい
と考えている。このような不正なコードを多数のユー
ザーに配布する方法としては、前項のほか、スパム・
メールを送信する要領で多くのメール・アドレスに対
して一斉に不正なプログラムを送りつける方法がある。
ロッパー機能）
、インターネット上の特定のアドレスから
他の不正なプログラムをダウンロードする機能
（ダウン
ローダ機能）
などを有するのが一般的である。また、ト
ロイは自己増殖の機能を持たない点においてコン
ピュータ・ウイルスとは異なるが、ベンダー情報や報道
などではこれらを明確に区別せず記述されることが少
なくない。
　このようなトロイをメールで大量送信する攻撃方法
が、
「スパム型トロイ攻撃
（Spam Trojan Attack）
」あ

July 2008 Computerworld 73

 P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策

図3：スパム型トロイ攻撃の概念図

キーロガー
悪意あるサイト バックドア

ダウンロード
（各端末へ）

攻撃者

るいは
「大規模トロイ攻撃
（Massive Trojan Attack）
」 能しか持たないウイルス対策ソフトでは検知すること
などと呼ばれものである
（図3）
。攻撃に使用されるトロ が難しい。ウイルス対策ソフトがパターン・ファイルを
イは実行ファイルの場合もあれば、オフィス・ソフトの リリースするころには、新たに改変された別の不正プ
文書ファイルやPDFなど特定ソフトのデータ形式の ログラムが使用されることとなる。また、こうした不正
場合もある。データ形式の場合はこれらを使用するア プログラムの生成自体が自動的に行われるため、新た
プリケーションの既知または未知
（公知ではない）
の脆 な不正プログラムが次々と生成され続けていくのであ
弱性を悪用することにより不正な処理を行う。実行 る。
ファイルの場合は、メールの本文に
「自己解凍形式の 　スパム型トロイ攻撃は本文と添付ファイルの形式で
実行ファイルを添付したので、添付ファイルを実行し 送付される。このような攻撃は以前より存在していた
て内容を確認してほしい」
などと、そのファイルを実行 が、英語のメッセージと共に海外から送信されること
したくなるようなメッセージが記載される場合が多い。 が多かったため、
日本での被害は限定的なものだった。
　スパム型トロイ攻撃で使用される不正プログラム 数年前より徐々に日本語によるスパム型トロイ攻撃が
は、基本的に使い捨てとなることを前提としている。 出現しているが、海外から送信されたものは明らかに
攻撃が行われた時点において攻撃コードは、ウイルス 機械翻訳されたような稚拙な日本語が用いられている
対策ソフトの観点からは未知のウイルスという位置づ ことが多く、不正なメッセージであることを容易に見
けとなるため、ウイルス定義ファイルに基づく検知機 破ることができた。2007年後半ごろからはメッセージ

74 Computerworld July 2008

 ネジメント
・マ
］セキュリティ
［再考
集
特

図4：標的型トロイ攻撃の概念図

悪意あるサイト

キーロガー
バックドア

ダウンロード

攻撃者 機密情報 被害者

本文の日本語の精度もかなり高まり、メッセージの真 模も選別方法もさまざまである。なお、一部報道では、
贋を見分けるのがかなり困難になってきている。こう 話題性を持たせるためかスパム型トロイ攻撃のような
した背景には、攻撃に関与する日本人
（または日本語 ものまで標的型トロイ攻撃と呼ぶことがあるが、攻撃
に精通した人物）
が増えていることが想像される。 対象となるユーザーが明確に選別されたものは標的
型トロイ攻撃と呼んで区別したほうが適切と思われ

特定ユーザーを狙い撃つ る。

標的型トロイ攻撃
　スパム型トロイ攻撃の場合、攻撃の対象が無差別
となるため、どうしても送付されるメールの内容が不
自然になりがちだ。それによってユーザーの警戒心が
高まると攻撃の成功率も低くなってしまう。そこで攻
撃者は、より自然な文面で日々の業務の中で受け取っ
ても不自然でない巧みなメールを作成し、内容別に
対象を決めて送付し始めた。例えば、政府機関の関
係者には、同じく政府機関の名前をかたったメールを
送信し、
地方自治体に対しては住民を装ったメールを、
企業であれば顧客や取引先になりすましたメールを
送付するのである。
　このような攻 撃は、一 般に
「標的型トロイ攻 撃
（Targeted Trojan Attack）
」と呼ばれるものである
（図
4）
。これは特定の組織、人、あるいは特定のタイプの
ユーザーを選別して送付されるトロイ攻撃である。こ
の手の攻撃で標的となるのは、特定の個人から企業
全体、あるいは大手企業のCEOといったように、規
　標的型トロイ攻撃では攻撃対象が限定されるため、
同一の不正コードが流通する範囲が限定されており、
ウイルス対策ソフトのパターン定義ファイルが対応す
る可能性も低くなる。また、対象を限定することでふ
だんメールをやり取りしている顧客や取引先などにな
りすましてターゲットの警戒心を引き下げることがで
きるため、添付ファイルが開かれたり、不正プログラ
ムが実行されたりする可能性も高くなる。これは、差
出人の詐称を容易に行うことができ、特に注意が払
われることなく添付ファイルの送受信が行われている
という今日の電子メールの脆弱性を突いた攻撃とも
言える。
　不正なプログラムやデータを特定対象にメールで
送信する攻撃のほか、送りつけたメールから不正な
Webサイトにアクセスをさせて秘密情報を入力させた
り、攻撃コードを含むファイルを開かせたりする攻撃
を、
「スピア・フィッシング攻 撃
（Spear Phishing
Attack）
」と呼ぶ。一般的なフィッシング攻撃がフィッ
シング・サイトを設けて不特定多数のアクセスを呼び

July 2008 Computerworld 75

 P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策
寄せるのに対し、スピア・フィッシング攻撃は特定の
人物をターゲットに詐欺メールを送りつけ、悪意ある
Webサイトに誘い込むのが特徴だ。日本で標的型トロ
イ攻撃が紹介され始めたころ、スピア・フィッシング
攻撃と混同して紹介されたことで
「スピア型攻撃」
など
といった呼び方が一時期広まったが、トロイ攻撃なの
かフィッシング攻撃なのかが紛らわしいためスピア型
攻撃という呼称は避けるべきだろう。
　標的型トロイ攻撃が行われた国内の事例としては、
2005年に某オンライン・ショップで発生した事件が挙
げられる。同事件では、顧客を装った偽のクレーム・
メールに添付されていた不正ファイルを、ショップの
スタッフがクリックしてしまったことで、オンライン・
バンキングのアカウント情報が外部に漏れ、不正に現
金が送金された。ほかにも、いくつかの銀行のオンラ
イン・バンキング・ユーザーに対して、オンライン・バ
ンキングで利用するプログラムの更新を促す不正な
CD-ROMが、銀行名が印字された封筒にて送付され、
これを信じたユーザーに不正なプログラムをインス
トールさせて攻撃者の口座に不正に送金させるという
事件なども確認されている。
変化する脅威に対抗する
ための具体的方策
　これまで述べてきたように、営利目的化する脅威の
多くは、現状においてトロイまたはそれに類する不正
コードを用いて行われている。先に紹介したWebサイ
ト改竄の事例においても、開かれるWebページ自体
がトロイ化していると見なすことができ、現在の脅威
環境においてはトロイ対策をいかに講じるかがカギに
なると言える。
　ここでは営利目的化する脅威が企業環境に及ぼす
影響について整理してみたい。
●アクセスの多いWebページが改竄されてトロイが埋
め込まれる。これにより、サイトにアクセスした外
部の一般ユーザーのコンピュータ上でトロイが実行
される。
76 Computerworld July 2008
●社内ユーザーに対してトロイを添付したメールが送
信され、社員がそれを実行してしまう。
●社内の特定ユーザーに対して、それらしいメッセー
ジと共にトロイを添付したメールが送信され、ユー
ザーがそれを実行してしまう。
　企業組織として上記のような脅威に対抗するため
の具体的方策としては、以下のようなものが考えられ
る。
①攻撃と被害発生状況に関する情報収集
　営利目的の脅威は、愉快犯的な不正アクセスやウ
イルス配布とは異なり、攻撃者は攻撃対象が攻撃さ
れていること、被害を受けていることを、なるべく発
見されないように工夫する。このため、どのような攻
撃が行われているか、他社がどのような被害に遭って
いるかといった情報を得ることは、自社が同様の被害
に遭っていないかを確認するきっかけとなる。特に、
どのような不正コードが使用されているか、改竄され
たWebサイトにはどのような特徴があるか、どのよう
なIPアドレスから攻撃メールが送信されているか、ト
ロイが実行された際にどういったアドレスのサイトにア
クセスを試みるか、といった特徴がわかれば、組織内
に入り込んだトロイをいち早く発見することができる。
②Webアプリケーションと公開サーバの脆弱性の
確認
　みずからのWebサイトがユーザーを攻撃するための
媒介として使用されないようにWebサイトの脆弱性に
十分注意する。現在こういった攻撃に使用されてい
る脆弱性の大半がSQLインジェクションによるもので
あるが、SQLインジェクションで攻略可能なサイトが
減少すれば他の脆弱性を使用してWebの改竄が行わ
れる可能性が高い。
　まずは、公開しているWebサーバにおいて利用す
るOS、サーバ・プログラム、ミドルウェアなどに最新
のパッチが適用されており、悪用可能な既知の脆弱
性が存在しないことを確認する。また、特にSQLデー
タベースを利用するWebアプリケーションを中心に、

Webの脆弱性の検査を行う。これが難しい場合には、
Webアプリケーション・ファイアウォールなどの導入を
検討する。ほかにも、正規のサイト内に任意のスクリ
プトを埋め込むことができるクロスサイト・スクリプティ
ングにも注意を払う必要がある。独自開発のWebア
プリケーションは相当しっかりとしたセキュリティ検査
を経たものでないかぎり、何らかの脆弱性を抱えてい
ると考えたほうがよいだろう。Webアプリケーションを
公開するにあたっては、開発者ではない第三者による
セキュリティ検査を必ず行うべきである。
③企業ネットワークでの対策
　トロイの特徴の1つとして、活動開始後にさらなる
不正な機能を実現するためのプログラムを外部の
サーバなどからダウンロードすることが挙げられる。ま
た最近では、トロイ自身が取得した情報が外部に送
信されるケースも見受けられる。これらの接続先とし
て、中国のIPレンジにあるサーバや、ダイナミック
DNS
（Domain Name System）
に登録されたアドレス
を持つサイトが利用されることが多い。このような特
徴を踏まえて、内部から外部に対して行われるアクセ
スを監視しながらログを確認することで、トロイの実
行を確認することができるだろう。
　また、トロイが実行された際にどういったサイトにア
クセスするのかを①のような対策を講じて把握するこ
とができれば、
特定アドレスへのアクセスを制限したり、
あらかじめDNSにこれらのサイトを登録して無害な
サーバのIPアドレスを返すように設定したりすること
で、有害サイトへのアクセスを未然に防ぐことができ
るはずだ。さらに、内部から外部へのアクセスについ
ては、ファイアウォールのアプリケーション・ゲートウェ
イなどの機能を利用して、不正なコードが直接外部と
通信しないよう制限を設けることも一定の効果がある
と考えられる。
④クライアント端末での対策
　②で述べたように、PCなど企業内のクライアント
端末が、本稿で述べたような攻撃の被害に遭わない
ためには、まず端末上で使用するすべてのプログラム
ネジメント
・マ
］セキュリティ
特［再考
集
について最新のパッチが当たっている状態を維持す
ることが必須となる。このような確認を1つ1つ手作業
で行っていては手間がかかるうえ、取りこぼしミスが
発生してしまう危険も高まるため、クライアントで動
作させるバージョン・コントロール・ソフトなどを利用
するのが望ましい。一般にOSやWebブラウザなどは
自動アップデート機能によって最新の状態に保たれ
ていることが多いが、ブラウザのプラグインやブラウザ
から起動されるアプリケーションなどは自動更新機能
を装備していないものもあるため注意する必要がある。
　一方、パッチ未公開の脆弱性を突く攻撃も増えて
いるが、そうした攻撃には、端末にパーソナル・ファ
イアウォールを導入したり、Windows VistaのUAC
（ユーザー・アクセス制御）
を有効にして不正なプログ
ラムが実行されることを防止したり、不正な通信パ
ケットが端末から送信されることを防止したりする対
策が有効だろう。
　ブラウザでJavaScriptの動作やiframeの機能を制
限できる場合は、それらを制限することで改竄された
Webページを閲覧してしまった際のリスクを低減する
ことができる。従来のブラウザのセキュリティ・リスク
に対する対策では、不審なサイトにアクセスしないこと
が重要とされたが、最近は上述したように、一般に信
頼されている正規サイトが改竄され、攻撃手段として
利用されるため、サイトの選別だけでは不十分である。
＊　　＊　　＊
　以上、情報セキュリティの脅威が営利目的化した
結果、比較的換金されやすい一般のインターネット・
ユーザーのアカウント情報が狙われていること、また、
そのために大手Webサイトが改竄され、トロイ攻撃の
拡散に利用されていること、従来のウイルス対策では
対応が難しいアドホックなトロイが攻撃に利用されて
いることを紹介した。このような傾向は特にこの数年
で急速に拡大したものであり、今後さらに進化した攻
撃手法が登場する可能性も否めない。情報セキュリ
ティ担当者は、こうした動向に常にアンテナを張り巡
らせて、変化を早めにつかみ、脅威の特徴に合わせ
て適切な対策を講じられるように努めてほしい。
July 2008 Computerworld 77
 P a r t 2 │ ネ ット ワ ー ク・ セ キ ュ リ テ ィ 、最 新 の 脅 威 と そ の 対 策
元“ホワイトハウスのCSO”
、ハワード・シュミット氏が語る
これからのセキュリティ課題
Sharon Gaudin
Computerworld米国版
　米国R＆Hセキュリティ・コンサルティングのCEO、
ハワード・シュミッ
ト
（Howard Schmidt）
氏については、現職よりも31年間務めたホワイ
トハウス時代の経歴のほうが広く知られているだろう。2001年9月11
日の同時多発テロのわずか3カ月後、ブッシュ大統領からサイバース
ペース・セキュリティ担当特別顧問に任命された人物だ。
　同氏のセキュリティ分野における職歴は実に多彩である。まず民間
企業での経歴の一部を挙げるなら、eBayでバイスプレジデント兼
CISO
（最高情報セキュリティ責任者）
とCSS
（最高セキュリティ・スト
ラテジスト）
、MicrosoftではCSO
（最高セキュリティ責任者）
職に就い
た。軍事機関では、
米国空軍特別捜査局
（AFOSI）
のコンピュータ・フォ
レンジック研究所およびコンピュータ犯罪／情報戦争部門でディレク
Special Interview
ターを務めた経歴を持つ。
　Computerworldは先ごろSchmidt氏へのインタビューを行い、プ
ライバシーとセキュリティのバランス、RFIDパスポートの問題点、企
業によるITワーカーの素行調査などについて同氏の意見を聞いた。
──セキュリティ分野で今起こっている、最も恐ろしいことは何か。
Schmidt氏 モバイル・デバイスと、われわれがそれに求める機能だ
ろう。これらのセキュリティに関して十分に注意が払われていないの
が実情だ。現在ではあらゆるアプリケーションをモバイル・デバイスに
ダウンロードし、インストールできるようになった。携帯電話は通話以
外の用途に使われることが多くなっている。私自身、携帯電話を使っ
てPayPalアカウントから送金したり、銀行口座を確認したりしている。
だが最近は、これらのメカニズムを悪用するケースが発生している。
かつてデスクトップを攻撃していた犯罪者は今、
“ポケットに携行する
PC”
に進化したモバイル・デバイスに目を向けているのだ。このまま何
の手も打たずにいたら、5年も経たないうちに深刻な事態が起きるだ
ろう。とにかく今すぐに何らかの対策を講じる必要がある。
──現在、CSOたちが最も憂慮している問題とは何か。
Schmidt氏 職場環境で最も懸念されていることの1つが、リスク管
理とコンプライアンスに関する問題全般だ。私が話をするCSOのほと
んどは、最良のテクノロジーといった前向きな話題よりも、ガバナンス、
リスク管理、コンプライアンスに対する自分たちの取り組みが正しい
かどうかについて不安を訴えてくる。企業が抱えるリスクを確かに最
小化できているのかどうか、事業運営が連邦法、州法、国際法のすべ
てを順守していることをどのように確認すればいいのか——こうした声
がよく聞かれる。
──企業はどのようにしてセキュリティとプライバシーの均衡を図
ればよいのか。
Schmidt氏 「セキュリティが欲しいならプライバシーはないと思え」
と 門にかかわる人間が会社あるいは国家に対して悪事を働く危険人物で
いう考え方が昔から主流のようだが、私自身はこの2つの関係を
「セ
キュリティがなければプライバシーは保障されない」
と見ている。プラ
イバシーを2つの問題に分けて考えてみよう。1つは、データ保護に直
78 Computerworld July 2008
接関係するものだ。自分たちのデータを保護するにはどうしたらいいか。
すぐれたセキュリティ技術を使えばいいのだ。だが、2つ目が非常に
難しい。自分のデータがだれにどのように使われるのか、それを自分で
コントロールできるのか、
（悪用された場合は）
無効にできるのか──。
残念ながら、現実問題としてわれわれは自分のデータをコントロールで
きていない。私自身の体験談を話そう。息子がウィスコンシン州の医
学部に通っているのだが、学生寮に入って食費を支払うよりも家を買
おうということになった。契約の際、
（不動産業者は）
私の社会保障番
号が必要だと言った。断っておくが私が資金を出したわけではない。
その理由を尋ねると、相手は
「理由はわかりませんが、うちの会社の方
針なんです」
と言うではないか。そこで私はこう返してやった。
「私の
ID、パスポート、運転免許証をすべて見せたんだ。身元は確認できた
はずだ。その上にまだ社会保障番号が必要とはどういうことだ。だれ
かに悪用されたらどうしてくれるのか」
。もちろん、社会保障番号は書
かなかった。私はこの一件において自分の権利を一貫して主張し、コ
ントロールできたと考えている。先に挙げた2つ目の問題に戻ろう。現
時点で必要な対策は、プライベート・データに関する権利をもっと増
やすことだ。情報プライバシーに関する権利法がぜひとも必要だ。
──RFIDチップを埋め込んだパスポートについてどう考えるか。
Schmidt氏 それについては大きな疑問を禁じえない問題がいくつか
起きている。RFIDパスポートは悪いアイデアではないが、
セキュリティ
への配慮が不十分と言えよう。私自身も持っているが、そのセキュリ
ティのメカニズムを知っているので、それを悪用する犯罪者から情報
を読み取られないよう、パスポートをどこに置いたか、どこにしまって
あるかにいつも細心の注意を払っている。RFIDカード・リーダは日常
的なさまざまな場所に設置されている。ガソリンスタンドの給油ポンプ
のところに付いているペン型スキャナもそうだし、勤務先企業に入館
する際も、RFIDリーダを通してドアを開ける、またはリーダに近づい
てRFIDカードをかざすだけだ。つまり、RFIDパスポートを読み取るこ
とができるのは政府や税関だけではない。悪意ある者があなたに近づ
いてパスポートのデータを読み取り、盗んだデータを偽造パスポート
作成に使う可能性があることを知っておいてほしい。
──採用時や在職期間を通して定期的にITワーカーの素行調査を
行う企業があるが、これをどう思うか。
Schmidt氏 悪い考えではないと思う。会社によって文化も違うのだ
から。今日のIT部門は、昔のように社員間のPowerPointプレゼンテー
ションの共有を支援したり、ワープロを助けてくれたりするだけの場所
ではなくなっている。企業における日々の基幹インフラの一部であり、
金融サービスの運営や輸送システムの運用を担う原動力なのだ。IT部
ないことを確実にするために、企業がITワーカーの素行調査をある程
度行う必要はあるだろう。犯罪歴の有無は必ず調べるべきだ。弁明の
余地のない金銭トラブルを起こした人物が、将来、金融犯罪に手を染
 ネジメント
・マ
］セキュリティ
［再考
集
特

めて企業にダメージを与える可能性はないだろうか。ギャンブルや麻
薬の問題を抱える人間がライバル会社にデータを売り飛ばす危険性は
どうだろうか。ただし、素行調査はその社員が与えられた責務をはた
せるかどうかを保証するものではなく、当該社員が詐欺を働く可能性、
あるいは企業の大切なシステムのそばに配置してもよい信頼できる人
物かどうかを見分ける手段の1つにすぎない。

──米国のコンピュータ・ネットワークがテロリストに攻撃される可
能性はあるか。
Schmidt氏 テロリストも、結果的に自分たちが依存するシステムを
破壊するような行動には出ないだろう。彼らはビン・ラディンの動画を
携帯電話に配信できるし、
ポッドキャストやWebキャストも使っている。
金融システムを攻撃して経済的なダメージを与える──もちろん、可
能性としては大ありだ。しかし、一般的なハッカーに対して講じている
保護対策は、同時にテロリストを含むあらゆる悪意ある者から身を守
るためのベスト・プラクティスであることを認識してほしい。
──もしテロリストがサイバー攻撃を仕掛けるとしたら、何をター
ゲットにするだろうか。
Schmidt氏 その場合に、彼らが金融サービス・システムを狙うだろ
うということはずいぶん前から言われている。米国民はもとより世界中
に重大な被害を与えることができるからだ。したがって、
金融サービス・
システムが標的とされる可能性は高い。だが、金融サービス側もそれ
を想定したセキュリティ対策を常に講じているわけで、
テロリストにとっ
ては最も侵入が難しいシステムでもあるはずだ。
──サイバー・セキュリティの強化で政府にできることは何か。
Schmidt氏 この分野で政府が今以上に協力できるとの研究および
調査結果が出ている。また政府はみずからの絶大な調達力を利用して、
ベンダー各社にセキュリティ・レベルの高い製品開発を要求すること
もできるはずだ。
「金は出す。もっとセキュアなシステムを開発してくれ」
と政府が言えば、ベンダーは喜んで開発し、後に民間セクターに売り
込むだろう。もう1つの問題は、政府が研究分野にあまり力を入れてい
ない点だ。セキュリティ強化の研究を進める大学や企業に対し、政府
は何かしているだろうか。こうした研究のすべてが必ずしも国家の安
全に直結するとは限らないが、今よりもセキュアな次世代インターネッ
ト環境の創出のきっかけになるものがあるかもしれない。今日の問題
を見据え、その解決方法を見いだしてくれる次世代のテクノロジー研
究者を育成することも、政府ができることの1つなのだ。
──米国政府が導入している各省庁のコンピュータ・セキュリティ
を成績表で表す制度で、落第点がつけられた連邦機関はどう改善し
たらよいのか。
Schmidt氏 今の各連邦機関は時間と金を
（セキュリティ）
成績表の作
成に注ぎ込んでいるにすぎない。現在議会では、彼らをセキュリティ
強化に真正面から取り組ませる法案が審理されている。今のままでは
ペーパー・ワークばかりに追われるばかりで、何の問題も解決されない。
──中国人が米国政府のネットワークに侵入しているとの話をよく
聞くが、こうした攻撃に対する防衛策は万全なのか。
Schmidt氏 1990年代半ば、国防総省で開かれた会議でサム・ナン
（Sam Nunn）
上院議員から
「他国からテクノロジー戦争を仕掛けられ
Profile
【氏名】Howard Schmidt
【現職】 米国R＆H Security Consulting CEO
【企業所在地】 ワシントン州イサクア
【印象に残っている仕事】 「アリゾナの警察署に6年間勤務したころ、素晴らしい人々との
出会いがあった」
【いつかチャレンジしてみたい仕事】 「民間航空会社のパイロット、またはプロのバス釣り
【趣味】 「釣り。よくアラスカでボート釣りをしている」
【どんな高校生だったか】 「ダンスに明け暮れていた。だれも踊っていないときも、アルコー
ルの力を借りることなく気にせず踊りまくった。今でもそうだ」
た場合、10点満点で
（10はまったく影響なし、1は米国が壊滅状態に
陥る）
米国にはどれくらいの防衛力があるのか」
と尋ねられた。そのとき
私は
「5〜6程度」
と答えた。われわれが攻撃する側であれば、勝率は5
割強だろうと予測した。しかし今日、米国政府のセキュリティ・レベル
は飛躍的に向上し、攻撃ベクトル
（外部からの侵入経路）
も劇的に少な
くなっている。仕掛けられた攻撃に対する防衛力で言えば、8〜9点に
近いだろう。攻撃を跳ね返したり、攻撃されているシステムをシャット
ダウンして内部管理することもできるようになった。
──あなたは以前、サイバーセキュリティが最優先項目として扱わ
れないこと、つまり、攻撃が仕掛けられた場合の受身の対策ばかり
で積極的な未然防止策が講じられないことに不安を感じると語って
いたが、今もその考えは変わらないか。
Schmidt氏 9.11以降の世界を見てみよう。飛行機や電車と同じよう
にITインフラを保護する必要があると政府を説得するのに多大な努力
が重ねられているが、なかなかうまくいっていない。莫大な資金、時間、
労力が物理的な攻撃の防止策に集中している。もちろん、物理的な
攻撃は犠牲者を伴うものであり、最優先課題であることにまちがいな
い。しかし、だからと言ってサイバーインフラを最優先項目から外して
いいのだろうか。電子医療データはどうなるのか。患者への診療は電
子データに基づいて行われており、このセキュリティが脅かされれば
ペニシリン・アレルギーの患者にペニシリンが投与される可能性もある
のだ。これも人間の命にかかわる重要な問題だ。
「最優先項目はあくま
で1つに絞るべき」
との意見もあるが、私からすれば、保護対策はマル
チタスクで臨むべきだ。
　実際、政府はこれまでサイバーセキュリティを最優先項目として扱っ
てこなかったが、
何らかの対策の必要性を認識し始めている。サイバー
セキュリティも
（物理攻撃と）
対等なレベルに引き上げられつつあること
は確かだ。

July 2008 Computerworld 79

 Part

3
ささいなミスも命取りに──10の
「やってはいけないこと」

企業を危うくする
「よくあるセキュリティ 集」
［NG］
セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて
守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰
することもありうるからだ。本パートでは、そうした失策・過ち・ミスなどを
「よくあるセキュリティ上のNG
（No Good）
」としてまとめ、
代表的な解決策とともに紹介する。

Matt Hines
InfoWorld米国版

ささいな技術的慣行が できるという。
NG1 情報漏洩のきっかけに
情報入力を促すサイトに
　一部のセキュリティ問題は、ささいな技術的慣行に NG2 何ら疑問を持たない従業員
よって発生する。そのため、ふだんから注意を十分に
払えば、問題を回避することもさほど難しくはない。 　パスワードや個人情報の漏洩は、企業のITシステ
にもかかわらず、そうした慣行の多くは依然として
“放 ムやネットワークへの攻撃を呼び、甚大な被害ととも
置”
されたままだ。 にその企業の名声を失墜させる。しかも、このような
　例えば、
「Microsoft Outlook」
のオートフィル機能
（画 情報漏洩は、大抵は外部の人間ではなく社内のユー
面1）
はその1つだ。
「あて先に
“Eric Friendly”
と入力 ザーに責任がある。
したつもりだったのに、オートフィル機能が働き、
“Eric 　社内ユーザーの不注意に起因する漏洩事件が増え
Foe”
あてにメールを送ってしまう。こうした経験はだ るにつれ、従業員向けにフィッシングやスパイウェア、
れにでもあるだろう。もしメールに機密情報が含まれ 偽サイトなどの仕組みを解説する社内教育が多くの企
ていれば、その時点でアウトなのは言うまでもない」
と、 業で行われるようになった。しかし、それでも多くの
米国Symantecのマーケティング／製品担当上級役員、 従業員は、個人情報の入力を促されたらそれに安易
スティーブ・ロープ
（Steve Roop）
氏は語る。 に応じてしまうと、米国McAfeeのセキュリティ・リサー
　多くのユーザーがオートフィル機能をオフにすれば、 チ担当コミュニケーション・マネジャー、デイブ・マー
不注意によるデータ流出事故をかなり減らすことがで カス
（Dave Marcus）
氏は指摘する。
きるとRoop氏。同氏によると、情報漏洩の90％はメー 　
「人々は個人情報収集サイトの正当性に何ら疑いを
ル送信時の不注意、すなわちオートフィルや暗号処 持たない。そうした判断は、Webの世界では根本的
理の失敗、利用ポリシーの理解不足などに起因する。 に間違っているにもかかわらずだ」
とMarcus氏。オン
したがって、オートフィルなどの機能を単にオフにす ライン上で個人情報を詐取する最も簡単な方法は、
るだけでも、多くのセキュリティ・インシデントを回避 本人に直接聞くことなのだ。

80 Computerworld July 2008


ビジネス・パートナーを
NG3 信頼しきってしまう
　SymantecのRoop氏は、オートフィル機能をオフに
するのと同じくらい簡単な漏洩対策として、メッセー
ジの暗号化を挙げる。ふだんから信頼しているビジネ
ス・パートナーやアウトソーシング業者にさえ、暗号化
されていない電子メールを送るのは危険だと同氏は考
えているのだ。
　Roop氏は、従業員がパートナーあてのメールに注意
を払わないのは彼らの勝手な思い込みだと指摘する。
「人材アウトソーシング会社の担当者が、機密デー
タを含むExcelの表計算シートをどこかへ転送するは
ずはない、あるいはセキュリティ対策が施されていな
いノートPCに機密データを保存するはずがないと、
彼ら
（従業員）
はふだんから思い込んでいる。そのため、
メール・ベースで機密データをサードパーティと共有
しているような企業は、こうした従業員の思い込みに
十分注意しなければならない」
（Roop氏）
セキュリティ・フィルタを
NG4 バイパスするWebアプリが
情報漏洩の“窓口”に
　企業のネットワークでWebメールをやり取りしたり、
ファイル共有サービスを利用したりすることは、セキュ
リティ上きわめて危険な行為である。
こうしたWebベー
スのアプリケーション
（特にWebメール）
は、企業のセ
キュリティ・フィルタをバイパスすることが多いからだ。
その結果、外部からのウイルス／ワーム侵入を許し、
組織全体に被害が及ぶ危険性が高まる。
　また、会社所有のノートPCを仕事のために自宅に
持ち帰るといった行為も、セキュリティ・リスクを増大
させる。そのノートPCで自宅から外部サイトにアクセ
スすれば、ウイルスに感染する可能性が社内アクセス
に比べて格段に高まるのだ。そもそも、重要なデータ
を会社から持ち出せば、なくしたり盗まれたりするリ
スクも生じる。
　このようなリスクは、ほとんどはセキュリティ・ポリ
ネジメント
・マ
］セキュリティ
［再考
集
特
画面1：オートフィル機能はMicrosoft Office製品にも採用されている。これ
は、同機能を使ってExcelのシートに日付を自動入力したところ
シーとシステム管理アプリケーションを利用すれば低
減可能だ。例えば、仕事用のコンピュータにWebア
プリケーションをインストールしない、リムーバブル・
メディアにデータをコピーしない、VPN
（Virtual
Private Network）
や暗号化チャネル上で安全なメー
ル・クライアントを利用する、といったポリシーを従業
員に徹底させるのである。
必要のないデータを
NG5 理由もなしに残す
　必要のないデータを残す。これも、企業のセキュリ
ティ・システムに災いをもたらす要因の1つである。
　クレジットカードやデビットカードの決済処理を担
当する企業では、顧客データをストアするトランザク
ション記録システムをオン状態のままにしていること
が多い。しかし、こうしたロギングは顧客データの流
出につながり、PCI
（Payment Card Industry：80ペー
ジの画面2）
のガイドラインに明確に違反する。
　このようなロギングについて、SymantecのRoop氏
は
「（カードを処理する側は）
偽クレジットカードの作成
に悪用される可能性のあるデータという認識を持って
いない。われわれはつい最近、そうした事例を実際に
July 2008 Computerworld 81
 P a r t 3 │ 企 業 を 危 う く す る 「 よ く あ る セ キ ュ リ テ ィ［ N G ］ 集 」
画面2：PCIのガイドラインを策定した 「PCI Security Standards Council」
のWebペー
ジ。同団体は、米国Visa Internationalらクレジットカード大手5社が2006年9月
に設立した
「従業員」
というセキュリティ脅威と向き合う
Jennifer McAdams
Computerworld米国版
　ネットワークやデータセンターのセキュリティ強化を図るだけでは、
社内のインテリジェンス・データを守るのに十分とは言えない。社内に
潜む脅威にも目を向け、従業員の行動を監視したり、従業員ごとに個
別のセキュリティ教育を施したりする必要がある。
　専門家によれば、すぐれたセキュリティ対策と言われるプロジェクト
Side Story
には1つの共通点がある。それは、職務に合わせる形でカスタマイズさ
れた従業員向けのトレーニングが含まれていることだ。
　カスタマイズされたトレーニングとは、例えば人事担当者を対象に、
人事ファイルの安全な管理方法を教育することである。施設担当者に
は偽造IDで入館を試みる人間の監視を、営業担当者にはCRM
（顧客
関係管理）
システムへの不正侵入を阻止する術を教える、というのもカ
スタマイズ・トレーニングに含まれる。
　もっとも、基幹業務システム、あるいは機密データを保管している
システムへのアクセスを従業員に一切許可しないのであれば、こうし
た教育は必要ないかもしれない。しかし、許可しなければ業務がスムー
ズに進まないというのが、どの企業でも実情であろう。
　機密データへのアクセスを従業員に許可することを、避けて通るこ
とができない
“ギャンブル”
だと表現するセキュリティ管理者もいる。人
間の行動を予測することなど不可能だからである。しかし、貴重な資
産を守る企業側としては、これと真剣に向き合っていかざるをえない
のだ。
企業内部の監視――カジノにならうインサイダー対策
　ギャンブルの例を1歩進めて考えてみよう。カジノでは、テーブル、
82 Computerworld July 2008
目にしている」
と述べ、重大なPCIコンプライアンス違
反だと指摘する。
　もちろん、クレジットカード情報を扱っていない企
業でも、これと同様のことを行っている可能性がある。
つまり、自社のビジネスには必要のない情報なのに、
意味もなく保管し続けているわけだ。
　攻撃者に悪用される可能性の高いデータを明確な
理由もなく抱え込むことは、無用なトラブルを招くだ
けだ。どうしてもデータを保持しなければならないの
であれば、さらに強固なデータ保護手法を導入するこ
とが必要となる。
“特効薬”は真の脅威を隠し、
NG6 企業はそれに気づかない
　特定のセキュリティ技術を採用したり、法規制に適
持ち場、フロアのすべてにエリアにおいて、顧客や従業員による不正
行為を阻止するための監視体制が敷かれている。
　極論すれば、これと同様の監視体制が企業にも求められるわけだ。
社内のあらゆる場所に散らばっている従業員を、個々にカスタマイズ
されたセキュリティ対策に応じて効果的に
“機能”
させれば、不正侵入
などをほぼ完全に阻止できる。
　実際、カジノで実践されているセキュリティ対策を企業に応用すれ
ば、だれがどの仕事を担当しているかに基づいて、セキュリティに関
するコモンセンス・ガイドを作成できる。例えば、最も価値の高い、あ
るいは最も脆弱性の高いビジネス資産を1人の従業員に任せてはなら
ないこと、従業員によるアクセス権限を可能なかぎり細分化すること、
従業員の監視を怠ってはならないことなどだ。これらは、クラップス
（2
個のサイコロの出目を競うゲーム）
のピットやブラックジャックのテー
ブルを観察すればおのずとわかる。
　
『Applied Cryptography
（邦題：暗号技術大全）
』などの著者として
知られるブルース・シュナイアー（Bruce Schneier）
氏も、カジノの黄
金律に従うべきだと助言する。同氏はカジノを引き合いに出しながら、
企業の個別セキュリティに関する重要な問題を提起している。
　Schneier氏は、フロアにいるすべての人間を潜在的なセキュリティ
脅威と見なすカジノのマネジャーのように、ITセキュリティ・リーダー
もすべての従業員を監視すべきだとアドバイスする。
「人間こそ、セキュ
リティの最も弱い部分であり、それは今後も変わることはない。人間
とのかかわり合いをなくすことはできないし、人間は過ちを犯すものだ」
（Schneier氏）
 ネジメント
・マ
］セキュリティ
［再考
集
特

合したりさえすれば、それで問題は解決したと安心す して不正侵入者は、それが間違っていることを証明す
る企業は少なくない。しかし、そうした技術や法律は、 る」
（Rothman氏）
というわけだ。
必ずしもセキュリティ対策の
“特効薬”
にはなりえない。
むしろ、真の脅威を見えなくする逆の効果をもたらす どのITシステムにも
ことさえある。
NG7 同レベルのセキュリティ・
　ウイルス対策ソフトやセキュリティ・パッチの適用、 リソースを投入する
脆弱性スキャンの実行などのシンプルな対処療法が
コンプライアンスになると考えている企業は多い。
だが、 　Rothman氏によると、セキュリティ上の重要度に
それは
「リスク・マネジメントの視点からアプローチす 差があるにもかかわらず、どのITシステムにも一様の
るのではなく、箱の中を見回してチェックしているだ レベルでセキュリティ・リソースやコストを投じる企業
けにすぎない」
と、米国Security Inciteのアナリスト、 が多いという。
「エンドユーザーが5人しかいない古い
マイク・ロスマン
（Mike Rothman）
氏は警鐘を鳴らす。 アプリケーションと、数百人の顧客が利用するオンラ
　企業はしばしば、限定的なセキュリティ・フィクス イン・アプリケーションに対し、まったく同量の時間と
を監査し、これ以上の対応は不要との評価を示して、 コストをかけることは無駄が多い。なのに、すべて同
いわゆる
“愚者の楽園”
を作り上げる。
「肯定的なセキュ 等に扱おうとするケースがしばしば見受けられる」
と
リティ監査結果が出れば、企業はそれで可とする。そ Rothman氏は嘆く。

　インサイダー、すなわち従業員の不正行為から企業を守るという考
えは今に始まったことではない。人的要素がはらむリスクについては、
以前から多くの専門家が口をそろえて指摘してきた。
「企業リソース／資産への従業員のアクセスを、企業はリスクととら
えるべき」
と話すのは、米国Network Risk Managementのマネージ
ング・ディレクター、ケント・アンダーソン
（Kent Anderson）
氏だ。同
氏は、警備員からIT部門のスタッフ、エンドユーザー、そして幹部社
員に至るすべての人間がリスクをはらんでおり、セキュリティ責任者は
その前提に立って対策を講じるべきだと強調する。
　脅威の発信源が外部なのか、それとも内部なのかを判別するのが難
しくなりつつあるというのが、昨今のセキュリティ問題の1つの傾向だ。
「内部と外部の人間の隔たりがどんどん薄らいでいる」
と話すAnderson
氏は、契約業者や提携企業、サプライヤーなどについても、従業員の
場合と同様の注意を払うようアドバイスしている。
　ただし、セキュリティ上の責任を1人のマネジャー、あるいは部門が
すべて負うというやり方は賛成できない。1980年代に米国で全社規
模での品質管理が提唱されたように、セキュリティも全社を挙げて取
り組むべき問題なのだ。
従業員1人1人のセキュリティ意識を高めるには
　1人1人の従業員が価値ある情報と資産を作り、取り扱い、送信し、
保管する。そしてこれら資産の安全を守るのも従業員1人1人である。
しかし残念なことに、そのために従業員は何をすべきなのか、それぞ
れの仕事をこなしながら効果的にセキュリティ・リスクを管理するには
どうすべきかについては、どの企業でも十分な社内教育が行われてい
るとは言い難い。
　セキュリティ・リスクを見極めるだけでも十分難しいのに、セキュリ
ティをテーマに自社の従業員と向き合うとなると、さらにやっかいだ。
というのも、従業員は通常、退屈なセキュリティ・セミナーで繰り返さ
れる訓話にはほとんど耳を貸そうとしないからである。
　しかも、
大抵の従業員はセキュリティを一元的にしかとらえていない。
ミズーリ州ジェニングスの学区担当テクノロジー・ディレクター、ノー
リス・ロバーツ
（Norris Roberts）
氏は、多くの従業員はセキュリティを、
企業責任の観点からでなく、自分たちの責務にどう影響があるかとい
う視点でしか見ていないと指摘する。
　とはいえ、セキュリティ・コントロールを日々の業務にどう適用すべ
きなのかを従業員に教え込まなければ、事態の改善は望めない。
　ただしAnderson氏は、四半期ごとの啓発セミナーはコンプライア
ンス主導型のセキュリティ教育プログラムには役立つかもしれないが、
それだけでは不十分だと言い切る。
　従業員教育でよく見受けられるのが、トレーニングを厳格に実施し
たほうがセキュリティへの意識も高まるという誤解だ。トレーニングが
厳格すぎると、セキュリティ・ポリシーの実践に協力しようとする社員
の意欲を高めることは難しくなる。
　米国ISC2（International Information Systems Security
Certification Consortium）
のエグゼクティブ・ディレクター、エディ・
ザイトラー（Eddie Zeitler）
氏は、セキュリティ・トレーニングの強化
ばかりに気を取られてはならないとしたうえで、セキュリティ対策が経
営者と従業員の双方に利益をもたらすことを教えるべきだと説く。
　
「従業員を退屈させずに彼らのやる気を喚起するには、セキュリティ
対策の不備が従業員にも多大な影響を及ぼすことを彼らの前できちん
と示すべきである。セキュリティ対策を実行に移さなかったがために自
分のクビが飛ぶかもしれない――こうした認識が、ルールを守ろうと
する意欲を高めるのだ」
（Zeitler氏）
　大金が動くカジノでは、ルールに関する妥協が一切許されない。企
業もこれにならい、セキュリティに関する妥協を受け入れない姿勢を
従業員に示すべきだ。そのメッセージが従業員に受け入れられて初め
て、アクセス権限の付与が
“ギャンブル”
でなくなるのだから。

July 2008 Computerworld 83

 P a r t 3 │ 企 業 を 危 う く す る 「 よ く あ る セ キ ュ リ テ ィ［ N G ］ 集 」
　こうしたアプローチは、予算が枯渇したときに、重
要な問題を先送りしてしまう、あるいはまったく無視
してしまうことにも結び付く。セキュリティ担当者は、
優先順位を付けることも重要な仕事だと認識するべ
きである。
情報漏洩がいずれ起きると
NG8 わかっていても、対策は後手
　情報漏洩を望む者はいない。だが、漏洩させる人
間がいずれ現れるという前提の下で、企業は対策を
講じなければならない。
　きちんとした対策は漏洩による被害を最小化する。
しかし、ほとんどの企業は対策が遅すぎたり、後手に
回ったりしていると、データ漏洩対策サービス／関連
ツールの専門ベンダー、米国Mandiantでチーフ・エ
もう1つのNG集──セキュリティ・ポリシー編
Anton Chuvakin
Computerworld米国版
　セキュリティ・マネジメントに絶対に欠かせないもの、それはセキュ
リティ・ポリシーだ。これの目的は、顧客／従業員情報や企業データ
の保護、セキュリティに対する姿勢の定義、情報漏洩時の対外的影
響の最小化などである。米国の場合、セキュリティ・ポリシーを策定
し会社全体で周知を図ることが法律で義務づけられている。
Side Story
　しかし、セキュリティ・ポリシーを正しく策定し実践するのは容易な
ことでない。実際、多くの企業がポリシーの見落としや誤解などのミ
スを経験している。
　以下、セキュリティ・ポリシーの策定や実践にあたり犯しやすいNG
（失敗やミス）
を5つ紹介する。この中には、あまりに初歩的に感じられ
るものも含まれているが、看過すると企業の収支に重大な影響を引き
起こす可能性が生じると考え、あえて明記している。
NG1 ポリシーを適用しない
　5つのNGの中でも、これはかなり重要である。一口に
「ポリシーを適
用しない」
と言っても、その状態は実にさまざまだ。例えば、そもそも
ポリシーを一切持たない状態、非公式にそれとなくほのめかされた状
態、経営陣レベルで策定かつ認識はされてはいるものの明文化されて
いない状態などがある。
　こうした状態はほとんど例外なく、セキュリティ上の弱さを露呈する
ことにつながる。これに該当する企業は、セキュリティ・インシジント
の際に法的責任を問われるだけでなく、セキュリティ・ポリシーを義務
づけている法律に抵触する可能性も出てくる。
84 Computerworld July 2008
グゼクティブを務めるケビン・マンディア
（Kevin
Mandia）
氏は指摘する。
　いつ、
だれがデータにアクセスしたかということから、
どのシステムがデータを利用したかという点まで、企
業はアクセス・ログをすべて記録しておくべきだ。し
かし、それを実践しているところは少ないと、Mandia
氏は見ている。
　またMandia氏は、漏洩事故の詳細がドキュメント
化されているケースも少ないと嘆く。
「ほとんどのケー
スで、
テラバイト級の膨大な資料を渡されることはあっ
ても、
事故の内容を事細かに記したドキュメンテーショ
ンを提示されることはない。技術者たちは肩をすくめ、
弁護士たちも命じていないのだ。何が起きたのか担当
者たちに聞いても、
虫のざわめきのような回答しか返っ
てこない。これでは、対策のプランを練ることなど不
可能だ」
（Mandia氏）
　しかも、いざセキュリティ・ポリシーを策定してみると、企業側は自
分たちのシステムの大部分がポリシーに違反していることに気づく。
これは、ポリシーが現行のIT運用基準に基づいて策定されていないた
めで、珍しいことではない。
　なお、違反部分については、それをドキュメント化してセキュリティ・
リスクを分析しなければならない。そして、新たなポリシーを順守する
ために必要な改善コストを見積もる必要もある。
NG2 ポリシーを更新しない
　上のNG1に当てはまらないからと言って、安心はできない。セキュ
リティ・ポリシーはよく出来ているが、セキュリティを強化するには十
分でないという現実問題に直面するかもしれないからだ。
　企業ネットワークやビジネス・プロセスが変化すると、当然のことな
がらセキュリティ・リスクとコンプライアンスの条件も変わってくる。し
たがって、セキュリティ脅威と企業像の変化に合わせて、セキュリティ・
ポリシーも更新しなければならない。
　セキュリティ・ポリシーの更新が必要な具体的なケースとしては、
新技術の導入
（もしくは旧型ソフトウェアまたはハードウェアの廃棄）
、
新法の制定または規制強化、企業の吸収合併もしくは組織再編、新
事業の設置あるいは新しい実務の採用などが挙げられる。基本的には、
これらすべての実施に合わせて、セキュリティ・ポリシーを適切に更新
しなければならない。
　どんなに見栄えのいいポリシー文書を掲げている企業でも、セキュ

漏洩の詳細を把握する
NG9 必要があるのに、
だれもその役を引き受けない
　情報漏洩の事実が判明したら、単独の責任者あるい
は少数精鋭のチームが陣頭に立ち、事態の詳細を速や
かに把握しなければならない。しかし、このプロセスが
うまく機能しないケースが目立つと、
Mandia氏はこぼす。
「責任者がいない、あるいはだれも責任者になりた
がらない。その結果、問題を解決するうえで必要とな
る資金、ツール、技術面のリソースが不透明になり、
漏洩対策に投入できる人員や日常業務との兼ね合い
なども決定できない」
（Mandia氏）
　こうした責任の押しつけ合いのほか、あまりに大勢
の人間がかかわることで調査が妨げられ、迅速な対
応ができないといったケースも珍しくない。
「意思決定
リティ・リスクに合わせてポリシーを定期的に見直し、更新しなければ、
いずれ攻撃者の格好の標的となるだろう。
NG3 ポリシーの順守を追跡管理しない
　セキュリティ・ポリシーを策定し、かつ定期的に更新しているのなら、
理想的なポリシーの運用に向けて重要なステップを2歩進んだことに
なる。しかし、落とし穴はまだある。
　セキュリティ・ポリシーがきちんと守られているか、ポリシーの存在
が従業員に認識されているかの確認を怠ると、ポリシーはたちまち無
意味になり、法的にも役に立たなくなる。
　ポリシーの内容がすべての従業員にくまなく周知され、ポリシー順
守を習慣づける教育が施されていることはきわめて重要だ。ポリシー
の有用性を維持するため、ポリシーに基づく活動の継続的な監査も不
可欠となる。
　ポリシーが順守されているかどうかを追跡するうえで最も効果的な
手法は、おそらくロギングである。ログ・データを収集し分析すれば、
IT環境で今起きていることを把握できるからだ。例えば、仕事関連の
文書を個人メール・アカウントに送信したり、アクセス権限外にある
データへのアクセスを試みたりしている従業員がいたら、その痕跡が
イベント・ログとして残っているはずである。これは、クラッカーが外
部からサーバへの侵入を試みたときも同様だ。
　ログを介して従業員とシステムの活動を追跡管理し、そこから得た
データをセキュリティ・ポリシーと照らし合わせることこそ、ポリシーの
順守を継続的かつ客観的に管理する最良の方法と言えよう。
NG4 技術関連のポリシーしか策定していない
　以上3つの落とし穴を見事にクリアしていても、セキュリティ・ポリ
ネジメント
・マ
］セキュリティ
［再考
集
特
のテーブルに12人いれば、そのうちの10人はその場
に必要ない人たちだ」
と同氏は語る。
漏洩情報が不必要に広まり、
NG10 原因究明などが困難に
　情報漏洩を起こした企業の多くに見られる問題の1
つは、漏洩の詳細を不必要に明らかにしてしまうこと
だ。情報が社内に広まれば、関係する従業員が自己
保身に走ることも予想され、そうなれば水面下での原
因究明は困難になる。
　もし情報漏洩にインサイダーがかかわっていれば、
その人物は社内を駆けめぐる情報を耳にして新たな
行動を起こすことも考えられる。
「おそらく彼は、調査
チームの先手を打って、直ちに証拠隠滅を図ろうとす
るだろう」
（Mandia氏）
シーの内容が技術的なことに終始していたら、攻撃者に間隙を突かれ
ることもある。
　例えば、パスワードの複雑化、ファイアウォール・ルールの厳格化、
IPS
（不正侵入検知防御）
の導入、ウイルス対策ソフトのアップデート
といった技術的なセキュリティ対策ばかりに目を向け、エンドユーザー
の行動にはほとんど触れていないセキュリティ・ポリシーの場合は、従
業員による特権乱用やコンピューティング・リソースの個人目的での
使用など、比較的軽度ではあるが侵害行為を許してしまう可能性があ
る。
　もちろん、技術的な対策が当座しのぎではなく、セキュリティ・ポリ
シーに基づいた正式なものであることを示すことは重要だ。しかし、セ
キュリティ・ポリシーが
「人間」
「プロセス」
「テクノロジー」
の3要素で構
成されることを忘れてはならない。
　そして、この3つのバランスをうまくとることに役立つのが前出のロ
グ・データであることを、あらためて強調したい。自動更新や再起動と
いったシステムの活動と、日常的なITタスクから物理的なセキュリティ
に至るユーザーの活動はすべてログに残される。これをポリシーに照
らし合わせてチェックすれば、ポリシーに抵触あるいは順守している人
間を特定することが可能になる。
NG5 内容が理解しやすい形になっていない
　セキュリティ・ポリシーは、それを順守すべき対象者にとって理解し
やすい形で書かれるべきである。たとえ上記3要素をくまなく網羅して
いるポリシーであっても、その内容を理解するのが難しいようであれば、
違反行為を防ぐことは難しくなる。
　同様に、業務の一環として行っている日常的な活動まで禁止するよ
うな厳しすぎるポリシーにも問題がある。こうしたポリシーは、結果的
に大勢の社員のポリシー違反を引き起こす可能性が高くなる。
July 2008 Computerworld 85
 特別
企画

インテルとAMDの戦いが再び激化、
ユーザーはどう備える

クアッドコア時代が到来
マルチコアCPU
最新事情
Penryn、Nehalem、Phenom、Fusion。これらは、2008年に出荷されるデスクトップPCに搭載される、ないしは搭載
予定のCPUの開発コード名だ。最初の2つはIntel製、後の2つはAMD製であり、今年も2大CPUベンダーどうしによるデ
スクトップPC市場での覇権争いという構図に変わりはない。ただし、今年は両社からクアッドコアをはじめとするマルチコ
アCPUが多数投入されるため、その戦いはより熾烈なものとなりそうだ。本企画では、IntelとAMDのマルチコア戦略に着
目しつつ、2008年における両社のデスクトップPC向けCPUに関する計画を詳しく見ていく。製品購入の際の判断材料と
して、またマルチコアCPUの最新の情報源として活用していただきたい。
George Jones
Computerworld米国版

July 2008 Computerworld 87

 TICK TOCK戦略に基づき、サーバ／デスクトップ／
Intel モバイルの各レイヤでマルチコアCPUを推進
　現時点では、米国IntelがCPUのパフォーマンスで のリリースが見込まれている新しいマイクロアーキテ
最大のライバルである米国AMDを大きく引き離して クチャを実装したCPUとなる。
いると言える。IntelのCoreマイクロアーキテクチャを 　Nehalemの画期的な特徴を説明する前に、以下で
採用したCPUが、AMDのCPUよりもかなり先を行っ は、2008年上半期におけるCoreマイクロアーキテク
ていることは、専門家の間でも一般ユーザーの間でも チャをベースにしたIntelの最新CPUについて、その
意見が一致している。AMD派、なかでもハイエンド・ 性能やリリース状況を詳しく見ていくことにする。
モデルのユーザーからすれば、今の状況は苦々しい
思いだろう。 2007年に45nmプロセスの
　Intelが現在、推進しているCPUのロードマップは、 Penrynが登場
同社の「TICK TOCK」戦略に基づいている
（図1）
。
これは、CPU製造プロセスの微細化と新しいマイク 　Coreマイクロアーキテクチャをベースに45nmプロ
ロアーキテクチャの実装を毎年交互に行っていくとい セスで製造されたPenryn
（開発コード名）
は、Intelと
う戦略を示している。 一般ユーザーの双方が期待したとおりの価格性能比
　Intelは、TICK TOCK戦略にのっとり、プロセス を実現したことで、2007年におけるCPUの最大の目
の微細化を奇数年に実行している。例えば、効率と 玉となった
（写真1）
。PC Worldなどの専門誌から各
スピードを高めるために45nm
（ナノメートル）
の製造プ 種ハードウェアを取り上げる個人サイトに至るまで、
ロセスを適用したのは2007年のことだった。 実に多くの性能検証が行われ、そこに掲載された多
　そして偶数年には、CPUのマイクロアーキテクチャ 数のテスト結果から、
Penrynは平均20％も性能がアッ
を一新している。後述するNehalemは、今年下半期 プしていることがわかった。
　さらに、
CPUのサイズを小型化したことで、
シリコン・
ウェハ1枚当たり、より多くのCPUを量産できるよう
図1：IntelのTICK TOCK戦略に基づき出荷されたCPU製品／開発
が進められているCPU製品 になった。これは、Intelにとって、CPUの低価格化
と利幅の向上に大きく貢献している。また、Penryn
2005年 TICK Pentium D/Xeon/Core の新機能や改良点としては、仮想化技術の改良、マ
∼

65nm
2006年 TOCK Core 2/Xeon
ルチメディア拡張命令セット
「SSE4」の搭載、消費
電力の低減などが挙げられる。
　2008年は、高性能なPenrynプロセッサを擁する
2007年 TICK Penryn（開発コード名）
Intelの優勢が、しばらく続きそうな情勢である。
∼

45nm
2008年 TOCK Nehalem（開発コード名）

コンシューマー向けに初の
2009年 TICK Westmere（開発コード名） 8コア・プラットフォームを投入
∼

32nm
2010年 TOCK Sandy Bridge（開発コード名） 　Intelは、コンシューマー向けとして最高性能となる
クアッドコアCPUであるCore 2 Extreme QX9770

88 Computerworld July 2008

 特別企画 マルチコアCPU最新事情

および同QX9775を2008年第1四半期に出荷してい 写真1：45nmプロセスを適用したPenrynのダイ

（90ページの 写 真2）
る 。両CPUは、動 作 周 波 数
3.2GHzを誇り、2007年末にリリースされた同QX
9650（3.0GHz）
よりも高速化されている。
　両CPUの最大の特徴は、
FSB
（フロントサイド・バス）
のスピードが1,333MHzから1,600MHzへと大幅にアッ
プしている点 だ。QX9770は、X48チップセット
（1,600MHz FSBをサポート）
で動作し、
それよりスピー
ドの遅いX38チップセットとの互換性も持つ。
　QX9775は、サーバ向けのLGA771ソケットをベー
スとする新プラットフォーム「Skulltrail」
（開発コード
名）への搭載を想定して開発されており、ユーザーは
Skulltrail上にQX9775を2個搭載できる。Skull
trailは、コンシューマー向けとして初めての8コア・プ
ラットフォームとなるわけだ。
　また、QX9770/QX9775は、動作周波数が3.2G
Hzであることに加えて、12MBという驚くほど大容量
のL2キャッシュを備えている。ただし、価格は1,500
ドル近くとかなり値が張る。 12MB L2キャッシュ）が登場する。これら3製品は、
　さらにIntelは、2008年 内に3.4GHz、もしくは すべて1,333MHz FSBとLGA775ソケットに対応し
4.0GHzの動作周波数を実現したコンシューマー向け ている。
のCPUをリリースする可能性もある。 　2008年第3四半期ごろには、Core 2 Quad Q9400
（動作周波数2.7GHz、6MB L2キャッシュ）
と同Q96

ミッドレンジ市場向けの 50（3.0GHz、12MB L2キャッシュ）の登場が控えて

45nm製品も続々リリース おり、両CPUともLGA775ソケットおよび1,333MHz
FSBに対応している
（QシリーズのCPUに記載されて
　Intelは、2008年内にPenryn QシリーズおよびE いる
“50”の数字は、
12MB L2キャッシュを意味する）
。
シリーズもリリースする計画だ
（Qはクアッドコアの意。 　CPUの市場動向がこの2、3年の間に大きく様変わ
Eシリーズは標準のCore 2 Duoライン）
。 りしたことは、45nmプロセスへの移行や、動作周波
　ミッドレンジ市場については、デスクトップPC向け 数2.6〜3.3GHzのデュアルコアCore 2 Duoプロセッ
にCore 2、サーバ向けにXeonの名を冠した多数のク サが、今やミッドレンジ市場向けCPUのローエンド・
アッドコアおよびデュアルコアCPUを45nmプロセス・ モデルに位置づけられている点からも容易にわかる。
ベースでリリースする。同市場に投入されるクアッド 　さらにIntelは、Core 2 Duo E8190（動作周波数
コアCPUは、
“ネーティブ”なクアッドコアではなく、2 2.7GHz）
、同E8200（2.7GHz）
、同E8300（2.8GHz）
、
つのデュアルコアCPUを組み合わせたものとなる。 同E8400（3.0GHz）
、 同E8500（3.2GHz）を 含 む
　2008年上半期だけでも、Core 2 Quad Q9300（動 45nmプロセスを適用した一連のCore 2 Duoプロセッ
作周波数2.5GHz、6MB L2キャッシュ）
、同Q9450 サを2008年上半期にリリースする。2008年第3四半
（2.7GHz、12MB L2キャッシュ）
、同Q9550
（2.8GHz、 期には、同E8600（3.3GHz）
もデビューする予定だ。

July 2008 Computerworld 89

 写真2：コンシューマー向けとして最高性能を誇るクアッドコアCore 2
Extremeプロセッサ
これらのCPUは、どれもLGA775ソケットに対応し
ており、6MBのL2キャッシュを搭載し、1,333MHz
FSBで動作する。加えて、Intelの仮想化技術「Intel
VT
（Virtualization Technology）
」をサポートする。
　Core 2 Duoシリーズのローエンド・モデルは、2M
BのL2キャッシュを搭載し、800MHz FSBで動作す
る65nmプロセスを適用した動作周波数2.6GHzの
Core 2 Duo E4700となる。また、
3MBのL2キャッシュ
を搭載し、1,066MHz FSBで動作するPenrynベー
スの同E7200
（動作周波数2.5GHz）
も用意されている。
しかし、両CPUは、いずれもIntel VTには対応して
いない。
次期アーキテクチャ採用の
Nehalemは今年後半に登場
　Nehalemとは、
Coreマイクロアーキテクチャに次ぐ、
次世代マイクロアーキテクチャを採用したCPUの開
発コード名である。Nehalemという名称は、米国オレ
ゴン州北西部の小さな町に由来している。Nehalemは、
もともと米国北西部のTillamookというアメリカ原住
民を指していた。
　偶数年に新しいマイクロアーキテクチャを発表する
IntelのTICK TOCK戦略にのっとり、Nehalemでは
90 Computerworld July 2008
マイクロアーキテクチャが刷新され、現在のCoreマイ
クロアーキテクチャを採用したCPUから大幅に性能
が進化するようだ。うわさでは、インテルが1995年に
Pentium Proをリリースして以来、最大の進化となる
と言われている。
　以下では、Nehalemに搭載される主な新機能を紹
介する。
■メモリ・コントローラをCPUコアに統合
　Nehalemで採用される新マイクロアーキテクチャの
設計思想／構造上で最大の変更点は、内蔵メモリ・
コントローラ
（メモリ間でデータの入出力を処理するた
めに使われるチップ）
だと言える。Intelは、Nehalem
の登場により、ノースブリッジ・メモリ・コントローラは
不要になると明言した。メモリ・コントローラをCPU
コアに内蔵することで、FSBによるスループットの制
約を回避できるという。
　メモリ・コントローラを統合した結果、データ転送
レートは最大32Gビット秒に拡張された。Intelが野
心的なマルチコア計画をNehalemで実現しようとして
いる点を考慮すれば、この転送レートが持つ意味は
大きい。なお、
内蔵メモリ・コントローラの名称は「Intel
QuickPath Interconnect」である。
　Intelが内蔵メモリ・コントローラへの移行を決めた
ことに対し、AMD派の間では、
「Intelは、何年も前
にAMDが実現したことを、今ごろになってようやくそ
の価値を理解したようだ」とやゆする声が上がってい
る。内蔵メモリ・コントローラにより、メモリのアクセス・
スピードとレイテンシを改善するほか、消費電力も低
減することが可能になる。
■グラフィックス機能をCPUに統合
　Intelは2007年9月、Nehalemにグラフィックス機
能を統合することも発表した。つまり、
GPU
（Graphics
Processing Unit）
コアがCPUと同じチップ上に配置
されるわけだ。
　ちなみに、Intelの内蔵グラフィックス機能とAMD
のグラフィックス機能の違いのポイントとしては、
 特別企画 マルチコアCPU最新事情

Nehalemでは、AMDが「Fusion」
（開発コード名）
で ムが登場する可能性は非常に高いと言える。
計画しているようなダイ・レベルでのGPUの統合は行 　ただし、Nehalemが登場しても、ダイ・サイズが縮
われないという点が挙げられる。 小されるのはまだ先の話となる。それが実行されるの
は、Intelが現在、
「Westmere」
（開発コード名）
と呼ん
■メモリはDDR3 SDRAMをサポート でいるCPUからである。2009年にリリース予定の
　Nehalemでは、より高速・低消費電力なメモリであ Westmereは、Nehalemのマイクロアーキテクチャを
るDDR3 SDRAMをサポートする。これも、アーキテ 実装しつつ、32nmプロセスを適用する計画だ。Intel
クチャ上の大きな変更点だと言える。 がTICK TOCK戦略を今後も維持していくと仮定す
れば、2010年には「Sandy Bridge」
（開発コード名）
　ここまでNehalemの主な新機能を見てきたが、そ と呼ばれる、Nehalemの次となるまったく新しいマイ
の他にも、CPUの高速化技術であるハイパースレッ クロアーキテクチャが登場することになる。
ディングや同時マルチスレッディングに改良が施され 　個々のCPUレベルで見ていくと、デスクトップPC
る。これにより、複数のCPUコアがサイクルとメモリ 向けNehalem
（開発コード名「Bloomfield」
）の第1弾は、
をプールすることで、アプリケーションを快適に実行 2008年後半にリリースされる予定である。インターネッ
できるようになる。加えて、L2およびL3レベルでの ト上では、Bloomfieldのクアッドコア版には、8MB
共有キャッシュ機能が改善されることから、CPUの の共有L3キャッシュが搭載され、3つのDDR3メモリ・
実行効率はいっそう高まるはずだ。 チャネルをサポートするとの憶測が流れている。2008
　また、Nehalemは、1枚のダイにすべてのコアを実 年第4四半期には、Bloomfieldの8コア版も発表され
装する、いわゆるネーティブなクアッドコア／ 8コアを るという。
達成するために、ゼロから構築された次世代マイクロ 　Intelは、
サーバ向けとして「Beckton」
（開発コード名）
アーキテクチャである。したがって、2009年には、2 と
「Gainestown」
（開発コード名）
の2種類のCPUを開
個の8コアCPUで構成された16コア・プラットフォー 発中だ。これらについてもインターネット上では、Bec

Topics 「破壊的な影響力を持つ技術」
ランキング、 Chris Kanavacus
1
1位はマルチコアCPU IDG News Serviceボストン支局

　米国の調査会社Gartnerは2008年4月8日、同社主催のシンポジウ 化が入っている。
ムにおいて、2012年までの4年間にわたって
「破壊的な影響力」
をIT業 　両氏は、1位のマルチコアCPUについて、
「これまでの技術にない利
界に及ぼす技術をランキング形式で披露した。 点がある」
と述べている。しかし、その一方で両氏は、シングルスレッド
　結果は、1位がマルチコアCPU、2位がクラウド・コンピューティング、 にしか対応していないアプリケーションでは、マルチコアのパワーを引
3位がユーザー・インタフェースとなった。 き出せない点も指摘した。
「例えば、シングルスレッド・アプリケーショ
　同ランキングをまとめたのは、Gartnerのアナリストであるデビッド・ ンを8コアのシステムで稼働させても、利用可能なコアを8分の1しか使
シアリー
（David Cearley）
氏とカール・クランチ
（Carl Claunch）
氏の2 えないため、利用率は12.5％にとどまる」
人だ。両氏は米国ラスベガスで開催された
「Symposium/ITxpo 2008」 　こうしたことから、
「（マルチコア対応へと）
修正が必要なアプリケー
で講演し、こうした技術が今年から2012年にかけてIT業界の状況を一 ションを特定する必要がある」
と両氏は述べている。
変させると語った。 　とは言え、マルチコアCPUが標準となりつつある現状を考えると、
　両氏がまとめたランキングのトップ10には、前出の3つの技術のほか、 今後はアプリケーションも続々とマルチコア対応に変わっていくと考え
ソーシャル・ネットワーキング／ソーシャル・ソフトウェア、Webマッシュ られる。Cearley氏らの指摘は、急激に進むマルチコア化に追いついて
アップ、ユビキタス・コンピューティング、コンテキスチュアル・コンピュー いない現状を如実に示すものと言え、そのことからも、マルチコアCPU
ティング、拡張現実感
（Augmented Reality）
、セマンティクス、仮想 の浸透ぶりと影響力の高さをうかがい知ることができる。

July 2008 Computerworld 91

 写真3：A tomを搭載したMIDのコンセプト・モデル（写真は韓国LGが 「Centrino 2」
（開発コード名「Montevina」
）を発表した。
開発したもの）
Centrino 2の新しいチップセットは、
「Cantiga」
（開発
コード名）と呼ばれ、モバイル向けとして初めて
1,066MHz FSBを搭載する。
　新しいワイヤレス・アダプタ
（開発コード名「Shiloh」
）
は、ワイヤレス信号を理論上では最長30マイル先ま
で伝送できる、長距離ワイヤレス通信規格のWi
MAXをサポートする計画だ
（ただし、WiMAXはまだ
実用レベルで普及していない）
。また、Centrino 2は、
PCをディスプレイや外部音源に接続するための新規
格「DisplayPort」
をサポートする。
　さらにIntelは、
「Silverthorne」
という開発コード名
の下に開発を進めていた新型の低電力モバイルCPU
「Atom」
を今年3月に発表した。45nmプロセスを適用
ktonはネーティブな8コアCPU
（デュアルソケット構 したAtomは、とりわけ成長が著しいインターネットに
成の場合は16コア）
、Gainestownは比較的Bloom 対応した携帯端末の分野をターゲットにしている。
fieldに近いスペックになるとうわさされている。 Intelは、Atomがターゲットにしているそうした携帯
モバイル・デバイスをMID
（Mobile Internet Device）

モバイル向けCPUでも と呼んでいる
（写真3）
。

攻勢を強めるIntel 　Atomで特筆すべき点は、消費電力がきわめて低
いことだ。Intelによれば、Atomの消費電力は同社
　Intelは今年3月、CPUとチップセット、ワイヤレス・ 製デュアルコアCPU
（最も低消費電力）の約15分の1
アダプタをすべて一新したモバイル・プラットフォーム にすぎないという。

あらゆるレンジでクアッドコアを投入し
AMD 価格性能比での巻き返しを狙う
　AMDにとって、2007年は好調な年ではなかった。
クアッドコアOpteronプロセッサの新版「Barcelona」
（開発コード名）
（写真4）
の一般向け出荷を、設計ミス
で大幅に延期するという失態を演じたほか、価格性
能比の面でもIntelに後れをとる状態が続いており、
高性能なCPUを手ごろな価格で提供するという同社
の評判は深く傷ついた。
　業界アナリストは、AMDがカナダのグラフィックス・
ベンダーであるATI Technologiesを2006年に買収
したことについても、同社をやり玉に挙げている。こ
の買収は、AMDにとってあまりにも負担が大きく
（買
収金額は約54億ドル）
、6四半期連続で損失を計上
するという事態に陥った。このことについてAMDは、
判断ミスを素直に認めており、2008年の好転を目指
すとしている。
　2007年末、AMDはAthlonシリーズのCPUに別
れを告げ、ようやく次世代のデスクトップ向けCPU、
Phenomシリーズ（Phenom 9500/9600）
をリリースし
た
（写真5）
。PhenomプロセッサはCPU市場で真のネー
ティブなクアッドコアCPU、つまりすべてのコアが1

92 Computerworld July 2008

 特別企画 マルチコアCPU最新事情

枚のシリコン／ダイに統合されたCPUである。このこ 写真4：設計ミスで一般向け出荷が遅れたクアッドコアOpteronプロセッ
サ「Barcelona」
とは、AMDのクアッドコアCPUがIntel製のものより
もすぐれていると、AMD側が主張する根拠の1つに
なっている。Phenomプロセッサで採用されているマ
イクロアーキテクチャは、共有L3キャッシュを備える
点と電源管理が改善された点がセールスポイントと
なった。
　だが、このPhenomでも問題が発生した。同CPU
の発売直前にL3キャッシュにバグが見つかり、ごく
まれにシステムをフリーズさせる可能性があることが
明らかになったのだ。AMDは後にこの問題を解決す
るソフトウェア・パッチをリリースしたが、それによっ
てシステム・パフォーマンスが若干落ちてしまった。
　また、デスクトップ向けハイエンドCPUの最新製品
をうたうPhenomシリーズの初期製品が、
ベンチマーク・
テストの結果、すでに市場に出ていたIntelのCore 2
Duoシリーズよりも性能面で劣っていたという、根本
的な問題も指摘された。
　現在、Intel製のCPUは、AMD製のCPUと比べ
写真5：C PU市場で唯一ネーティブなクアッドコアCPUであるPhe
て性能および互換性のレベルで優位に立っているが、 nomのダイ

この構図は10年前とまったく同じだ。2008年、AMD
はPhenomシリーズはもちろん、旧世代のAthlonの
価格を大幅に引き下げることで価格性能比の面から
肩を並べようとするはずだ。高性能のPCを非常に安
く買えるとなれば、一般ユーザーにとっては朗報だ。

2008年に多数投入される
クアッドコアPhenomシリーズ
　2008年を通じて、AMDはあらゆる価格レンジでク
アッドコアPhenomプロセッサを投入する。
　ミッドレンジおよびハイエンドのCPUとしては、す
でにPhenom X4 9000シリーズの5モデルが3月末に
リリースされている。まず、2007年にリリース済みの
Phenom 9500/9600の改良版となるPhenom X4
9550
（動作周波数2.2GHz）
および同X4 9650
（2.3GHz） 9100e
（1.8GHz）
である。
と、より高性能タイプの同X4 9750（2.4GHz）と同 　また、2008年第2四半期には、Phenom 9700
（2.4
X4 9850（2.5GHz）
、そして省電力タイプの同X4 GHz）
と同9900（2.6GHz）
に加え、若干スピードの遅

July 2008 Computerworld 93

 い同9150（1.8GHz）
も登場する。以上紹介した9000
シリーズのCPUは、すべて2MBのL2キャッシュと
2MBのL3キャッシュを備える。今 年 下半期には
Phenomシリーズに3.4GHzのモデルも加わると見ら
れている。
　ウルトラハイエンドのPhenom FXシリーズとしては、
Phenom FX-82、同FX-90、同FX-91（動作周波数
はいずれも3.0GHzに迫る見込み）の3モデルがリリー
スされる予定だ。
これらはすべて、2MBのL2キャッシュと2MBの共
有L3キャッシュを備える。FX-82は「Socket AM
2+」
と互換性を持ち、
また、
FX-90とFX-91は「Hyper
Transport 3.0」に採用されている高速メモリ・コント
ローラを備えたサーバ向けの「Socket F+」を利用す
ることになる。年末までには、3.4GHzの最上位モデ
ルがリリースされる見込みだ。
ついに投入された
AMD初のトリプルコアCPU
　実は、AMDのクアッドコアには、ユーザーからの
批判が数多く浴びせられてきた。クアッドコアの名を
冠しながら、そのうちの1つのコアが機能しないなどの
トラブルが相次いだからだ。だが、IntelやAMDに限
らず、どのCPUベンダーのものであれ、正常に動作
しないコアや正規の性能を有しないコアを持つCPU
が店先に並ぶのは、そう珍しいことではない。
　このトラブルから着想を得たわけではないだろうが、
AMDは2008年、クアッドコアの1つのコアを機能さ
せずにトリプルコアとした8000シリーズを同社の
CPUラインアップに加えた。トリプルコアCPUの魅
力は、理論上、価格性能比がデュアルコアとクアッド
コアの中間に位置することだ。
　まずAMDは今年3月末、前述したクアッドコアの
9000シリーズと同時に、トリプルコアのPhenom X3
8400（動作周波数2.1GHz）
と同X3 8600（2.3GHz）
をリリースした。また4月末には、
同X3 8450
（2.1GHz）
、 　さらにAMDは、CPUとGPUコアをダイ・レベルで
同X3 8650
（2.3GHz）
、同X3 8750
（2.4GHz）
といった、
94 Computerworld July 2008
さらに高速なバージョンも投入した。これらはすべて、
1.5MBのL2キャッシュと2MBの共有L3キャッシュ
を備える。
　年末までには、動作周波数が3.0GHzに達するトリ
プルコアCPUも投入されると見られている。
　AMDは現在、Phenomシリーズのクアッドコアおよ
びトリプルコアCPUのプロモーションに力を入れてい
るが、ローエンドおよびミッドレンジ市場向けのデュア
ルコアCPUにも引き続き注力していくようだ。事実、
2008年第2四半期には2つのデュアルコアCPUをリ
リースする可能性が高い。動作周波数はまだ明らか
にされていないが、いずれも1MBのL2キャッシュと
2MBのL3キャッシュを備えると見られる。また、第3
四半期と第4四半期には、さらに数モデルのデュアル
コアCPUが発表される見込みである。
45nmプロセス化で遅れるも
統合CPU「Fusion」
で逆転を狙う
　IntelとAMDの違いはたくさんあるが、その1つは
CPUの製造に45nmプロセスを使っているかどうかと
いう点だろう。Intelは続々と45nmプロセス採用の
CPUを投入しているが、AMDが45nmプロセスを使
いはじめるのは、2008年末か2009年初頭になると見
られる。そのため、
AMD製の現行のCPUについては、
価格性能比、消費電力のいずれもIntel製CPUに対
する劣勢を認めざるをえないのが実情だ。
　しかし、それまでの間、AMDはいくつかの新しい
取り組みに注力して、Intelを追い上げる構えを見せ
ている。
　2008年、
AMDは「Peruses」
という新たなデスクトッ
プ・プラットフォームを大々的に推し進める計画だ。
IntelのノートPC向けプラットフォーム「Centrino」の
デスクトップ版とも言えるPerusesは、
Phenomプロセッ
サ、ATIグラフィックス・チップ、新開発のAMDチッ
プセットなどで構成される。
統合した次世代CPU
「Fusion」
（開発コード名）
の開発

にも注力している。CPUとGPUコアを同じ場所に配
置するという手法は、Intelの今後のロードマップにも
まだ見られないものである。AMDは、この手法を用
いることで共有メモリなどのリソースに対するアクセス
がより高速になり、性能アップにつながると考えてい
る。また、
熱／電力効率にも改善がもたらされるようだ。
　ただ、メモリの割り当てと熱／電力効率の改善は、
デスクトップPCよりむしろノートPCにとってメリット
が大きいと言える。今のところ、デスクトップPCに対
するメリットまでは言及されていない。Fusionを採用
した製品のリリースは2008年末から2009年初頭にな
ると見られている。
モバイル向けCPUでも
新技術の採用でIntelに対抗
　2008年以後、AMDはノートPC向けとなる新しい
CPUにおいて、電力性能比を改善することに注力し
ていく。
「Griffin」
（開発コード名）
の名称で知られるこ
の次世代CPUには、新たな電源管理方式「Split
Power Plane」が採用される予定だ。同方式は、デュ
アルコアまたはクアッドコアCPU上の各コアに、それ
ぞれ専用の電源をあてがうもので、エネルギー効率の
Topics 国内x86サーバ市場、
2
2007年にマルチコア化がほぼ完了──IDC調査
　IDC Japanは2008年3月27日、国内x86サーバ市場におけるマルチ
コアCPU搭載製品の出荷動向と、マルチコア技術がサーバ市場に与え
るインパクトを分析した調査結果を発表した。それによると、国内x86
サーバ市場では、2007年第3四半期におけるマルチコアCPU搭載製品
の出荷台数が13万7,193台と同市場の91.1％に達し、2007年にマルチ
コアCPU搭載製品への移行がほぼ完了する見込みだという。
　国内x86サーバ市場において、マルチコアCPU搭載製品は2006年
第4四半期以降、急速に普及した。その結果、2007年にx86サーバの
マルチコア化はほぼ完了し、2008年からのポスト普及期には、現在主
流のデュアルコアCPU搭載製品の出荷台数比率が徐々に低下して、ク
アッドコアCPU搭載製品へのシフト傾向が顕著になるとしている。
　IDCは、クアッドコアCPUを搭載するx86サーバの出荷台数比率が、
2011年には45.9％へ拡大すると予測している。また、継続的にCPUの
特別企画 マルチコアCPU最新事情
向上に貢献する。
　Griffinは「Puma」
（開発コード名）
というAMDのまっ
たく新しいノートPC向けプラットフォームとペアで登
場する予定だ。
　また2008年には、グラフィックス・チップをハイブ
リッド方式にした「Power Xpress」というプラット
フォームも登場する。
このプラットフォームには、
マザー
ボード・レベルの内蔵GPUと、よりパワフルな別の
GPUが採用される予定だ。理論上、この新方式によ
り消費電力が大幅に低減されるほか、きわめて高性
能なグラフィックス機能が利用可能になる。
　前述のとおり、AMDはCPUとGPUコアを統合した
Fusionを2009年にリリースする予定である。ノートPC
向けのデュアルコアFusionプロセッサは、2009年下半
期に出荷され、その後、時期は未定だが、ノートPC向
けのクアッドコアFusionプロセッサが続く見込みだ。
　AMDが今年成功できるかどうかは、2000年代初
頭に同社が大躍進する原動力となった、抜群の価格
性能比をもう一度再現できるかどうかにかかっている
だろう。いずれにしても、CPUの設計に対する同社
の斬新な手法が“CPUマニア”の興味を引くことは間
違いない。この点は、Intelとの差別化にもつながっ
ている。
Computerworld編集部
コア数も増加していき、2008年に6コアCPU、2009年には8コアCPU
を搭載するサーバの出荷が開始されると見込んでいる。
　加えて、x86サーバ市場のマルチコア化は、ソケット数の少ないサー
バ製品への需要シフトを促進しており、今後もその傾向は強まるという。
ソケット数の少ない製品への移行は、サーバ・ベンダーの収益を圧迫す
る要因になると見ている。
　一方、CPUのマルチコア化は、省スペース化やサーバ電力の効率化
につながった。
　しかし、IDCは、サーバの利用率向上は現状道半ばであるとしている。
同社によれば、1ソケット当たりのCPUコア数が多いx86サーバの出荷
台数が増加すれば、サーバ仮想化といったニーズが高まり、ベンダー
にとってはサーバに付帯する製品の販売で多くの利益を獲得できる好
機につながるという。
July 2008 Computerworld 95
 TechnologyFocus
［テクノロジー・フォーカス］
「話題の製品の機能を詳しく知りたい」
「自社では、どのような技術を使
うのが最適なのだろうか」── 企業において技術や製品の選択を行う「テ
クノロジー・リーダー」
の悩みは尽きない。そこで、本コーナー
［テクノロジ
ー・フォーカス］では、毎号、各IT分野において注目したい製品や技術を
ピックアップし、その詳細を解説する。

C omputing
「GPUコンピューティング」の
可能性
［コンピューティング］

July 2008 Computerworld 97

 Technology Focus

C
omputing
［コンピューティング］

「GPUコンピューティング」
の
可能性
汎用的な計算処理へGPUを応用し、
ベクトル型HPC市場を切り開く
今、ベクトル型HPC
（High Performance Computing）市場で新たな潮流が生まれつつある。画像処理専用プ
ロセッサであるGPU
（Graphics Processing Unit）
を汎用的な計算処理に利用しようとする
「GPUコンピューティ
ング」がそうだ。GPUは、画像処理に特化することで、汎用的なCPUとは異なる独自の進化を遂げた結果、CPU
よりも格段に高い処理能力を持つに至った。その高度な処理能力を画像処理以外の用途に応用しようという取り組
みだ。本稿では、HPC市場の現状やGPUコンピューティングへと至るGPUの進化の過程などを通じて、GPUコ
ンピューティングの全体像をひも解いていく。

中村維男
英国インペリアル・カレッジ計算機学科＆慶應義塾大学理工学研究科
橋本昌嗣
日本SGI
正田秀明
日本SGI

「GPUコンピューティング」
と Computation on GPUs」や「General Purpose Com

「GPGPU」
の違い puting on GPUs」
、あるいは「General Purpose Co
mputing with GPUs」などである。
　GPUコンピューティングを解説する前に、まず、 　しかし、それらが目指す地点はすべて同じである。
GPU
（Graphics Processing Unit）
が何であるかを 要は、GPUの高速処理性能に注目し、それを汎用的
理解しないと始まらない。 な計算処理に応用しようという考え方である。した
　GPUとは、
通常、
PCやワークステーションにおいて、 がって、イノシシには失礼だが、GPUをもっと
“賢く”
コンピュータ・グラフィックスと呼ぶ画像処理を行う加 して、その“知能指数”をCPUに近づけたいという試
速器の役割を果たすプロセッサのことである。
したがっ みとも言える。
て、GPUの機能と性能は、画像処理にかなり特化し 　GPUコンピューティングとGPGPUとを正式に区
たものとなっている。CPUが、機能としてはプログラ 別することは少々難しいが、平たく言えば、GPGPU
ムに忠実であり、
“何でも屋”的なプロセッサであるの よりも本腰を入れ、より汎用的なHPC
（High Per
に対し、GPUは、そのままでは融通の利かない、い formance Computing）
の実現に向けた取り組みが
わば“イノシシ”のような“突進型”のプロセッサである。 GPUコンピューティングだと言えるだろう。
　また、本論のGPUコンピューティングに入る前に、 　ちなみに、グラフィックス・カード上のビデオ・メモ
「GPGPU」の話もしなければならないだろう。GP リを利用するのがGPGPU、メイン・メモリを利用す
GPUは、本来の正式な名称からして、語り手により るのがGPUコンピューティングと、一応の区別はなさ
呼称が異なっている。例えば、
「General Purpose れている。

98 Computerworld July 2008

 Computing
日本のHPCの低迷と
HPC分野でのGPU活用
　主に計算機として利用されるHPCは、大型になれ
ばなるほどその製造と取り扱いにおいて、製造側であ
る
“計算機屋”
（ベンダー）
と利用側である
“計算科学
屋”
（ユーザー）
が混在する集団が形成される。そのよ
うな中、低消費電力
（正確には低消費エネルギー）
を 　1996〜1997年には、上位100の約3分の1を日本
考慮に入れなければ、現在のエレクトロニクスの技術
水準では、計算科学屋が望む性能を持ったHPCは
造れない。特に本稿では、GPUコンピューティング
の解説を通し、計算機屋と計算科学屋の懸け橋の役
目を果たすことも目的としている。
　そもそも、北海道から九州に至る各大学の大型計
算機センターは、国の研究機関を中心に、本来であ
れば地域色を出していくべきなのであるが、最近では、
HPCが何に利用されているのかよくわからないまま存
在している。言葉は悪いが、日本国内においては、
HPCのパワー・ユーザーの凋落ぶりはかなり悲惨な
状況だと言える。計算科学屋がHPCを積極的かつ賢
く取り扱えていないのか、それともHPCのベンダーが
これまでよりもすぐれたHPCを設計・構築する元気が
ないのか不明だが、いずれにしても低調である。
　パワー・ユーザーである計算科学屋は、アプリケー
ションに対してもっと積極的にアルゴリズムの改良を
施し、プログラミング・モデルを正しく理解してすぐ
れたプログラムを作成していかなければならない。現
状のHPCで間に合うというようなケチな範囲の計算
ではなく、強力な計算力をもってシミュレーションを
実行するために、どれくらいの規模のHPCが必要か
ということを明確にすべきである。
　これは、予算申請額の上積みを要求するといった
単純な話ではなく、低価格で強力な計算力を有する
HPCの設計・構築を、計算科学屋としてベンダーに
対し促すべきだと言っているのだ。現在の大型計算
機センターやベンダーにこうした意識があるのかは、
はなはだ疑問である。
　NECのHPCシステム「SX-5」
をベースとした「地球
Computing
シミュレータ」が世界に衝撃を与えた2002年、時を同
じくして米国ではHPCの開拓が強要された。その結
果、HPCの競争がただならぬ状況になり、その後は
HPCの世界「TOP500」
リストに日本勢が入り込めな
くなってきた。そもそも、2002年の時点でTOP500
リストに入るような日本のHPCは、NECのSXシリー
ズを除いて、ほとんど見あたらない状況となっていた。
のHPCが占めていたが、最近では日本のHPCユー
ザーは10％を切ってしまっている。この理由は、予算
が削減されたわけではなく、日本のHPCを設計・構築・
販売するNEC、富士通、日立製作所に供給能力の
低下が生じているからだと言えよう。
　過去、国内ユーザーは、これら3社の開発計画に
併せてHPCを導入してきた歴史がある。ところが昨
今では、HPCを利用する国内ユーザーが減少してい
る。これは、CPUの高性能化と低価格化が進み、汎
用的なCPUでも十分な計算能力が実現されるように
なってきたことも大きく影響している。
　このような流れの中、東京大学、京都大学、筑波
大学において、米国のCPUベンダーであるAMDのプ
ロセッサを用いて構築したHPCが導入された。国内
ベンダーの現況を見ていれば、こうした動きは最適な
計算環境の構築という見地からうなずける部分がある。
　ただし、ここに来てHPC市場に変化が起き始めて
いる。HPCで結果出力の役割を担う、コンピュータ・
グラフィックスの高速処理技術から生まれたGPUが
高性能化し、HPCへの“親孝行”といった格好で功
をなす状況になってきた。その結果、GPGPUや
GPUコンピューティングという概念が注目されるよう
になってきたわけである。
GPUの起源と進化
　GPUは、1970年代のグラフィックス・コントローラ
がそもそもの始まりである。当時は、きわめて単純な
図形の描画やデータ転送を支援する程度の性能しか
July 2008 Computerworld 99
 Technology Focus

持っていなかった。 GPUの
　しかし、近年のGPUの進歩は目覚しいものがある。 グラフィックス・パイプライン
その性能は、半導体の性能向上ペースの指標となる
「ムーアの法則」を上回る勢いで向上しており、新機 　ここからは可視化を行うグラフィックス・アプリケー
能も登場し続けている。その一方、ポリゴンで物体を ションとGPUの関係について、ソフトウェアの視点か
表現して奥行き判定を行い、隠面消去を実行すると ら俯瞰してみる。アプリケーション・ソフトウェアが
いう画像処理方法は、今も昔も変わっていない。 GPUの機能を使うには、OpenGLの関数を呼び出す
　現在、GPUとして広く利用されているグラフィック 必要がある。OpenGLは、
APIとしての側面を持つが、
ス・ハードウェアは、米国SGIの創業者でStanford 実際はハードウェアに直接アクセスするドライバ・ソフ
大学教授のJim Clark
（ジム・クラーク）氏が、1981年 トウェアである。その意味で、
OpenGLのAPI仕様は、
に発表したジオメトリ処理を行う
「ジオメトリ・エンジ ハードウェア・アーキテクチャ（設計思想）
そのものと
ン」がその原型だと言える。ジオメトリ・エンジンを発 言ってもよい。
展させ、現在のグラフィックス・アーキテクチャを確 　CPUは汎用性の高いスカラ型プロセッサ、GPUは
立したのは、Clark氏の教え子であったSGI共同創 画像処理に特化したベクトル型プロセッサとして大別
業者のKurt Akeley
（カート・エイクリー）氏である。 できる。通常、ベクトル型プロセッサは、数段のステー
　Akeley氏は、1986年に発表したワークステーショ ジを持つパイプライン処理を得意としており、GPUは、
ン「Silicon Graphics 4D」シリーズで、3次元物体の 特にグラフィックス・パイプラインと呼ばれる可視化処
表面を三角形で表現し、頂点を2次元座標に変換し 理に特化したものである。
た後、三角形内部を塗りつぶしながら奥行きバッファ 　グラフィックス処理についてもう少し詳細に解説す
法（Zバッファ法）
による隠面消去を行う手法を実現し る。図1では、グラフィックス処理の流れ作業を行うグ
た。その後は、画像処理速度の向上という形でグラ ラフィックス・パイプラインの全体構成を示している。
フィックス・ハードウェアは進歩し続け、現在に至っ パイプラインは機能別に5つのステージで構成されてお
ている。 り、それぞれのステージで実行するタスクの頭文字を
　1986年以降のイノベーションと呼べる質的な進歩 とって、
「G」
「T」
「X」
「S」
「D」
とステージが分かれている。
は、1990年に発表されたワークステーション「Silicon 　以下では、各ステージで実行されるタスクの処理内
Graphics VGX」で実現されたリアルタイム・テクス 容について簡単に述べる。
チャ・マッピング技術や、1990年代後半から台頭し
だしたPCベースのグラフィックス・ハードウェア、 ■G
（Generation：
「シーングラフ」
の生成）
2001年に発表された米国NVIDIAによるプログラマ 　アプリケーションが定義するデータ構造にしたがっ
ブルGPU、そして2007年から本格化しだした汎用的 て、表示したい3次元モデルのデータをメイン・メモリ
な計算へのGPUの応用、つまりGPUコンピューティ 上に構築、
または更新する。
このメイン・メモリ上のデー
ングが該当するだろう。 タ構造は、しばしばシーングラフと呼ばれている。G
　グラフィックス・ハードウェアの1990年以降におけ の処理を行うのはCPU上で動作するアプリケーショ
る性能の伸びを見てみると、ワークステーション向け ンやライブラリである。
（1990〜1998年）
とPC向け
（1999〜2004年）のそれ
ぞれにおいて、
1年で約2.3倍ずつ性能が向上しており、 ■T
（Traversal：表示データの抽出）
ムーアの法則を上回るスピードで進歩していることが 　構築されたシーングラフをたどり、OpenGLの関数呼
わかる。 び出しによって、三角形の頂点データ群をGPUに送る。

100 Computerworld July 2008

 Computing

Computing
G T X S D
Transformation
Generation Traversal /Xformation Scan conversion Display
（3次元データの生成） （表示データの抽出） （座標変換） （塗りつぶし） （ディスプレイ出力）

シーングラフAPI OpenGL

3Dデバイス・ドライバ ソフトウェア

CPU GPU ハードウェア

Tの処理は、アプリケーションが行ったり、OpenGLの 計算する。また、三角形上で各画素に対応する点の
上位に位置するライブラリが行ったりするが、最終的に 奥行き
（Z値）
も計算し、最終的には1番手前となる三
はOpenGLドライバがすべてのデータを出力する。 角形についてその画素の明るさを決定する。結果は、
フレーム・メモリ上に画像データとして書き込む。Sの
■X
（Transformation/Xformation：座標変換） 処理はGPUで行われる。
　三角形の頂点（X、Y、Z）データや座標変換行列
データのほか、光源情報や三角形の明るさ情報を、 ■D
（Display：画像データから画像信号への変換）
まずは前段のTから受け取る。 　フレーム・メモリの画像データを読み出し、固定レー
　次に、各頂点座標をスクリーン上の3次元座標（2 トの同期信号（ビデオの垂直同期）にしたがって、ビ
次元スクリーン座標と奥行きのZ値）
に変換し、各頂 デオ信号としてコネクタ
（VGA、DVIなど）
からディス
点の明るさも計算する。Xの処理はGPU上で行われ プレイに出力する。
る場合が多い。

演算ユニットは128個──処理
■S
（Scan conversion：三角形の塗りつぶし） 能力ではCPUをはるかに凌駕
　スクリーン座標の3頂点として与えられた各三角形
の内部に存在する全画素について、RGBの明るさを 　GPUが行う処理は「ストリーム・プロセッシング」
と

July 2008 Computerworld 101

 Technology Focus
図2：GPUにおけるストリーム・プロセッシングのイメージ
入力 出力
ストリーム ストリーム
（データ） （データ）
カーネル
（演算処理機能）
言い表すことができる。入力されるストリーム
（データ）
は、データを処理するカーネルと呼ばれる演算処理
機能に流れ込む。このカーネルで入力ストリームは演
算処理された後、出力ストリームとして結果が出る。
カーネルの機能は、入出力のストリームによって決め
られており、入出力機能を備えた逐次プロセスをプロ
グラミングできるようになっている
（図2）
。 Teslaの開発環境は、OpenGLとはまったく異なり、
　さらに、ストリームと呼ぶように基本的に動的なデー
タが処理対象であるため、カーネルでの演算処理過
程においては、データをリアルタイムに解析し、高精
度かつ高速処理が行える構造になっている。
　カーネルがストリームの演算処理を行う際には、動
的なデータの並列処理が可能なパイプライン処理が
写真1：NVIDIAのHPC向けGPU「Tesla C870」
102 Computerworld July 2008
利用されている。GPUでは、こうした一連の処理が
画像処理のみに使われているため、その性能（処理速
度）がCPUに比べて格段に高速であることは当然の
ことだと言える。
　GPUの性能をCPUと比較すると、CPUのコア数
が現在2〜8コアであるのに対して、GPUは並列処理
が可能な128個の演算ユニットを持つほど高性能化
が実現されている。また、メモリ帯域幅は、CPUが
20GB ／秒であるのに対して、GPUは100GB ／秒
を誇る。ベクトル型HPCの雄であるNECのSXシリー
ズのメモリ帯域幅は256GB秒であり、それに対して
実に約半分の帯域幅があるのである。まだ半分という
よりも、むしろコモディティ製品の性能向上速度を考
慮すれば、もう半分まで来たと言ったほうが当たって
いるかもしれない。
　昨年、
NVIDIAが発表したHPC向けのGPU
「Tesla」
のピーク性能は、518GFLOPSにも達する
（写真1）
。
「CUDA
（Compute Unified Device Architecture）
」
と呼ばれる統合開発環境がNVIDIAより提供されて
いる。現状では、このCUDAこそが、GPUコンピュー
ティングを実現するカギとなる。
　しかしながら、CUDAは、NECのSXシリーズのよ
うに、コンパイルするだけである程度自動ベクトル化
されるものではなく、その開発環境はまだプリミティ
ブなものである。CUDAを利用したプログラミングに
は、ハードウェア環境を考慮したコーディングが必要
になる。また、CPU用のインテル・コンパイラなどと
連携する必要があり、CPUとGPUで処理する2つの
バイナリが生成されることになる。
　GPUコンピューティングは、現状のGPUの処理性
能が高いので、汎用計算にも使ってみようという一種
の“トライアル”的側面を持つので、使い勝手がよくな
い点は否めない。しかし、昨今のGPUは、1つの命令
で 複 数 のデータを扱う処 理 方 式「SIMD
（Single
Instruction/Multiple Data）
」でストリームを処理す
る傾向にある。こうしたGPUを多数そろえるのであれ
ば、旧来のベクトル型HPCに比べてかなり廉価に
 Computing

Computing
HPCを構築できることになる。メモリ環境も含めてそ 図3：CUDAを利用した、CPUとGPUの連携によるGPUコンピューティングのイメージ

れを目指したのが、
GPUコンピューティングなのである。 GPUコンピューティング

CUDAによってCPUとGPUの連携が可能になる
GPUコンピューティングは
CPUとの連携で実現される
CPU GPU

　GPUを汎用的な科学計算に利用するためには、賢
いCPUの力を借りて“CPU-GPU連合”を形成した
うえで、例えばC言語で使えるような、並列プログラ
ミング・モデルの環境を作り上げる必要がある
（図3）
。
その際、CUDAが、GPUのような特殊な並列処理プ
ロセッサを汎用の計算に使うための、いわば並列プロ 境において、図4のようなCPUとの共存関係でその
グラミング・モデル環境の統合開発環境として用いら 能力を発揮する。
れる。 　最新のGPUにおいては、ワンチップ上に16個のマ
　CUDAの構造と機能について、順に述べることに ルチコア
（マルチプロセッサ）
が載った階層型メニイコ
する。例えば、NVIDIAのGPUに「GeForce 8800」 ア構造となっている。そして、1つのマルチコアは、8
がある。GeForce 8800は、さらにHPC向けのTesla 個のコア
（プロセッサ）
で構成されている。注意してほ
シリーズへと発展しており、TeslaはCUDAの開発環 しいのは、GPUにおいてコアとプロセッサは同義であ

図4：GPUコンピューティングにおけるCPUとGPUの関係

GPU
（演算処理に特化）

グリッド
CPU
（ホスト・コンピュータ） ブロック

カーネル

スレッド

July 2008 Computerworld 103

 Technology Focus
図5：GPUにおいてステージ化された各種演算パイプライン
積和演算
乗算
除算
超関数
その他
り、ここで言うプロセッサは通常のCPUとは異なると
いう点だ。なぜなら、GPU内に搭載された128個の
コアは、SIMD型並列演算処理のために用意された
アクセラレータとして働くプロセッサ群であり、その機
能がCPUとは異なるからである。
　ホスト・コンピュータのCPUは、ユーザーが作成し
たプログラムをコンパイルし、並列プログラミング・モ
デルに従ったカーネルをプログラムとしてを作成し、
グリッド・モデルで演算できるような状態にしてGPU
に渡す。グリッドは、
複数のブロックで構成されており、
マルチスレッド構成の1つのブロックに対して1つのマ
ルチコアがデータの処理を行う。
　加えて、
GeForce 8800やTeslaのようなGPUでは、
GPU内の各コアにおいて演算パイプラインがステージ
化されている。ステージ化されたパイプラインの演算
機能も複数に及ぶが、1つのパイプラインが多重構成
になっている点も重要である
（図5）
。 安価にシステムを構築できるうえに、並列構成をとっ
　こうしたGPUの高度な演算性能をCUDA環境下
104 Computerworld July 2008
でCPUと連携させることで活用可能にすれば、これ
までのHPCに比べてはるかに低価格であるにもかか
わらず、高度な処理能力を持ったHPCを構築できる。
そのため、
「価格が安い」
というだけで、
GPUコンピュー
ティングの性能を軽んじるものではない。GPUコン
ピューティングでは、空間並列処理はSIMDで実現
できるうえに、ステージ化されたパイプライン処理を
実行できる。そのため、ベクトル型HPCが得意とし
ている時間並列処理も可能なのである。
　図6に、ベクトル型コンピュータと並列型コンピュー
タをメモリ帯域幅と演算パイプラインの処理速度の観
点から比較したものを示す。前者はプログラミング・
モデルが時間並列型にデータを処理しているのに対
し、後者は、CUDAを利用したGPUコンピューティ
ング環境も含め、
データを時間並列型に処理しつつも、
基本的には空間並列型でプログラミング・モデルが構
成されている。
　そもそも、ベクトル型HPCがなぜ高速処理ができ
るかと言えば、高速処理が可能な時間並列型パイプ
ラインで構成された演算装置に対し、その演算性能
に見合うだけのデータを効率よく供給しているからで
ある。これは、効率よくデータを並列処理できるプロ
グラミング・モデルを採用していることが大きく関係し
ている。
　しかし、ベクトル型HPCは非常に高価であり、さ
らに今後の技術的発展すら危ぶまれているのが現状
である。その理由は、高速処理装置へのデータ供給
装置が大きなメモリ帯域幅を確保しなければならず、
そこに多大なコストがかかるからだ。本来、CPUとメ
モリ帯域幅はギャップが大きくて当然なのだが、ベク
トル型HPCでは、データのパイプライン処理を実行
するためにCPUとメモリ帯域幅のギャップを解消しよ
うと、そこにコストをかけているわけだ。
　それに対し、空間並列型にCPUを配置してデータ
の並列処理を実行しようとするのが並列型コンピュー
タの基本的な考え方である。ベクトル型HPCよりも
た数多くのCPUに対し、それらの処理性能に見合う
 Computing

Computing
図6：メモリ帯域幅と演算パイプラインの処理速度から見た、ベクトル型コンピュータと並列型コンピュータの違い

ベクトル型コンピュータ 並列型コンピュータ

メモリ キャッシュ ベクトル・レジスタ メモリ ネットワーク キャッシュ レジスタ

演算
パイプライン
演算パイプライン

メモリ帯域帯 メモリ帯域帯

だけのデータが常にそろっていれば、場合によっては
ベクトル型HPCよりも速い処理速度が得られる。し
かし、基本的にここで問題となるのが、メモリ帯域幅
に関係するメモリからのデータ出力スピードである。
　しかし、並列型コンピュータでも、アプリケーショ
ンに特化したデータ処理環境であれば、並列化され
た各CPUへデータを供給し続けることができ、メモリ
帯域幅の問題を解消できるケースもある。その場合、
メモリ帯域幅が各CPUで効率的に利用されることに
なり、等価的に大きなメモリ帯域幅を備えたと解釈す
ることができる。この原理を利用したのがGPUコン
ピューティングなのである。
　GPUコンピューティングのすばらしい点は、主に
空間並列型のデータ処理にもかかわらず、ベクトル型
HPCに匹敵するデータ処理性能を実現し、かつ汎用
的なデータ処理機能も備えようする試みであるところ
だ。これまでであれば、両立が困難であった機能が
GPUコンピューティングで実現されようとしているの
である。その意味で、
GPUコンピューティングは今後、
非常に注目すべき技術だと言える。
　加えてGPUそのものが、ベクトル型HPCに搭載さ
れるCPUの性能をしのぎ、超高速な汎用処理機能を
発展させていく可能性を秘めている。
　いずれにせよ、GPUコンピューティングでは、ベク
トル型HPCと比べて、同等の計算処理能力を備えた
HPCを3〜4ケタ安く構築できるということは夢でなく、
今後はGPUの発展によりさらにその差は広がるであ
ろう。

July 2008 Computerworld 105

 IT業界でサバイバルするための

ITキャリア解体新書
システム開発編 システム運用管理編 ITトレーナー編 販売／サービス編 経営管理編

第 4回 プロジェクト・マネジャー
「プロジェクト・マネジャー」
は、言うなれば現場監督であり、プロジェクト進行の潤滑油であり、対外交渉の窓口であ
り、そして時にメンバーのためのサンドバッグである。システム開発の現場を一致団結させるためには、技術力だけ
ではなく、強力なリーダーシップとコミュニケーション力も求められるのだ。やりがいも達成感も得られ、おまけにス
トレスまで付いてくるプロジェクト・マネジャー。IT業界で出世すると腹をくくった人は、ぜひチャレンジしてほしい。

横山哲也
グローバル ナレッジ ネットワーク、マイクロソフトMVP

職務概要 存在意義

　ソフトウェア開発は、
「プロジェクト」の形態を取る。
この場合のプロジェクトとは、与えられた予算で、一
定の期限内に、要求された機能を実現するための活
動全般を指す。プロジェクト・マネジャーは、プロジェ
クトが円滑に進行するように管理する職種である。
　プロジェクトは、決定した時点で予算／納期／機能
が決まっている
（ことが多い）
。プロジェクト・マネジャー
は、要求された機能を実現するための作業量を見積
もり、費用と納期を算出する。事前に与えられた予算
と納期との差が大きい場合は、発注者（あるいはスポ
ンサー）
と協議して、予算を増やすか、納期を遅らせ
るか、あるいは機能を削減するかを決定する。
　プロジェクトがスタートしたら、限られた予算と限ら
れた期間で、必要な機能を満たすソフトウェア
（シス
テム）
が完成するように采配を振るう。プロジェクトの
進行が遅れた場合は、その対策を考え、臨機応変に
対応するのもプロジェクト・マネジャーの職務だ。
　ソフトウェア開発は、複数のサブシステムに分割し
て実行されることが多い。これによって同時並行作業
が可能になり、開発期間を短縮できるからだ。
　しかし、分割したサブシステムは、最終的に結合さ
れなければならない。特定のサブシステムの完成が遅
れると、全体の完成が遅れる場合がある。大規模な
プロジェクトの場合、多くのプログラマーは自分の担
当分野しか把握していない。プロジェクト・マネジャー
は、全体を把握し、プロジェクト・メンバーのモチベー
ションが下がってしまったら励まし、プロジェクト進
行の阻害要因があればそれを排除する。
　残念なことに、最近ではプロジェクト・マネジャー
になりたがらない若手が増加しているらしい。確かに
プロジェクト・マネジャーはハードな仕事である。
　しかし、プロジェクトが始まらないことには、ITシ
ステムは完成しない。プロジェクト・マネジャーこそが
ITシステム構築の要なのだ。

106 Computerworld July 2008

 2 2 2 2

必要な経験／スキル
　プロジェクト・マネジャーの本質は管理職である。し
ワ ン ポ イ ン ト お 役 立 ち 情 報
プロジェクト・マネジャーが持っていたい資格
国際資格系
●プロジェクト・マネジメント・プロフェッショナル（PMP）
米国の非営利団体PMI
（Project Management Institute）
が認定
している国際資格。資格は「カテゴリ1」と
「カテゴリ2」に分かれて

かし、プロジェクトの進行上の問題を正しく理解し、 おり、どちらも実務経験がなければ受験できない。

適切な対策を講じるには、技術的な知識も不可欠だ。
そのため、一般にはシステム・エンジニア
（SE）
の次の
ステップがプロジェクト・マネジャーとされる。
プログラマーとしての経験
　プログラムの工数を見積もるためには、プログラ
マーの経験があったほうがよい。最低でも、プログラ
マーの仕事については十分に理解しておきたい。
国家資格系
●情報処理技術者試験「プロジェクト・マネジャー」
情報処理推進機構（IPA）が実施している
「プロジェクト・マネ
ジャー試験」は、情報システム開発プロジェクトの責任者として、
企業および情報システム全般に関する知識と経験を問うものだ。
ベンダー資格系
●マイクロソフト認定システム エンジニア（MCSE）
●シスコ・サーティファイド・ネットワーク・プロフェッショナル（CCNP）

SEの経験
　仕様書から工数を算出するには、SEの経験があっ
たほうがよい。実際の仕様書はプロジェクト内のSE
が記述するだろう。しかし、その検証は、プロジェクト・ 一度決まった日程を変更するのは難しい。予算が超
マネジャーの仕事である。 過した場合は、だれが負担するかでもめることもある。
料理は参加者の好みに合うか、2次会の場所は確保
リーダーシップとコミュニケーション力 したか、終電の時刻に間に合わせる
（あるいは間に合
　リーダーシップを発揮することと強引に物事を進め わせない）
ために、どうプロジェクト
（合コン）
を進行さ
ることは違う。プロジェクト・メンバーに仕事を無理強 せるか──。こうしたさまざまなリスク分析と状況判
いをしても生産性は上がらない。また、プロジェクト 断は、現実のプロジェクトでも非常に役立つ。
の進行中に起きるトラブルは、人間関係に由来するこ
とが多い。現場の“空気”を読み、メンバーが仕事に 待遇
集中できる環境を構築する工夫も必要だ。
　責任が重く年齢層も高めであることから、SEより
　ただし1つ注意してほしい。SEが純粋な専門職で も年収はよい。プロジェクトの規模にもよるが、平均
あるのに対し、プロジェクト・マネジャーは管理職であ すると700万円程度になるようだ。ただし、小規模な
る。単純なステップ・アップではない。もしあなたが プロジェクトを担当する場合はもっと低いこともある。
SEで、
「プロジェクト・マネジャーにならないか」と上 逆に、責任範囲によっては1,200万円程度の収入を
司から打診されたら、慎重に検討しよう。 得ている人もいる。

採用の決め手となる
“究極の質問” 暇がない人も多
いらしい
ただし金を使う
年収 ★★★★ ばろう
ない程度にがん
「重圧」と感じ
★★★★ 象になる心配は
ない
「合コンの幹事は得意ですか？」 やりがい ★ 当分は自動化 やアウト ソーシングの対

将来性 ★★★★ クン」とあしら

われる危険性も
……
　あらゆるイベントはプロジェクトの要素を持つが、 単なる「段取り
モテ度 ★★
合コンは特にその要素が強い。失敗した場合に強く
非難されるからだ。よく知らない相手が参加するので、

July 2008 Computerworld 107

 IT KEYWORD

40
▼

ISDB-Tmm
I T
K E Y W O R D

（Integrated Services Digital Broadcasting-Terrestrial Mobile Multimedia）

ストリーミング／ダウンロード配信が可能な
“ポスト・ワンセグ”規格
4 0

Computerworld 編集部

　ISDB-Tmmとは、地上デジタル放送やワンセグ、 当てを希望しているのは14.5MHzである。VHFハイ・
デジタルラジオで利用されているISDB-T方式を拡 バンド帯に当たる14.5MHzは、受信のしやすさから
張した携帯機器向けマルチメディア放送規格のこと 携帯機器向けマルチメディア放送に適すると言われ
である。ワンセグを発展させた規格であるため、
“ポ ており、アンテナや受信機の小型化が見込める。
スト・ワンセグ”
として有力視する向きもある。 　技術的には、ISDB-Tにデジタルラジオの規格で
　2011年にテレビ放送がアナログからデジタルへ切り あるISDB-Tsbを組み合わせたものがISDB-Tmm
替わることで、アナログ放送が利用していたVHF帯 である。映像フォーマットにH.264（MPEG-4 AVC）
に新たな空きができる。空いた周波数帯の利用につ が採用されており、現在のワンセグと共通している
いては現在、総務省で議論が進められており、その1 点が多く、テレビ局などの映像コンテンツ制作側が
つとして検討されているのが、携帯機器向けマルチメ 既存資産を生かしやすい。また、ワンセグやデジタ
ディア放送である。米国Qualcommが開発した携帯 ルラジオと基盤技術が共通であるため、共用端末を
機器向けマルチメディア放送の
「MediaFLO」
やデジ 作りやすいというメリットもある。
タルラジオなども、ISDB-Tmmと同様に同周波数帯 　ISDB-T m mでは、14.5MHzをワンセグと同じよ
の利用に名乗りを上げている。 うに429k H z単位で分割してサービスを提供する。
　空きが出る周波数帯のうち、ISDB-T m mが割り 対抗規格として挙げられるMed ia FLOは、6M Hz
単位で分割するため14.5MHzの帯
ISDB-Tmmによる周波数利用イメージ。ストリーミング用帯域とダウンロード用帯域を時間帯に 域を使い切れず、むだが生じると
より柔軟に使い分けることができる
の指摘もある。
利用可能帯域幅
　また、ISDB-Tmmでは、ストリー
ストリーミング用帯域

ストリーミング用帯域

ストリーミング用帯域

ドラマ ミング型とダウンロード型による2
映画 つの映像配信形態が想定されてい
昼間

音楽
る。周波数を細かくセグメント分割
グラビア できるため、情報のリアルタイム性
ニュース が求められる昼間にはストリーミン
ダウンロード用帯域 グ配信、逆に夜間にはダウンロー
ド配信を中心にするといった柔軟
ストリーミング用帯域

ドラマ
映画
音楽 なサービス展開が可能だという。
夜間

小説
　なお、ISDB-Tmmは、フジテレ
グラビア
ニュース ビ、NTTドコモなど5社が設立した
スポーツ
ショッピング
マルチメディア放送企画LLC合同
会社
（MMBP）
が主導している。

108 Computerworld July 2008

　AppleがiPodで展開したのは垂直統合
モデルだ。iTunes Storeで楽曲やビデ
オを購入し、ソフトウェアのiTunesで再
生し、ポータブル・プレーヤーのiPodに
転送して外出先でも楽しむ。Webサイト
やソフトの使い勝手のよさ、そしてiPod
のデザインのカッコよさが相まって強固
な垂直統合モデルとなったのである。
　だ が、2007年2月、同 社CEOの ス
ティーブ・ジョブズ
（Steven Jobs）
氏は
各レコード会社に対してDRM
（デジタル
著作権管理）
を放棄するよう呼びかけた。
「すべてのオンライン・ストアが、オープンでライセンス
可能なフォーマットにエンコードされたDRMフリーの楽
曲を販売する世界を想像してほしい。このような世界で
は、すべてのプレーヤーがすべての店舗で購入した曲
を再生でき、すべての店舗がすべてのプレーヤーで再
生可能な曲を販売できる。これが消費者にとって最良
の選択肢であることは明らかで、Appleもこの選択肢を
支持する」
（CNET Japan 2007年2月7日の記事より）
　Appleはそれまで、
「FairPlay」
という独自のDRM技術
を組み込んだ楽曲を販売することで莫大な利益を上げ
てきただけに、この意向は業界の人々をひどく驚かせた。
　このJobs氏の方針は、実のところ、垂直統合戦略か
らプラットフォーム戦略への転換である。Web 2.0の
世界においては、垂直統合を維持するよりもプラット
フォームに移行するほうが、最終的な収益は大きくなる
可能性が高い。つまり下位レイヤを自社で押さえ、上
位レイヤにさまざまなプレーヤーを引き込んで、彼らが
自社プラットフォーム上で競争を繰り広
げてくれれば、プラットフォームの優位
性はますます高まり、収益も増えるとい
インターネット劇場 うわけだ。
　
「DRMをやめたらAppleの売上げが減
るのではないか」
と多くの業界人はいぶか
しんだが、すでに消費者の間にすっかり
浸透し尽くしているiPodとiTunesは、そ
の程度の理由では売上げが落ちない。
佐々木俊尚 逆に、他の楽曲配信サイトやポータブル・
T o s h i n a o S a s a k i プレーヤーの顧客層をAppleの下に引き
寄せることが可能になり、さらに市場支
Entry 配力は高まるとJobs氏は踏んだのではないだろうか。
24 　これこそがプラットフォーム・モデルの脅威である。
垂直統合モデルから
プラットフォーム・モデルへ
このモデルを最初に具現化したのはご存じ、Googleだ。
Googleは検索エンジンというツールをビジネス化し、
その上に巨大な広告ネットワークを構築することに成功
し、たぐいまれなプラットフォーム企業となった。
　このアプローチの延長線上で考えれば、日本の携帯
電話業界も、まもなくプラットフォーム・モデルへと転
換していくと思われる。2007年10月、総務省は
「新競
争促進プログラム2010」
を発表し、この中で、携帯電
話キャリアが独占してきた本人確認や課金サービスへ
の新規参入を促している。クレジットカード会社などが
共通IDを発行し、この共通IDを使ってeコマースだけで
なくコンテンツ課金も行えるようにするというものだ。
　既存の携帯キャリアは抵抗感を持つかもしれない。
だが、逆にとらえれば、自社のビジネス・モデルをプラッ
トフォーム型に転換していく好機になるとも言える。
PROFILE
ささき・としなお。ジャーナリスト。1961年
兵庫県生まれ。毎日新聞社記者として警視
庁捜査一課、遊軍などを担当し、殺人事件
や海外テロ、コンピュータ犯罪などを取材
する。その後、アスキーを経て、2003年2
月にフリー・ジャーナリストとして独立。以降、
さまざまなメディアでIT業界の表と裏を追う
リポートを展開。『ライブドア資本論』、
『グー
グル——既存のビジネスを破壊する』 など著
書多数。
July 2008 Computerworld 109
 　シリコンバレーのエンジニアの給与水 そもそも優秀な人材を獲得することを主
準はかなり高いです。 目的にベンチャー・キャピタルから資金
　日本だと、大卒でメーカーに入社し 調達をするので、一流企業と同水準の
たばかりのエンジニアなら、年俸で400 給与、それに加えて当たれば大もうけの
万もらえればよいほうだと思いますが、
IT哲学 ストック・オプション、という感じで、
この地のソフトウェア・エンジニアだと、 待遇面から考えればどう転んでもベン
同じ条件で6 ～ 7万ドル辺りが平均的 チャーに行くことによるデメリットはほと
です。修士卒で7 ～ 8万ドル、博士卒 んどないのです。もし、そのベンチャー
なら学問の業績次第で8 ～ 10万ドルと が倒産したら、それこそ、そのときになっ
いった感じで、給与面から見れば明ら て大企業に就職すればよいのですから。
かに日本よりも学歴が重視されますし、
江島健太郎 こういう風土の後押しがあるから、優秀
K e n n E j i m a

優秀な人材に対してはきっちり支払うと な人材が不安を抱くことなくベンチャー
いう姿勢がうかがえます。 Entry
に集まるのだ、とも言えます。

34
エンジニアの給与水準に見る
日本とシリコンバレーの違い

　10万ドルというと、初任給にしてすでに2.5倍の差 　私は、そういったエンジニアを雇用する立場にある
ですが、ここにはもちろん別の差もあります。 ので、同じ優秀さのエンジニアなら日本のほうが安く
　多くの日本企業では、業績さえよければ年度ごとに 雇えるというのは魅力的に映ります。一方で、約2倍
ベースアップがあり、年々給与が増えていくと思いま の給与差があっても日本を出ようという発想のない人
すが、こちらでは役職がつくなどジョブ・クラスが上が が多いことからもわかるように、英語の壁が高いのか、
らないかぎり給与は変化しません。つまり、新入社員 それとも日本が好きなのか、国際的な視点で行動でき
のときの給与水準のままずっと働く、ということも十 ているエンジニアは驚くほど少ないように思います。だ
分あるわけです。また、家賃や医療費などの物価が東 から、結局給与が高くても在米のエンジニアを雇うの
京よりも高いということもあります。したがって、どち が一番合理的だ、と判断しているのです。給与水準
らが得か損かは一概には言えない部分もあります。し が高いのは経営者としてはつらいけれど、それにはそ
かし、それにしても20代、30代のころに金銭的な余 れなりの理由があるのだな、とひしひし感じています。
裕が2倍もあるのは、ライフスタイルに大きな違いを生
むでしょう。 　日本にも優秀な技術者はいる、という議論をよく見
かけますし、
同意もするのですが、
「優秀」
の定義には
「海
　また、ベンチャー企業と一流企業とで、待遇の差 外にも目を向け、かつ行動を起こしているか」
も含まれ
がほとんどないのも特徴的です。
こちらのベンチャーは、 ているような気がしてなりません。

PROFILE
えじま・けんたろう。インフォテリア米国法
人代表／XMLコンソーシアム・エバンジェ
リスト。京都大学工学部を卒業後、日本オ
ラクルを経て、2000年インフォテリア入社。
2005年より同社の米国法人立ち上げの
ため渡米し、2006年、最初の成果となる
Web2.0サービス
「Lingr
（リンガー）
」を発表。
1975年香川県生まれ。

110 Computerworld July 2008

 　言うまでもないことですが、IT投資の に1本当たり14kgのCO2を吸収するそう
意思決定においては、投資効果の評価 なので、ITの投資効果を杉の木の本数
が重要です。 に換算することが可能です。
　通常、投資効果を表現するには、コ テクノロジー・ランダムウォーク 　例えば、SCMソリューションの採用
スト削減、あるいは売上げ増という形で により、運搬車両の削減が見込めると
金額への換算が行われます。企業イメー します。従来は、
この削減効果を人件費、
ジ向上、従業員のモラル向上などの定 ガソリン代、高速代、車両保守費用な
量化しにくい効果もありますが、これら どに換算して
「年間xxx万円のコスト削
の効果を、ちょっと無理をしてでも金額 減が見込めます」
というように見積もり
に換算して評価することが多いでしょ
栗原 潔 を出していたわけですが、今後は
「年間
う。グリーンITが注目される昨今、ITの K i y o s h i K u r i h a r a xxx万トンのCO2が削減できます。これ
投資効果としてこのような金額換算の は、xxx本分の杉の木に相当します」
と
価値だけではなく、環境への貢献度も加えてみてはい Entry いう見積もりを提案書に加えることも考えられます。
「環境貢献度」

かがでしょうか。 34
ＩＴ投資の価値として

排出権取引による明確な環境貢献
　ITは、本来的には地球にやさしいテクノロジーです。 　こういうエコ系の話は気分的な問題であって実際的
物理的な物のやり取りを最適化したり、デジタルな情 な意味はないと考える方もいらっしゃるかもしれませ
報に置き換えたりできるからです。これにより、化石 ん。しかし、そもそも、なぜ環境省がこのようなCO2
燃料や電力の消費、排気ガスの排出量を削減でき、 排出量の係数を公開しているのかを考える必要があり
を使ってみませんか

環境に貢献できることは容易に理解できます。 ます。これは、排出権取引を念頭に置いているのです。
　ここでの問題は、定性的には明らかであるITによる 　排出権取引とは、各国あるいは企業ごとに温室効果
環境への貢献度をどのように定量化するかという点で ガス削減の目標を設定し、目標が達成できなかった国
す。実は、温室効果ガスの排出量などを計算するため や企業が、目標を上回って削減できた国や企業から排
の基 本的係数が 環 境 省により公表されています 出権を買うことで相殺できるという制度です。目標達
（http://www.env.go.jp/earth/ondanka/santei_ 成に金銭的インセンティブを与えることで効率的に環
keisuu/keisuu.pdf）
。これを利用することで、
ITソリュー 境問題に対応しようという考え方です。
ションの導入によるCO2削減量をおおまかに算出でき 　まだ、日本においては企業間の排出権取引の市場
るのです。一例を挙げると、ガソリン1リットルの燃焼 が確立した段階にはありませんが、ITによるCO2削減
により、2.32kgのCO2が生成されます。また、やはり 効果を金銭的な価値としてアピールできるケースも増
環境省のデータによれば、
（成長中の）
杉の木は1年間 えてくるかもしれません。

PROFILE
くりはら・きよし。テックバイザージェ
イピー（TVJP）
代表取締役。弁理士の
顔も持つITアナリスト／コンサルタント。
東京大学工学部卒業、米国マサチュー
セッツ工科大学計算機科学科修士課程
修了。日本IBMを経て、1996年、ガー
トナージャパンに入社。同社でリサーチ・
バイスプレジデントを務め、2005年6
月より独立。東京都生まれ。

July 2008 Computerworld 111