条件の変化に動的に対応できるセキュリティマネジメントとは？(2/2)

　実際に「セキュリティリスク管理」が行う処理は以下のようになる。

　まず、「セキュリティリスク管理」のエージェントを各クライアントにインストールしておく。クライアントのエージェントからの情報や、Networkシリーズからの情報が「セキュリティリスク管理」に集積され、一元的に管理できるようになる。たとえば、アンチウイルスソフトの導入がなされているか、セキュリティパッチはきちんと当てられているかといった不正アクセス対策などの情報を部署別に一覧でき、さらに個々のクライアント情報についてもドリルダウンして細かく表示させられる。エージェントがインストールされていないクライアントがネットワークに接続された場合は、Networkシリーズの「InfoCage 不正接続防止」がこれを検知し、その情報が「セキュリティリスク管理」に送られるようになっている。このようにしてクライアントがセキュリティポリシーを守っているかを管理者は容易に把握できるから、PDCAのCheckの手間を大いに省けるようになる。

図：協調型セキュリティ「InfoCage」 個々の対策が動的に「協調」することにより、組織全体のセキュリティ向上を実現している。また、各パートナー製品との「協調」により、さまざまな環境下でセキュリティ向上を実現。あらゆる脅威に対して必要な対策を段階的に導入することが可能だ

　では、セキュリティポリシーに準拠していないクライアントがあったり、あるいは前提条件が変わってセキュリティポリシーを変更する必要があったらどうするのか。その際は「セキュリティリスク管理」からClientシリーズ、Serverシリーズ、Fileシリーズの各製品へと新たなセキュリティポリシーを送り込むのである。

　セキュリティポリシーを受け取った各製品は、その内容にしたがって対策を行う。クライアントにエージェントがインストールされていれば、P2Pソフトウェアを全社で使えないようにするなど、これまでよりも強い制限をクライアントにかけることが可能になる。

　Networkシリーズでは検疫ができるため、エージェントがインストールされていないクライアントの接続を許可しないというポリシーを送り込むこともできる。長期出張から戻ってきて、現在のポリシーが守られていないクライアントは接続させないといった指示も行える。

　先述したように、InfoCageはパートナーベンダー製品とも協調して動作する。このため、「セキュリティリスク管理」から送り込まれたセキュリティポリシーはClientシリーズやFileシリーズなどを通じて、パートナーベンダー製品にも伝わっていく。これを則房氏は次のように語る。

「『セキュリティリスク管理』のポリシーが、セキュリティ製品全体に波紋のように伝わっていくイメージです。」

　「セキュリティリスク管理」の将来的なバージョンでは、エンドユーザーがクライアントの中身を変更すると、それを検知し、変更を許さないより強いポリシーを送り込むことができるようにするという。

　さらに、ポリシーを送り込んでクライアントから情報が漏れないようにするだけではなく、ネットワーク上のゲートウェイやファイアウォールに対してもプラスアルファの対策をさせることも検討しているとのことだ。たとえば、特定の時間帯にあるサーバへのアクセスを禁止するといったことが、ポリシーを送り込むだけで指示できるようになるのである。



　セキュリティポリシーを送り込むことで、全社的なセキュリティ対策を柔軟かつ迅速に変えられるのが、「セキュリティリスク管理」が大きな特長である。NEC内で実際に利用されているセキュリティポリシーの定義をCD-ROMに収録し、「セキュリティリスク管理」のユーザーに提供するサービスも行っており、運用のノウハウに自信がない管理者でも十全な対策をとることが可能になる。

「PDCAのDoを厳しくするだけだと、人間は必ずその抜け道を探してしまうものです。適切な対策を行うには、いかにチェック作業を効率化するか、そして適切なセキュリティポリシーによって全体のセキュリティレベルを上げるかが重要になってきます。」

●問い合わせ先
NEC
第一システムソフトウェア事業部
東京都港区芝浦4-14-22（大東田町ビル）
TEL：03-3456-3248
e-mail：info@mid.jp.nec.com