【インタビュー】 動的な対策を可能にする協調型セキュリティを提案

日本電気 マーケティング本部 上席アドバンストテクノロジスト,CISSP 則房雅也氏

　情報セキュリティリスクは多様化し拡大する一方だ。ウイルス、ワームはもちろんのこと、サイバーアタックやボットネット、スパム、フィッシングなど、その手口は悪質かつ巧妙化している。さらにコンプライアンス対応が強く求められるなか、組織内部からの情報漏えい対策にも目を光らせる必要がある。

　「こうしたリスクの多様化にともない、セキュリティ対策も複雑化しています。その結果、企業内には多数のセキュリティソリューションが導入され、運用管理の煩雑化が重要な課題となっています」とNECの則房雅也氏は述べる。また、ソリューション間の連携の不備が脆弱点を生み、かえってセキュリティリスクを拡大させてしまうケースも少なくない。

　こうした状況を解消するため、NECでは包括的な対応でセキュリティレベルの向上を目指す「協調型セキュリティ」を提唱している。「これはインシデントの発生にパッチワーク的に対応するのではなく、リスク全体を理解し、継続的・全体的な対策を考えるアプローチ。その出発点となるのがセキュリティマネジメントです」と則房氏は話す。

　セキュリティマネジメントには業務ロジックを重視したシステム視点と、セキュアなインフラ構築を重視したプラットフォーム視点の取り組みが不可欠。これにより、セキュリティレベルを可視化し、全体的な統制が可能になる。とはいえ、どんなにセキュリティ対策を強化しても、セキュリティリスクをゼロにすることは難しい。則房氏は「残存リスクに対応するには、セキュリティ対策間を連携させ、個々で生じる新たな脆弱性を他で埋める階層的な対策が必要です」と訴える。

　そこで協調型セキュリティではリスクに対する対策と効果に加え、その対策が無効化されてしまった場合の次の対策まで視野に入れている。たとえば、ワームやウイルスの脅威に対してゲートウエイ上で検出・駆除する対策を実施していても、シグネチャのない新種のワームやウイルスが発生した場合、これまでの対策が無効になってしまう恐れがある。そのリスクに対して、PCの隔離やサーバーへのアクセス制御を行うなど、現状を補う補完的対策を準備しておくのである。「これにより、環境変化や新たなリスクにも柔軟に対応でき、万が一の被害を最小化することが可能です」（則房氏）。


　こうした協調型セキュリティを実現する中核製品が「InfoCage」である。則房氏は「協調という言葉には2つの意味が込められています。1つは個々のセキュリティ対策が動的に“協調”して組織全体のセキュリティ向上を目指すという考え方。もう1つはパートナーとの密接な連携により、NEC以外のパートナー製品との“協調”を図るという考え方です」と説明する。

　InfoCageはクライアントに対する暗号化・認証機能などを提供する「Client」シリーズ、ファイルの暗号化や操作追跡を行う「File」シリーズ、サーバからのデータの持ち出し制御や認証を行う「Server」シリーズ、持ち込みPCの検知・遮断やポリシーの自動チェックを行う「Network」シリーズから構成されている。そして、セキュリティ対策の動的な“協調”を実現するため、各シリーズが緊密に連携している。「必要なところから一部のシリーズを導入し、順次適用範囲を拡大していくこともできます」（則房氏）。

　さらに、これらのマネジメント機能を強化するため、9月末から新たに「Management」シリーズの提供を開始した。第1弾製品の「InfoCage セキュリティリスク管理」を組み合わせれば、動的なセキュリティ対策をより効率的に行うことが可能だ。

図1：協調型セキュリティの構成概要 協調型セキュリティはシステムおよびプラットフォームの 側面からセキュリティマネジメントを強化し、 組織全体のセキュリティレベルの向上を実現する

　たとえば、セキュリティリスク管理を活用した検疫ネットワークでは、エージェントがインストールされていないPCや持ち出しPCがネットワークに接続されたことを検知し、その情報がセキュリティリスク管理に送られる。これにより、組織内の全PCのセキュリティレベルを可視化することが可能だ。「管理者はセキュリティポリシーの順守状況などを容易に把握可能。それをもとにセキュリティリスク管理から各シリーズに新たなセキュリティポリシーを送り、その後の対策を自動化することもできます」と則房氏はそのメリットを語る。

　具体的には、エージェントがインストールされていないPCに新たにエージェントを配布し、限定的な接続を許可することが可能。また持ち出しPCで現在のポリシーが守られていない場合は接続を許可しないといった動的な対策もタイムリーかつ自動的に行える。「これにより、環境変化に適用した組織全体のセキュリティレベルの向上を実現します」と則房氏は力を込める。


　一方、パートナー製品との“協調”に関しては、たとえばNetworkシリーズの「InfoCage 不正接続防止」とISS（現IBM）のIPS（侵入防止システム）との連携により、高度なワーム感染拡大防止システムを構築可能だ。またNetworkシリーズの「InfoCage PC検疫」とトレンドマイクロのウイルスバスターとの連携により、検疫ネットワークにワクチンやパッチの自動適用機能を付加したセキュアなネットワーク環境を構築できる。則房氏は「これらのパートナー製品をすでに導入している企業であれば、InfoCageを組み合わせることで、既存資産を有効活用し、最適なコストで協調型セキュリティを実現できます」と話す。

　さらにNECではパートナーとの“協調”を強化するため、ソフトウエアパートナー制度「InfoCage WORKS」を拡大。製品開発に加え、販売協業を目的としたパートナー制度を新設した。これにより、パートナー各社は自社のチャネルを活かした提案・販売・構築・保守サービスを行うことができ、サービス提供の幅を広げることができる。ユーザー企業は選択肢が拡大でき、より最適なソリューションの導入が可能だ。InfoCage WORKSには新たにマイクロソフト、ジュニパーネットワークス、富士ゼロックスが加入。それぞれIRM（情報権限管理）技術、SSL-VPN機器、プリントセキュリティとInfoCageとの連携・協調を実現している。

図2：拡大された「InfoCage WORKS」 各分野のトップベンダーとの“協調”により、既存資産を 有効活用する形で高度なソリューションの構築が可能だ

　セキュリティ対策はPlan（計画）、Do（対策）、Check（確認）、Act（指示）を継続的に回していくPDCAサイクルの考え方が不可欠である。しかし、実際にはDo（対策）の部分が重視されすぎ、その後のCheck（確認）がおろそかにされてきた面が否めない。「多様化するリスクに包括的に対応するには、Check（確認）の部分を強化し、対策の効果と課題を検証していくことが重要です」と則房氏は指摘する。Managementシリーズの提供およびInfoCage WORKSを拡大したInfoCageは、Check（確認）を重視した包括的な対策により、協調型セキュリティの実現を支援する。

　また、米国ではPC検疫をさらに強化したNAC（Network Admission Control）という考え方に注目が集まっている。NACを構成する技術要素には従来の検疫に加え、PCの常時監視、常時アクセス制御の変更、ユーザー／アプリケーションの詳細なログなどが求められる。今後、日本でもPC検疫からNACへの移行が予想されるが、InfoCageはその基盤インフラとしてのポテンシャルも備えている。「11月8日開催のセミナー『利便性を維持できるセキュリティ対策のコツ～視点を変えるだけでセキュリティレベルが上がる！その視点とは～』では、InfoCageの特徴やメリットに加え、NACへの期待と、その先駆けとも言える先進機能の一部を紹介する予定です。当日はぜひ会場に足をお運びください」（則房氏）。