RSAセキュリティ マーケティング 統括本部 本部長 宮園充氏

　現在のように、情報がさまざまに形を変え ながら、企業ネットワークの内外を自由かつ 高速に行き来する状況では、情報を壁の中に 囲い込み、境界をファイアウォールで保護す る従来型の対策だけでは不十分だ。

　たとえば、顧客情報が適切なルールにした がって社内にとどまっていれば、何の問題も ない。しかし、不特定多数の人物がアクセス できる場所に置かれた途端、漏えいのリスク が高まる。仮に顧客情報が社外に漏えいすれ ば、企業の社会的信用を失墜させてしまう。 あるいは、開発部門の設計図が漏えいすれ ば、企業の競争優位性が損なわれてしまう。 　つねに情報を中心に置き、どの情報がどこ にあるとき、どのようなリスクがあるかを正確 に把握すること。そして、把握したリスクに応 じて適切な対策を立てることが肝要なので ある。

　そこで策定されるのが、情報の取り扱いを 定めたセキュリティポリシーである。このセ キュリティポリシーを遵守するために利用さ れるのが、セキュリティに関わるさまざまなテ クノロジーだ。

　RSAセキュリティは、情報へアクセスする 従業員やパートナー、顧客などが正しく情 報を活用できる「認証強化」と「アクセス管 理」、情報の活用がセキュリティポリシーに 則っているかを監視・監査するための「統合 ログ管理」を、IT統制三種の神器ソリュー ションとして積極的に提案をしている。さら に、この前提として、重要情報が適切に保護 するための「暗号化」がある。次からはそれぞ れを紹介していこう。

図1 RSAセキュリティが実現するセキュリティ対策
※クリックで拡大

　まずRSA BSAFEは、ソフトウェアやハー ドウェアにセキュリティ機能を組み込むため の暗号化ツールである。デジタル複合機や携 帯電話、ネットワーク機器、OSや業務アプ リケーションなど、我々がオフィスや家庭で日 常的に利用しているハードウェア、ソフトウェ アの開発に使われている。エンドユーザーが 気づくことはまずないが、セキュリティに携わ る開発者にとっては、まさに定番製品である。

　RSA BSAFEはいくつかの製品から構 成されている。主力となるのは汎用暗号化 エンジンの「RSA BSAFE Cryptoシリー ズ」、PKIアプリケーションを開発する「RSA BSAFE Certシリーズ」、SSL通信を実装する 「RSA BSAFE SSLシリーズ」の3つとなる。 いずれもC言語とJavaでの開発がサポートさ れている。

　従来、組み込み分野で使われることが多 かったRSA BSAFEだが、最近は企業の独 自アプリケーションの開発に利用されるケー スが増えていると、RSAセキュリティ マーケ ティング統括本部 本部長 宮園充氏は言う。 「たとえば、金融の機密情報を扱う独自アプ リケーションに、セキュアなデータ通信機能を 実装したり、PKI環境を構築する際に使われ ています」

　今後、ネットワークを通じたサービス提供・ 利用が本格化することは間違いない。暗号 化機能を手軽に実装できるRSA BSAFEの 役割は、ますます大きくなるだろう。


　次に、ユーザーの「認証」を引き受けるの がRSA SecurIDだ。これは、いわゆるワン タイム・パスワードを実現する製品である。具 体的には、「トークン」と呼ばれるハードウェ アまたはソフトウェアを利用して60秒ごとに 6桁の数値を生成し、使い捨てパスワードと して利用する。

　さらに、ユーザー固有の2つの要素を組み 合わせる「二要素認証」によって不正アクセ スやなりすましを防ぐ。ユーザーが設定した 暗証番号とトークンが生成した数値の組み 合わせをパスワードにすれば、仮にトークン が盗まれても、トークンが生成する数値だ けでアクセスすることはできない。逆にユー ザーが設定した暗証番号が漏えいしても、 トークンがなければアクセスは不可能だ。

　RSA SecurIDは、すでに企業のリモートア クセスやオンラインバンキングの認証で広く 利用されているが、最近の傾向として、社内 クライアントへのログインに使われるケース も増えているという。

「普通のパスワードの場合、安全性を高くするために設定規則や変更ルールを厳密にすることがあります。例えば、8文字以上でアルファベットと数字を組み合わせたり、一定期間ごとに変更するといったような具合です。しかし、覚えるのが困難になり、メモ書きをするケースもあり、かえって危険です。また、忘れることが増えれば、管理者にパスワードのリセットを依頼するケースも出て、管理コスト増となってしまいます。RSA SecurIDなら、そうした現場の使い勝手向上や運用・管理面でのコストの軽減を実現できます」（宮園氏）


　在庫管理や顧客管理、社内ポータルや営 業支援システムなど、いまではWebベースの 企業内システムは当たり前になった。また、 オンラインショップをはじめ、不特定多数の ユーザーに公開されるコミュニティサイト、会 員限定のサイトなど、企業が一般ユーザーを 対象にWebサイトを運営することも珍しくな くなった。そこで問題になるのが、ユーザーの アクセス管理である。利用するシステムごと に異なるユーザーIDとパスワードを求められ たら、利便性が大きく損なわれ、業務の生産 性も低下してしまう。

　RSA Access Managerは、こうした問題 を解決する製品である。1つのシステムにログ インすると、その情報をもとに他のシステム にも自動的にログインできる「シングルサイ ンオン」を実現する。ユーザーの権限に応じ てシステムごとにアクセスを制御することも 可能である。

「最近、同じ企業内でまったく別々に提供して いたBtoCサイトのIDを統合したい、というご 要望をよくいただきます。ユーザーの利便性 が向上するだけでなく、サービス提供企業の 業務効率改善や、コスト削減にもつながって います」（宮園氏）

　ユーザー数の急激な増加に対応するため、 BtoCサイトには一般に高いスケーラビリティ とパフォーマンスが要求される。BtoCサイト での導入実績は、RSA Access Managerの 高い性能を裏付けるものと言えるだろう。


　セキュリティポリシーが適切に守られてい るかどうかを検証するには、システムのログを 収集し、監視・分析することが必須である。 そこで活躍する製品がRSA enVisionだ。 　RSA enVisionは、企業内のシステム、アプ リケーション、ネットワーク機器、サーバー、 セキュリティ機器などのログを収集・分析し てレポートを生成するログ管理製品である。 複数のセキュリティ機器を横断的に監視して 脅威の高い要因を検出したり、特定のユー ザーの活動をモニターすることも可能だ。 　アプライアンス製品であるため導入が容 易なのも特筆すべきポイントである。通常、ロ グを収集・集中管理するには、収集対象のデ バイスにエージェントを入れる必要があるが、 RSA enVisionなら、その必要はない。

「RDBMSによるログ管理は、ログに加えてインデックスなどの追加情報が必要となり、収集パフォーマンスやストレージ容量に課題があります。RSA enVisionは、ログ収集・管理に最適な専用データベースに より高いパフォーマンスを維持できるだけでなく、ストレージ容量が抑えられるメリットもあり、結果的にログ管理全体のコストを抑制することができます。」（宮園氏）

　収集対象の規模や収集量に応じて、柔軟 な構成をとることもできる。たとえば、複数の 拠点からなる大規模な分散環境の場合、収集 用、分析用のように複数のRSA enVisionに 役割を分担させて運用することも可能である。


　セキュリティ対策は、多角的、立体的に捉 える必要がある。暗号化、認証、アクセス管 理、ログ管理という4つの視点から、改めて自 社のセキュリティ水準を見直し、セキュリティ の老舗、RSAセキュリティが提供する“定番 製品”を導入してみてはいかがだろうか。

図2 IT統制のための三種の神器ソリューション
※クリックで拡大

お問い合わせ先

RSAセキュリティ株式会社 TEL（東京）：03-5222-5230 TEL（大阪）：06-6130-3315 E-Mail：info-j@rsa.com URL：http://japan.rsa.com/