Imperva曰く「セキュリティとコンプライアンスは表裏一体」

米ImpervaのCEO、ショロモ・クレーマー氏は、データセキュリティの確保とコンプライアンスの実現はコインの表裏のようなものだと語った。

[高橋睦美，ITmedia]

　米Impervaでは、情報漏洩防止と、アクセスの可視化による内部統制の支援を目的としたセキュリティ製品群「SecureSphere」シリーズを提供している。Webアプリケーションファイアウォール（WAF）のほか、データベースに対するアクセスを検査し、不正なSQLコマンドをブロックする「Database Security Gateway」、アクセス行動を記録、監査する「Database Monitoring Gateway」から構成されている。

　同社のCEO、ショロモ・クレーマー氏によると、一連の製品は「データそのものを保護するとともに、そのデータがどのように使われているかを把握し、コントロールできるようにすることを目的としたもの」だという。

米ImpervaのCEO、ショロモ・クレーマー氏

　「セキュリティは現在に至るまで、3つの段階を経て進化してきた。1つは、いわゆるファイアウォールに代表されるネットワークセキュリティ。2つめのステップは、ワームなどからシステムを保護するアプリケーションセキュリティ。そしてこの1〜2年、現実の問題となっているのはデータセキュリティだ」（クレーマー氏）

　同氏は、米Card Systemsにおける大量の情報流出事件を例に挙げ、ひとたびデータへの侵害が発生すると、ダメージは深刻なものになると述べた。

　ここで課題となるのは、外部の攻撃者からWebアプリケーションを経由して仕掛けられる不正アクセスを防ぐだけでなく、内部のさまざまなユーザーから重要な情報をいかに保護するかという点だ。

　「マーケティング担当者が本来ならば必要ない顧客のクレジットカード情報を盗んだり、データベース管理者が財務情報にアクセスしたりといったことを防ぐにはどうしたらいいだろうか。外部だけでなく内部からのデータの利用方法についてもコントロールしなければならない」（クレーマー氏）

　これは、情報漏洩の防止につながるだけでなく、さまざまな法規制への遵守という観点からも重要なことだという。「セキュリティとコンプライアンスは表裏一体」（同氏）

　「SOX法をはじめとする新しい法規制では、今までのセキュリティだけではなく、データサービスをライフサイクル全体にまたがって保護することが求められている」とクレーマー氏は述べ、各種設定の内容や脆弱性の有無、ポリシーの適用状態を評価し、コントロール（統制）していくことが企業には求められるとした。同社は、データセキュリティを巡る製品を通じて、このうち最も足下の仕組みとなるIT統制の部分を支援していくという。

　なおクレーマー氏によると、一足先にSOX法が動き出した米国では、当初「レポート」の部分に大きくフォーカスが当てられたという。もちろん、これは重要な要素の1つだが、あくまで内部統制の一部に過ぎない。「基本はやはり可視性だ」と同氏は語った。いつ、誰が、どの情報にアクセスしたのかという情報を収集し、分析するためのフレームワークをどのように構築していくかがポイントだという。

　Impervaでは、WAFだけでもなく、アクセス監査だけでもない包括的な製品群を通じて、こうした作業を支援していくとクレーマー氏は述べた。「WAFは重要な要素の1つだが、それだけでは完全ではない。われわれは、セキュリティゲートウェイを統合し、単一の管理フレームワークを持っている点が大きな違いだ」と同氏は述べ、コンプライアンスの実現に向けたデータセキュリティ製品を引き続き強化していくとした。

　最近では、広範なターゲットを狙った自己顕示的な攻撃に代わり、金銭目的でターゲットを絞った攻撃が増えてきている。しかもこうした攻撃は密かに潜伏し、自分自身が見つからないように行動する。クレーマー氏も「攻撃はより高度化し、プロフェッショナル化している」と述べ、シグネチャに頼るのではなく、平常時のアクセス状況を学習して異常な振る舞いを検出するSecureSphereシリーズは、こうした脅威に対する防御にも役立つと付け加えた。