「ITシステムの死角をなくす」、SignaCertが日本上陸準備

米SignaCertでは、Tripwireの完全性検証機能を補完する、グローバルなリポジトリサービスを提供する。

[高橋睦美，ITmedia]

　「ウイルス対策ソフトにせよ、IDSやIPSにせよ、これまでのセキュリティは『ブラックリスト』を元に、悪いものを発見するという方法を採用してきた。しかし現在、これとは異なるモデルが生まれてきている。それが『ホワイトリスト』方式だ」――。

　米国のセキュリティ企業、SignaCertの社長兼CEOを勤めるワイアット・スターンズ氏はこのように述べ、システムが複雑化する中で脅威に対抗するには、ブラックリストによる脅威の検出に加え、ホワイトリストに基づく正当性検証が重要になると述べた。

　SignaCertでは、企業システムに改ざんなどが加えられず、望ましい状態にあるかどうかを測定し、レポートする「SignaCert Global Trust Services」を提供している。

　その核の1つが、OSやアプリケーション、デバイスの状況が信頼できるものかどうかを判断する基準となり、ホワイトリストの役割を果たすデータベース「Global Trust Repository」（GTR）だ。さらに、企業個々のシステムを反映したシグネチャを追加し、望ましい状態が保たれているかどうかを評価する「Enterprise Trust Services」を組み合わせ、企業システムを構成する各ファイルの出自が正しく、想定外の変更が加えられていないかどうかを継続的に計測していく。

　「これは果たして信頼できるものなのか、自分が望んでいる状態なのかをホワイトリストを参照して確認することができる」（スターンズ氏）

　スターンズ氏は、システムの完全性検証や変更管理を支援する商用版「Tripwire」の開発、販売を行う米Tripwireの創業者でもある。Tripwireではハッシュ値を元に、導入されたソフトウェアの整合性を確認し、改ざんや予定外の変更が加えられていないかどうかをチェックすることができた。

　「しかし問題は最初の部分。導入されるソフトウェアの信頼性をどのように確認すればいいのかということだ」（スターンズ氏）

　SignaCertがフォーカスを当てているのはこの部分だ。同社は現在、複数のベンダーと協力して、ソフトウェアリリース時点での正しいシグネチャを計測し、GTRに反映させている。企業側では、Webサービスを介して提供されるこのリポジトリを参照することで、自社が導入したのは正しいソフトウェアかどうかを確認する仕組みだ。この仕組みは、Trusted Computing Group（TCG）の業界標準に沿ったものでもあるという。

　「Tripwireはリファレンスベースのチェック機能を提供し、毎日チェックを行えるようにする。SignaCertはこれを一歩推し進めたもの。グローバルなリファレンスに基づき、相対的な比較ではなくまっさらな状態のものと照合することによってソフトウェアの状態を計測する」（同氏）

　この仕組みを活用することで、既存のセキュリティ対策をさらに強化することができるとスターンズ氏は述べた。また、NACやNAPといった検疫ネットワークの仕組みにシステム整合性チェックの結果を反映させたり、変更管理システムと連携できるほか、日本はSOX法対応も含めたコンプライアンス支援のツールとしても活用できるという。

　「多くのセキュリティ上の問題、システム安定上の問題は、『ITの死角』に目を向けていないために起こっている。われわれはその死角を埋めていく」（スターンズ氏）

　同社は夏ごろをめどに日本法人を設立し、ソフトウェアベンダーやシステムインテグレータとの連携やサポート体制を整えて国内市場に参入する計画だ。政府機関のほか、金融や医療、通信と言った大規模企業から展開していく方針という。