個別対策から脱却したITセキュリティを作る――RSAが構想を表明

米RSA Securityのアート・コビエロCEOは、ITインフラにセキュリティを組み込むことで、包括的なセキュリティ管理の仕組みを構築していくと表明した。

[國谷武史，ITmedia]

アート・コビエロ氏

　RSAセキュリティは9月9日、同社のビジネスの方向性について説明する記者会見を開催した。同日から行われているイベント「RSA Conference Japan 2010」への参加で来日した米EMC エグゼクティブ・バイス・プレジデント兼RSA Security プレジデントのアート・コビエロ氏は、「システム運用と一体となった包括的なセキュリティの仕組みを実現する」と表明した。

　コビエロ氏は、このように述べた背景にセキュリティの複雑性があると話す。マルウェアや不正アクセス、認証、情報保護といった個々のセキュリティ対策が多数のベンダーから提供された結果であり、これらが連携していない点も課題だとしている。

　包括的なセキュリティの仕組みとして、同氏は航空管制システムを例に挙げる。1日に数十万機もの航空機が世界中を飛び交っているが、致命的な事故があまり発生しないのは、世界規模で構築された航空管制システムによる管理体制が存在しているためだという。

　「今のITの世界には航空管制システムのような仕組みがない。今後のIT環境の変化に合わせて、今こそこのような仕組みが必要」とコビエロ氏は話す。企業を取り巻くIT環境の変化には、スマートフォンに代表されるモバイル機器の普及やソーシャルサービスのビジネス利用などがあり、情報が社内ネットワークの中だけにとどまらず、あらゆる場所で利用されるようになった。情報量も増加の一途をたどる。

　また、コンプライアンスや法規制への対応の難しさもある。同氏によれば、情報システム担当者が抱える業務の2割をコンプライアンス対応などが占めている。「週に1日はこの業務のために終日を費やさなくてはならない状況だ」（コビエロ氏）

　包括的なセキュリティ管理の仕組みを構築するには、情報システムを「統制と監視」「コントロールの管理」「コントロールの適用」という3つの階層に分ける。情報システム全体を管理するポリシーを策定し、ポリシーに基づいて各階層がそれぞれに連携するための機能を組み込む。各階層で発生するセキュリティイベントを上の階層が吸い上げて、最終的に「統制と監視」の階層で一元的に把握できるようにする構造だ。

　同社は「統制と監視」の階層に向けて、「ガバナンス・リスク・コンプライアンス（GRC）」「セキュリティ情報・イベント管理」「リスクの予想・分析」という3種類のソリューションを提供する。このうち、「セキュリティ情報・イベント管理」には統合ログ管理製品「RSA enVision」、「リスクの予想・分析」には情報漏えい対策製品「RSA DLP」を投入済みである。残る「GRC」には、今年2月に買収したコンプライアンスベンダーのArcher Technologiesの技術や製品を展開していく。

仮想化環境を活用した包括的なセキュリティ管理の仕組み

　「コントロールの管理」「コントロールの適用」の2つの階層には、同じEMCグループのVMwareとの連携で対応していく。具体的には、8月に米国で開催された「VMworld 2010」で発表した「VMware vShield」を用いて仮想マシンごとにセキュリティ機能（認証、ネットワーク保護、ウイルス対策など）を組み込み、vCenterで一元管理する。

　コビエロ氏によれば、従来の物理マシンを中心としたシステム環境では、セキュリティ機能が後付けになるために、上述した複雑性が生じる。だが仮想化されたシステム環境では、最初からセキュリティ機能を取り入れて包括的な管理の仕組みを構築できる。仮想化環境をベースに構築されるクラウドコンピューティングのセキュリティレベルが高まるという。

　「構想を具現化する技術の多くは開発中だが、近いうちに見える形になる。この構想に賛同して我々の仕組みと連携してくれるベンダーも募っている」（コビエロ氏）と、この構想を推進する意気込みを語った。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら