セキュリティはビジネスと人に立脚すべし、Check Pointが新構想Check Point Experience Report

Check Point Software Technologiesは、「人」「プロセス」「適用」の3つの視点でセキュリティ対策を強化する新しいコンセプト「3D Security」とそれを具現化する取り組みを披露した。

» 2011年09月02日 08時00分 公開
[國谷武史,ITmedia]

 企業にとってITセキュリティは、ビジネスを保護する重要な存在である一方、時にはビジネスの足かせになるとみられることもある。そのバランスをいかに取るか――Check Point Software Technologiesは、「人」「プロセス」「適用」の3つの視点でセキュリティ対策を強化する新しいコンセプト「3D Security」を掲げている。

ギル・シュエッドCEO

 同社のアジア・太平洋地区のユーザーおよびパートナーを対象としたカンファレンス「Check Point Experience 2011」が9月1日、タイの首都バンコクのMillennium Hilton Bangkok Hotelで開幕。基調講演では、Check PointのCEO、ギル・シュエッド氏が「3D Security」の狙いや製品および機能を披露した。

 企業を取り巻くIT環境には、毎年のように新しい要素が加わる。仮想化技術を活用したITインフラの統合やクラウドコンピューティング、モバイル活用、ソーシャル技術といったものが近年の代表例だ。これらの要素にはメリットとセキュリティリスクが存在する。モバイル活用なら社員の生産性向上と情報漏えいが最大のメリットとリスクだろう。

 企業でのセキュリティ対策は、要素ごとのリスクに対応するというアプローチが一般的であった。同社をはじめ、多くのベンダーが個々のリスクに対応する製品やサービスを提供してきたが、このアプローチは既に限界に近づいているというのが、シュエッド氏の主張だ。それが顕在化したのが、特定の企業や組織を狙う「標的型攻撃」の拡大であるという。

 標的型攻撃では、攻撃者は狙いを定めた企業・組織のシステムや関係者に気づかれることなく、情報の盗難やシステムの乗っ取りをありとあらゆる手法で達成しようとする。その対処は、システムの脆弱性を悪用したり、ウイルスを感染・拡散させたりといった技術面がクローズアップされることが多いが、シュエッド氏は対象となった人間を巧妙にだますソーシャルエンジニアリングなど、人的な面に注目する。

 ソーシャルエンジニアリングは、人間の意識や行動様式などを逆手に取るものだけに、これまでに登場したシステム的なセキュリティ対策では防ぐことが難しいとされる。教育や啓発というアプローチもあるが、セミナーやeラーニングのような機会だけではなかなか根付きにくい。さらにシュエッド氏は、大よそビジネスの現場を十分に考慮したといは言い難い無数のセキュリティポリシーやルールが、セキュリティ対策を硬直化させていると指摘した。

 こうした現状を解決するのが、同氏の掲げる3D Securityという。3D Securityとは、ビジネスプロセスの中に実態に即したセキュリティのポリシーやルール、対策機能を組み込み、それらが協調しながら、プロセス上のさまざまなシーンで社員にセキュリティの必要性を気付かせる仕組みを実現するとしている。

 日本では7月にリリースしたソフトウェアの「Check Point R75」および8月にリリースした「同 R75.20」で、この3D Securityのコンセプトを順次具現化しつつある。

 例えば、R75で実装されたアプリケーションコントロールでは、どのユーザー(もしくは部門)がどのようなアプリケーション(名称や種類など)をどのように利用したかといったまず可視化する。その使い方がポリシーに違反していると、「User Check」機能で、違反したユーザーにポリシー違反の理由をポップアップ表示で通知し、その後の対応を促す。

ビジネスプロセスの中に社員のセキュリティの意識を高める仕組みを取り入れていく

 従来ならば、違反に当たる操作は一律に禁止するといったポリシーが一般的だが、3D Securityの仕組みなら、ユーザーにとって業務上必要な操作であれば、管理者に理由を知らせた上で許可を求めることができる。管理者はユーザーの申請を受けてポリシーの運用方法を改善することもできる。ユーザーが“出来心”で禁止された操作をしたのであれば、理由を明示してポリシーへの理解を深めてもらうようにするという具合だ。

 またユーザーが機密情報をメールで送信しようとした場合に、Data Loss Prevention(DLP)機能でそれを検知して送信を止め、User Checkでポリシー違反の理由を知らせることで、同様に対応できる。R75.20での強化点はこうした3D Securityの仕組みを拡充するもの。アプリケーションコントロールとURLフィルタリンクの統合では、HTTP80番ポートを使うアプリケーションやオンラインサービスの利用を一元的に管理・制御できるようにする。

国によって言語環境が異なるアジアではローカライズ作業を迅速化させているという。会場では日本語環境に対応している点がアピールされていた

 3D Securityではこのように、ネットワークがどのように使われているか(人)を目に見えるようにし、業務の実態(プロセス)に合わせていくことで、洗練されたポリシーに仕上げていく(適用)という。今後展開する製品は、3D Securityのコンセプトが強く反映されたものになるとのことだ。

 2012年以降に計画するソフトウェア製品では、社内のコンピュータが「ボット」に感染するのを防ぐ「Anti-Bot Software Blade」や、ドキュメントファイルの利用ルールをユーザーごとに設定できる「Document Security」などを投入する。また、同社の脅威データベースをリアルタイムに参照して脅威を特定するクラウド型の検出機能も予定。

Documet Securityのイメージ

 また、VMwareをはじめとした仮想化プラットフォームやIPv6環境への対応、旧Nokiaのセキュリティアプライアンス(2009年に買収)の機能の統合などを図るという新OS「GAiA」や、パブリッククラウドサービスとオンプレミスシステム間で一体的なネットワークセキュリティ環境を構築するという「Check Point Security Gateway in the Public Cloud」の投入も明らかにされた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ