データセキュリティは「経営問題」
米Impervaのワールドワイド・セールス担当上級副社長、ジェームズ・ドリル氏が来日。データセキュリティの抱える課題について語った。
「データセキュリティは経営層レベルの問題だ」(米Impervaのワールドワイド・セールス担当上級副社長、ジェームズ・ドリル氏)
Impervaでは、Webアプリケーションやデータベースの保護に特化したアプライアンス製品「SecureSphere」シリーズを開発、販売しているベンダーだ。保護すべき対象ごとにいくつかの製品が用意されており、国内では東京エレクトロンが販売代理店となっている。
「今やデータは、犯罪者や悪質な従業員によるさまざまな攻撃に24時間365日さらされている。そのうえ、闇市場で高く売れることが分かり、データがますます価値あるものであることも認識されるようになった。結果として、数年前に比べ攻撃は高度化している。データセキュリティは現在、こうした課題に直面している」(ドリル氏)
米Impervaのワールドワイド・セールス担当上級副社長、ジェームズ・ドリル氏ドリル氏は、データの保護は会社の経営層にとって大きな問題だという。米CardSystemsでの情報流出が典型例だが、ひとたび流出/漏洩が起これば「ブランドの失墜に加え、訴訟対応費用などのコストが企業にとって大きな負担となる。企業価値が下落し、存続が不可能になってしまうケースもある」(同氏)
ただし、データセキュリティへの注目はマイナス面だけをもたらすわけではない。情報流出のリスクを懸念してオンラインショッピングに消極的になるユーザーがいる一方で、「セキュリティ製品を導入し、きちんとビジネスを保護していることを顧客に伝えることが、逆に安心感を与え、企業にとってプラスになる」という(関連記事)。
3つのユニークな機能
Impervaではこうした問題に対処するための製品として、SecureSphereシリーズを開発、提供している。ブリッジとして動作してネットワークを流れるパケットを検査し、SQLインジェクションやコマンドインジェクション、バッファオーバーフローといったアプリケーションレベルの攻撃からシステムを保護するアプライアンスだ。「既存のファイアウォールを置き換えるものではなく、補完するもの」(ドリル氏)という。
機能に応じて、Webアプリケーションを保護する「SecureSphere Webアプリケーションファイアウォール(WAF)」のほか、データベースへのSQLクエリを監視し、不正アクセスを遮断する「SecureSphere データベース・セキュリティ・ゲートウェイ(DSG)」、SQLクエリの監視を行う「SecureSphereデータベース監査ゲートウェイ(DMG)」、これらアプライアンスを一元的に管理し、情報を集約してレポート機能を提供する「SecureSphere MX管理サーバ」という4つの製品が用意されている。
すでに市場には幾つかのWebアプリケーションファイアウォール製品が存在するが、ドリル氏によると、SecureSphereシリーズには他にない3つの機能があるという。
1つは、トラフィックの状況を自動的に学習して正常な利用状態を把握する「ダイナミックプロファイリング」機能だ。その企業ごとに異なる「あるべき姿」を学習することにより、「本来は権限を持たない人によるアクセス」「普段ならばあり得ない時間のアクセス」といった異常なアクセスを判別、検出する。
2つめは、「ユニバーサル・トラッカー」という機能だ。ユーザーとWebアプリケーション間、Webアプリケーションとデータベース間のアクセスを監視し、これらを関連付けて分析を加えることで、誰がどのようなデータにアクセスし、どんな操作を行っているかを把握する。プログラム名ではなくユーザー名で、またデータベースのテーブル単位ではなくフィールド単位で状況を把握することが可能だ。
しかも、「いわゆる監査ツールでは、コトが終わった後に何が起こったのかを記録し、ログとして残すだけ。しかし、実際にデータ侵害が発生してしまってはもう遅い。われわれの製品では実際に攻撃を防止することができる」(ドリル氏)という。
3つめの強みは、同社のセキュリティ調査機関「Application Defense Center」だ。アプリケーションセキュリティに関する情報収集や研究を行っており、最新の脆弱性や脅威に関する情報を更新していく。「先日リリースされたOracleのパッチに含まれている脆弱性の1つもこのセンターが報告した」という。
ドリル氏は、「ポイントソリューションは有効ではない。データセキュリティは『プロセス』であることを認識すべき」と言う。ネットワークとデータの両方にまたがり、フロントエンドからバックエンドのアプリケーションに至るまで、全体的な視点からセキュリティを見ていく必要があるとした。
「経営層には伝統的に、監査畑の人々とセキュリティ畑の人々がいて、それぞれ別々に動いてきた。しかし今後は、双方が連携して動いていかなければならない。CISOは監査やコンプライアンスについての理解を、また監査側はセキュリティについての理解を深め、プロセスを意識して取り組むことが重要だ」(ドリル氏)。そして、こうした作業に必要となる可視化/レポート機能を、まもなくリリース予定のバージョン5.0に盛り込んでいく予定という。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。