メディア

SaaSで守るセキュリティ

ITアウトソーシングの専門企業であるSiemens Business Servicesは、顧客のデータを守るという責任を果たすために、Qualysが提供しているセキュリティテストのアウトソーシングSaaS（Software as a Service）を2004年から導入した。このサービスで、それまで認識していなかった問題が70点も見つかったという。

» 2007年01月29日 11時30分公開

[Matt Hines，eWEEK]

　アウトソーシング企業が、セキュリティを強化し、コストを下げたいと考えたとき、どのような対策を講じればよいだろうか。――そう、やはりアウトソーシングが答えなのだ

　2003年、コネチカット州ノーフォークに拠点を置くSiemens Business Servicesは、難しい事態に直面していた。ITアウトソーシングの専門企業として、同社はセキュリティ問題を数多く取り扱ってきたが、問題自体の対処に費やすよりはるかに多くの時間と労力が、些末な業務に取られるようになっていたのである。

　同社自身のインフラストラクチャがより複雑化し、外部からの脅威が恐ろしい速さで膨れあがるにつれ、脆弱性となり得る問題への周辺防御を常時徹底していく作業は困難を極めた。そこで同社は、こうした業務に掛かる負担の一部を分散しようと考え始めた。

　かつては保守作業の一貫であったITシステムの脆弱性管理が、日々繰り広げられる外部ハッカーとの戦闘へと大きく姿を変えた現状に即して、3万9000人の社員を抱える同社の経営陣は、今後も戦い続けていくために助太刀を頼むことにした。

　年商66億ドルを稼ぐSiemens Business Servicesが扱っているものの中で最も重要な資産は、同社のITアウトソーシングソリューションや、コールセンターおよびデータセンターソリューションを利用している大手企業の情報だ。同時にそうした情報は、システムおよびアプリケーションの脆弱性を突こうと狙う、犯罪者の格好の標的でもある。

　Siemens Business Servicesの情報セキュリティ最高責任者、デビッド・ビクスラー氏は、「残念ながら、アプリケーションレベルの攻撃を受けることが増え、われわれのツールではこれを検知できなくなってきたため、前線から一歩退いて環境を見直し、次の対策を講じることにした」と語った。「顧客のデータを守るという責任を果たすには、新しいツールが必要だった。また、社内のセキュリティチームの規模も小さかったので、必要以上の手間とコストが掛からず、すぐに運用できる対策が好ましいと考えていた」（ビクスラー氏）

　同社は、親会社のSiemensが国際的にライセンス提供している複数の脆弱性スキャンツールを使っていたが、2004年に対外セキュリティテストの実施を一部委託することを決めた。そのほか、ほとんど休みなく行わねばならない新システムの脆弱性を特定、修復するためのアップデート作業については、カリフォルニア州レッドウッドショアのQualysが提供しているアウトソーシングSaaS（Software as a Service）を試すことにした。

　戦略的に配置されたセキュリティアプライアンスの継続的運用を含む、Qualysのアウトソーシング脆弱性テストサービスを6カ月間にわたり検証した結果、Siemens Business Servicesは同技術をその後も利用する決意を固め、2005年1月から正式稼働に踏み切った。

　Qualysの技術は、SaaSの支持者がしばしば主張するように、管理の上で社員が手を煩わせる必要がほとんどない点ばかりでなく、脆弱性を特定および把握し、関連する報告を1つにまとめるインタフェースが良く出来ている点でも、従来のセキュリティテストアプリケーションを凌駕していると、ビクスラー氏は述べている。

　Qualysのサービスは、アウトソーシングアプリケーションに寄せられる期待通りの働きをした。実際に稼働し始めるまでの期間は非常に短く、700台のサーバと2800台のPCのセキュリティテストにもわずか12時間弱しかかからなかったという。ビクスラー氏は、Qualysのホストアプリケーションが発見した、脆弱性と考えられるすべての問題点を修復するため、Siemens Business Servicesは今も作業を進めていると話した。Qualysのサービスによって、Siemens Business Servicesがそれまで認識していなかった問題が70点も見つかったのだそうだ。

　「セキュリティの改善を現実のものとするプロセスは、まだ完了していない。たくさんの脆弱性が詰まった大きな箱をぶちまけてしまい、それらを拾い集めるのに時間がかかっているといった状態だ。以前は、わが社のセキュリティは限りなく完璧に近いと考えていたが、ふたを開けてみれば難問が山積していた」（ビクスラー氏）

　セキュリティ上の問題を解消する取り組みが拡大したことで、同社のビジネスもまた成長した。ビクスラー氏は、QualysのSaaSモデルがもたらしたそのほかの利益として、世界中の任意の場所に同社のセキュリティアプライアンスを設置し、新しいシステムを簡単にスキャンできるようになったことを挙げた。以前は、現地にスタッフを派遣して、新たなワークステーションの設定を手動で行うしか方法がなかったのである。

　もっとも、特にセキュリティ問題に関する場合は、脅威に対抗するためのSaaSの防御力と持続力が、従来の業務用アプリケーションに劣っていないかという点に不安が残る。さらに言えば、ホスティングされているツール自体が、何らかの方法でハッキングされる恐れも拭えない。しかしビクスラー氏は、QualysがSiemens Business Servicesと同じISO標準に対応していることを理由に、そうした不安は感じていないと述べた。

　Qualysのソリューションは、Siemens Business Servicesのセキュリティに対する姿勢に、これまで以上の厳格さを求めるようになった顧客の支持も得られていると、ビクスラー氏は話す。Siemens Business Servicesのセキュリティ対策について、以前は1、2回の話し合いを持つだけで満足していた顧客は、今では500項目にも及ぶ細かな質問を用意し、自社のデータがどのように守られているのか、逐一確認するようになったのだという。

　Qualysの最高経営責任者（CEO）であるフィリップ・クールトウ氏は、SaaSを活用してIT業務を保護した場合に可能になる省力化およびコスト削減効果を企業が認知し始め、セキュリティアプリケーションホスティングへ移行する際の不安感も急速に薄れてきたと説明している。顧客データ保護指針に対する政府の規制が厳しくなる中、企業の責任はますます重くなっているが、そうした負担を軽減できるという点でも、SaaSには注目が集まっている。

　「SaaSベンダーは、一般的な企業より高額な予算を、冗長化やディザスタリカバリに充てられる。Salesforce.comの事例が示しているように、SaaSではデータが集約的に管理され、アクセスもXMLインタフェースを介して簡単にできることから、運用および管理に付随する複雑性を排除し、統合を大幅に簡素化する基本的な性質がある。また、開発サイクルもきわめて短くなっており、刻々と変化する環境に適応する能力に長けている」（クールトウ氏）

　Siemens Business ServicesはQualysの技術を採用する過程で、カリフォルニア州バレンシアのセキュリティ専門システムインテグレーター、iQwest Technologiesに協力を要請した。iQwestは、Siemens Business Servicesが構築しようとしていた脆弱性スキャニングシステムに、どのベンダーの技術を採用すべきかアドバイスするとともに、QualysのアプライアンスおよびWebベース管理コントローラをインストールする手伝いもしたという。

　iQwestのパートナーシップおよび戦略提携担当副社長、ガル・シュパンツァー氏は、業務アプリケーションで必要になるような管理および保守作業は省きながら、脆弱性テストの質を高めるという目標を貫いたからこそ、Siemens Business ServicesのSaaS技術導入は成功を収めたと語った。

　Siemens Business Servicesが親会社から無料で供給されるアプリケーションにのみ固執するのを止め、有料のQualys製品を選んだことでその真価は認められたと、同氏は述べている。

　「われわれは、原則的に無料で使用できる製品の代わりに有料製品を選択した。Qualysのソリューションが優れていることを示す、何よりの証拠と言えるだろう。SaaSの長所は、迅速に導入できることばかりではない。ネットワーク全域において高い一貫性を保てるので、アプライアンスを個々にアップデートする必要がない点も大きなメリットだ。新しい脆弱性が見つかったときでも、SaaSなら迅速かつ一元的な更新が可能であり、大企業の環境に実に適している」（シュパンツァー氏）

　実情をよく理解していない者は、コンサルティング的な観点から見た場合、アウトソーシングが核となるSaaS製品はインテグレーターの売り上げを圧縮するものと考えがちだが、シュパンツァー氏によれば、SaaS製品の利用者はたいがいがサービスの質に感銘を覚え、ほかのソリューションも試したいと再度相談を持ちかけてくるケースが多いのだという。

事例：Siemens Business Services（コネチカット州ノーフォーク）