ニュース
» 2007年05月08日 08時00分 公開

Cisco自身も苦労した――セキュリティと生産性の両立

米Cisco Systemsでも、セキュリティと生産性をいかに両立させるかという部分で模索を続けた。この二律背反を解決した要素の1つがエンドポイントセキュリティだという。

[ITmedia]

 「われわれはセキュリティを『障壁』ではなく、何かを可能にする『イネーブラ』にしたい」――先日来日した、米Cisco Systemsのセキュリティテクノロジーグループ担当上級副社長兼CTO、ボブ・グライコーフ氏はこのように述べ、ネットワークに組み込んだ形でセキュリティを提供し、ユーザーがそれと意識しなくとも保護を享受できる環境を実現したいと語った。

 セキュリティはとかく、ユーザーの使い勝手や自由度を制限し、日常業務を邪魔するものととらえられがちだ。グライコーフ氏によると、Cisco自身、セキュリティと生産性をいかに両立させるかという部分で苦労してきたという。

 「ある従業員が、翌日のプレゼンテーション用の資料を夜中に作成していたら、セキュリティ対策ソフトがスキャンを開始し、PCが急に重たくなった。そこで対策ソフトを切ってプレゼン作りを継続したが、その後再び対策ソフトをオンにするのを忘れていたというケースがあった。せっかくの対策が意味をなさなかったわけだ」(同氏)

 また、自宅のPCから社内ネットワークに安全なコネクションで接続して作業を済ませた後、その同じPCで、ブロードバンド接続を介してインターネットにアクセスしていたケースもあった。この場合、自宅PCが社内ネットワークと公衆網を結ぶゲートウェイの役割を果たし、結果として脅威になる可能性があった。

 Ciscoではこうした状況を、エンドポイント向けのセキュリティ対策ソフト「Cisco Security Agent」(CSA)を中核としたセキュリティ製品群で変えてきたという。

 CSAは、振る舞いを元に悪意あるコードを検出し、怪しいコードの実行を防止するPC向けのセキュリティ対策ソフトだ。「人間の免疫システムと同じように、万一ウイルスやワームなどが入ってきてもその実行を防ぎ、システムを保護する」(グライコーフ氏)

 ユーザーにとっては、特にそれと意識することなくセキュリティが提供される上、管理者には、自由度が高まるというメリットがあると同氏は述べた。「脆弱性が発見された場合、リスクを減らすために迅速なパッチ適用が必要だ。しかしCSAでシステムを保護することにより、(パッチ適用前の安定性検証などの)時間を稼げるほか、ゼロデイ攻撃からも保護できる」(同氏)

米Ciscoの上級副社長兼CTO、ボブ・グライコーフ氏(左)と副社長兼CSO、ジョン・N・スチュワート氏

 とはいえ最近の脅威は、Rootkitやターゲット型攻撃に代表されるとおり、ますます「見えない化」が進んでいる。こうした脅威の変化に、CSAによる対策がどれだけ有効なのか、「初めは懐疑的だった」と、米Cisco Systemsのコーポレートセキュリティプログラム機構担当副社長兼CSO、ジョン・N・スチュワート氏は述べている。

 「だが、今はその懸念は払しょくされている。従来のセキュリティ対策ソフトは悪玉に注目し、シグネチャに基づいて悪いものを見つけ出す方式を採用していた。しかし、悪意あるソフトウェアの数はどんどん増加しているうえ、その振る舞いは予想しにくくなっている。これに対しCSAは、ホワイトリストに着目し、『いいもの』だけに動作を許可する仕組みを取っている」(スチュワート氏)

 スチュワート氏は、趣味や愉快犯から、情報や金銭の窃盗を狙った組織犯罪へと脅威が変化したと述べた。この目的を達成するため、脅威はとらえにくく、見えにくいように設計されている。この結果、事前に対策を検討する余裕もないまま攻撃が仕掛けられるケースが増加した。

 そのため、ウイルス対策や侵入後の復旧に投じる予算もさることながら、企業に蓄積されている重要な情報をいかに保護するかが管理者の課題になっているという。

 CSAを活用することで、ウイルス侵入後の後始末に貴重な時間と費用をかける必要がなくなり、企業にとって焦眉の課題となっている情報の保護に予算を割くことができるようになるとスチュワート氏は述べた。

 またグライコーフ氏は、NGNやWeb 2.0、P2P、IPv6やIPSecといった新たな技術の普及にも触れた。特に、「IPSecやSSLによって、より多くのトラフィックが暗号化されるようになると、その中身を検査することができず、ネットワークがビジビリティを失ってしまう」と、その副作用を指摘。CSAをはじめとするエンドポイントでの保護によって、内容を確認し、ポリシーを適用できるようになると述べた。

 Ciscoでは今後、こうした保護機能をネットワークに拡張していく計画だ。Cisco IOSで実装している「Threat Information Distribution Protocol」のような新しいプロトコルによって、脅威の情報をネットワーク機器に伝え、フィルタリングするといった形で、迅速に脅威に対処できる仕組みを提供していくという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ