Security Connectedを形作るマカフィーのソリューション：徹頭徹尾、セキュリティを念頭に

何か事故が発生してからはじめて、場当たり的にセキュリティに取り組むのではなく、統合管理、一元管理という枠組みの中でリスクを把握し、的確に手を打つプロアクティブなセキュリティへの転換をうながすマカフィーの「Security Connected」。この構想は、同社の幅広いポートフォリオによって裏打ちされている。

[ITmedia]

PR

標準化プロセスをセキュリティの世界にも

　情報流出やウイルス感染など、何かコトが起こってからはじめて場当たり的にセキュリティに取り組むやり方から、自社のリスクを踏まえ、リアルタイムに得られる脅威・脆弱性情報を参照しながら的確な手を打つプロアクティブなセキュリティへ――マカフィーではこうした新しいアプローチを、「Security Connected」という表現で提唱している。

　企業のセキュリティ対策はおおまかに、PCやデバイスなどの「エンドポイント」とそれらを接続する「ネットワーク」、最も重要な守るべき資産である「情報」、そしてそれらの「管理」という、大きく4つの分野に分けることができる。

　従来の事後対策型の対策では、例えばエンドポイントとネットワークとでは、前者が「PC担当」、後者は「ネットワーク担当」という具合に担当者も違えば、製品納入元のシステムインテグレータも別々。運用管理が煩雑なうえ、問い合わせ先のサポート窓口もバラバラという状況で、脅威に迅速に対処する体制が整えられているとはいえなかった。

マカフィー セールスエンジニアリング本部 本部長 佐藤重雄氏

　これに対しSecurity Connectedは、各要素を連携させ、グローバルな情報データベースから適宜必要な情報を得つつ、管理コンソールで一元管理することで、セキュリティ対策の全体最適化を実現する、というものだ。

　「いま、標的型攻撃や情報漏えいなどの事件が頻繁に起こり、企業の情報セキュリティを取り巻く切迫感は高まっている。その中でマカフィーは、トータルでセキュリティを考え、セキュリティ・レベルを高める仕組みを提供していく」（マカフィー セールスエンジニアリング本部 本部長 佐藤重雄氏）。エンタープライズアーキテクチャの世界で実現されてきた「手法の確立、標準化、自動化」というプロセスを、セキュリティの分野においても実現させていくという。

「顧客を守る」を念頭に作られたエンドポイントセキュリティ製品

　全体最適の前提は、Security Connectedを形作る各製品が確実なセキュリティ保護を提供していることだ。「『いかにセキュリティを高めるか、いかに顧客を守るか』、そこからわれわれの製品は始まっている」（佐藤氏）。ここでは、エンドポイント、ネットワーク、マネジメントといった各分野ごとに、どういったポートフォリオを展開しているのか、簡単に見てみよう。

「Security Connected」を形作るマカフィーのポートフォリオ

　エンドポイントではまず、インテルと共同開発したハードウェア支援型の技術「DeepSAFE」を活用した「McAfee Deep Defender」と「McAfee ePO Deep Command」が挙げられる。McAfee Deep Defenderは、ハードウェアの力を借りて、OSの中に潜り込んで偽装する巧妙なマルウェア「ルートキット」からPCを保護する製品だ。

　McAfee ePO Deep Commandでは、インテル vPro テクノロジーの「アクティブ・マネジメント・テクノロジー」を利用して、電源が入っていない状態のPCをリモートから起動させ、セキュリティアップデートを実施し、再起動させる……といった操作が行える。

　両製品が連携することで、不審なプログラムの兆候が見つかったら、リモートから特定のマシンだけ電源をオフにし、必要に応じてオンサイトサポートに駆けつける、といった運用も可能になる。この枠組みを、サービスの差別化を目的にデータセンター事業者が検討するケースも増えているという。

　もう1つ注目したい製品は「McAfee Application Control」だ。シグネチャに基づいてマルウェアを排除するブラックリスト方式のエンドポイントセキュリティ製品と逆のアプローチで、ホワイトリストに基づいて動作を許可するアプリケーションを限定し、それ以外のプログラムは起動すらさせないようにする。Stuxnetに代表されるように、閉じた制御系システムを狙う脅威が現実化したいま、求められている技術だ。

　特徴は、システムをスキャンして自動的にリストを作成する「ダイナミックホワイトリスティング」機能を搭載しており、管理者が事前に許可すべきアプリケーションのリストを作成する必要がないことだ。また、Windows NTや2000といった古いOSまでサポートしており、「止められない」システムを確実に保護できる。

ネットワークセキュリティ製品にまたがり真の一元管理を実現

　ネットワークの分野では、ファイアウォールやWeb／メールゲートウェイ、IPSアプライアンスの「Network Security Platform（NSP）」などがあるが、さらに今後、ネットワークトラフィックを検査し重要な情報の流出を防ぐネットワーク型DLP製品の提供を準備している。この分野では特に、Security Connectedのコンセプトが有用だと佐藤氏は語る。

　多層防御を実現する手法として「マルチベンダ」の構成が有効だという意見もある。しかしファイアウォールやIPS、Webやメールのセキュリティをそれぞれ別のベンダで実現すると、統合管理はできず、運用コストは膨らまざるを得ない。また、コンソールも別々になるため、何らかの異常を検知しても確認に時間がかかり、後手を踏んでしまう可能性も否定できない。

　単一のコンソール、一元管理を実現するという意味では、UTMという選択肢もなくはない。だが、セキュリティサービスなどの手助けなしに自社だけで運用できるか、ストレスなく利用できるパフォーマンスを実現できるか、何より本当に自社を脅威から守ることができるか……これらの課題をすべてクリアできるかというと疑問が残る。

　この点、ファイアウォールやIPS、Web／メールゲートウェイをマカフィーのソリューションで統一することによって、一元管理を実現し、運用コストを抑えることができる。加えて、「世界最大規模の脅威情報データベースである『GTI』により、ダイナミックかつリアルタイムに新しい脅威に対処できる。運用監視コストを抑えるだけでなく、実効性あるセキュリティソリューションを提供する」（佐藤氏）。

一元管理に加え、過去から未来にまたがる脅威分析を実現

　管理の分野では、すでに統合コンソール「McAfee ePolicy Orchestrator（ePO）」による一元管理を実現しているが、これに加えてセキュリティ情報やイベントを管理、分析し、脅威を特定するSIEM（Security Information and Event Management）分野の新製品「McAfee Enterprise Security Manager（ESM）」を準備している。

　ePOでは、エンドポイントのウイルス対策製品を中心に、一元管理とポリシーの徹底を実現できる。McAfee ESMはこれをさらに進化させ、ログをはじめとする多様な情報を基に「脅威がどこにあるかを分析し、時系列をさかのぼって状況を把握したり、逆に今後どういった可能性があるかを予測する」（佐藤氏）。

　具体的には、アダプタ経由で収集する各種ログに加え、認証サーバにおけるログイン関連の情報、ネットワーク機器が収集するフローデータなどを、独自に開発したデータベースに格納し、さまざまな相関分析を加える。セキュリティに関する「ビッグデータ」分析といえるだろう。それも、SIEMに特化したデータベースにより「圧倒的に高速」な処理を行えることが特徴だ。

McAfee ESMでさまざまな情報を分析し、それに基づいて効果的な対策を実施

　さらに、GTIから得られる最新の情報も加味し、コンテキストに基づいて分析することで、「何が起きているか」「どの端末が侵害を受けているか」といった、企業が本当に必要とする情報をすばやく手にできるという。

大本のデータベースを保護し根本で情報漏えい対策

　情報セキュリティの分野では、先に紹介したDLPに加え、データベースそのもののセキュリティを高める「McAfee Database Security Solution」を提供し、企業内に保存されている個人情報など重要なデータを保護していく。「根本で情報漏えいをきちんと食い止める」（佐藤氏）という。

　このMcAfee Database Security Solutionは、データベースの状態を監査し、「設定は適切か」「脆弱性が残っていないか」といった情報をチェックしたり仮想的なパッチ機能を提供することができ、たとえ運用担当者であっても必要以上に情報を閲覧、収集できないようにすることもできる。データベース管理者の負荷を下げながら、企業にとって最も重要な資産である情報を保護していく。

「セキュリティを守る」に注力したマカフィーのソリューション

　エンドポイントとネットワーク、情報、それぞれを守るマカフィーのソリューションいずれにも共通するのは、「初めからセキュリティを考慮している」ということだ。「マカフィーはセキュリティ専業ベンダとして、いかにセキュリティを守るかというところからスタートしている」（佐藤氏）。

　加えてこれらソリューションを、インテルとの協力関係やePO、ESMによるセキュリティ統合管理機能が下支えしている。一方で、全世界でいま脅威がどういった状態にあるか、リアルタイムに情報を提供する「GTI」というナレッジも用意されている。

　自社のリスクを可視化し、リアルタイムな情報と照合しながら、ある事象が危険か安全か、そのリスクはどのくらいなのかを見抜くには、そして「ますます複雑化、巧妙化する攻撃を見抜くには、ポートフォリオ全体が連携するSecurity Connectedのような仕組みがますます必要とされていくだろう。

■関連情報

McAfee Security Connected 特設サイト

プロアクティブなセキュリティ対策を最適なコストで可能にするSecurity Connectedの情報を紹介する特設サイトがオープンしました。マカフィーは統合されたセキュリティの実現を目指す企業を支援します。