チェック・ポイント・ソフトウェア・テクノロジーズは2014年4月3日、2014年度の戦略説明会を開催し、同社が提唱する新しいセキュリティアーキテクチャ、「Software-defined Protection」について説明を行った。
チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は2014年4月3日、2014年度の戦略説明会を開催した。従来型のアクセス制御をベースとした「ファイアウォール」から、アプリケーション制御やボット対策なども含めた「次世代ファイアウォール」へのシフトをはじめ、販売パートナーの拡大やクラウドベースのサービス強化などに取り組むという。
併せて、米国で開催された「RSA Conference 2014」において発表した新しいセキュリティアーキテクチャ、「Software-defined Protection」についても説明を行った。同社セキュリティ・エバンジェリスト 卯城大士氏によると、そのポイントは「脅威やネットワークは変わっていくものだということを前提に、迅速に対策を打てるようにするものだ」という。
ネットワークの世界で注目を集める「Software Defined Network」(SDN)は、「データ転送」と「経路制御」の役割を分離し、物理的なネットワークにとらわれることなく、柔軟にネットワークを構成できるようにしよう、というものだ。
一方チェック・ポイントが提唱するSoftware-defined Protectionは、セキュリティ機能を分離し、環境に応じて提供する「実施」、ポリシーを作成して動的に適用する「制御」という2つのレイヤーに加え、状況の可視化や自動化、他のシステムとの連携機能などを司る「管理」という3つのレイヤーで構成される。
「これまでのセキュリティは、外と内に分けて内側を信頼するというモデルに立脚してきた。しかし今や、マルウェア感染などによって内側のユーザーも信頼できない。昨日までは安全だった環境が『信じられない』ものになっている」(卯城氏)。
そこで実施レイヤーでは、ネットワークやシステムを構成する要素を細かくセグメント化し、それぞれに対し、制御レイヤーで生成したポリシーに従って、アクセス制御や暗号化といったセキュリティ機能を提供する。さらに、同社の脅威情報データベースの他、外部のセキュリティ機関やコミュニティなどから得た最新の情報(=インテリジェンス)を反映することで、変化する脅威に対してもリアルタイムに保護を提供していく仕組みだ。
同社はこのアーキテクチャをSDNと連携させることも考えている。「SDNで作った新しいネットワークに対し、Software-defined Protectionによるセキュリティポリシーと実施ポイントを適用できるようにしたい。ネットワーク経路を変更したり、DoS攻撃への対策として一時的にネットワーク設定を変更した場合に、セキュリティも動的に連動し、守っていける仕組みを考えている」(卯城氏)。
具体的には、VMware製品やOpenFlowへの対応を計画している。また管理レイヤーでは、APIおよびWeb APIを公開し、サードパーティ製のネットワーク管理システムやチケット管理システム、データベースなどと連携し、ポリシー生成/変更の自動化を実現することも構想している。
Copyright © ITmedia, Inc. All Rights Reserved.