Trustwaveは2019年9月、SaaSやIaaSを含めた、特定組織のあらゆる環境をカバーするセキュリティ関連情報集約・可視化・対応自動化のプラットフォームである「Trustwave Fusion Platform」を提供開始した。同システムの開発に、約3年にわたり取り組んできたという、MSS担当シニアバイスプレジデントのクリス・シュエラー氏に話を聞いた。
Gartnerのマネージドセキュリティサービス(MSS)マジッククアドラントではSecureworksに次ぐリーダーに分類されている、Trustwaveというセキュリティベンダーがある。日本ではまだ広くは知られてはいないが、世界で約5000のMSS顧客を持つという。
同社は2019年9月、SaaSやIaaSを含めた、特定組織のあらゆる環境をカバーするセキュリティ関連情報集約・可視化・対応自動化のプラットフォームである「Trustwave Fusion Platform」を提供開始した。既にアジアの公的機関などでも導入を進めている例があるという。
こうしたシステムの開発を指揮するためにIBMからTrustwaveに移籍し、約3年にわたり取り組んできたという、MSS担当シニアバイスプレジデントのクリス・シュエラー(Chris Schueler)氏に聞いた。
Fusion Platformは、クラウドベースの包括的な「SIEM(Security Information and Event Management)+SOAR(Security Orchestration, Automation and Response)+α」のようなプラットフォーム/サービスだ。
Trustwaveが開発したプラットフォームソフトウェアを、同社が米国に持つデータセンターや米国、アジアのAmazon Web Services(AWS)リージョン、あるいは顧客のデータセンターで各顧客専用に稼働し、ここにオンプレミスやクラウド、エッジなどあらゆる拠点から、ログをはじめとするセキュリティ関連情報をリアルタイムに集約し、優先度をつけて状況を可視化すると共に、事前に設定したルールと自動実行スクリプトによって、ホストのシャットダウンをはじめとした対応を実施できる。他のSOAR製品に似て、専門家でなくとも迅速なインシデント対応ができるようにすることが目的だ。
同プラットフォームはTrustwaveが監視対象システムの接続を含めて構築し、同社のセキュリティ専門家チームの知見や、セキュリティテストサービスなどと合わせる形で運用する。また、ルールとアクションの設定について顧客を支援する。
Fusion Platformでは、監視対象のビジネスにおける重要度やインシデント対応の緊急度に応じて、さまざまな自動化レベルやアクションの内容が選択できる。「いかなる場合でもホストやシステムを停止する」「停止はしないが他への波及を防止する」「対応を完全に自動で行う」「責任者の承認を受けて実行する」「業務時間内は責任者の承認を求め、業務時間外のみ完全な自動対応を行う」などのルールを決められる。
Fusion Platformの興味深い特徴に、モバイル端末への対応がある。シュエラー氏の肝いりで約1年前から開発を進めてきたという。
「状況を常時把握しているべき責任者が、ツールを日常的にチェックしてくれない。こうした現状を変えたかった」とシュエラー氏は話す。同機能では、Fusion Platformのコンソールに、スマートフォンやタブレットからアクセスできる。そして自社の全社的なセキュリティを俯瞰でき、自動的なインシデント対応への承認が必要な場合、どこにいても即座にこれを行うことができる。
「あなたが休暇中でも、悪意を持った人々は待ってくれない。セキュリティ対応では、危険な兆候をできるだけ早く把握し、適切な対応を迅速に行うことがますます求められるようになっている。今回のモバイル端末対応のような機能は、業界全体がすすむべき方向の1つだと考えている」(シュエラー氏、以下同)
Fusion Platformのポイントの1つは、セキュリティベンダーでも、クラウドベンダーでもなく、これらを対象としたセキュリティサービスを提供してきた企業によるサービスだということにあると、シュエラー氏は強調する。
「日本のみならず、米国など世界中の大企業で、事業部門単位でばらばらにさまざまなクラウドを使う動きが進んできた。事業部門にとっては事業の成長が最優先で、セキュリティは二の次だ。最近になっても、Amazon S3の設定などの初歩的なミスで、顧客情報が公開されてしまうといった事件が絶えない。一方で標的型攻撃の洗練度は急速に高まっている。大企業の全社IT部門は、事業部門に対して柔軟なITの選択肢を与えながら、攻撃可能領域(アタックサーフェス)の広がりに対処し、組織全体としての俊敏な封じ込めができる必要性が生まれている」
「だが、SaaSを含め、クラウドサービス同士が共同で統合的なセキュリティ管理の仕組みを作ることは考えられない。セキュリティベンダーにしても、独自のクラウドサービスを推進する動きはあるが、競合ベンダーの製品を含めて顧客の多様なIT環境をカバーできるプロダクトは出てきそうもない。つまり、ユーザー組織の部署、クラウド、セキュリティベンダーがますます個々に協力し合わなければならなくなっているのに、逆に分断が進んでいる」
シュエラー氏は、Trustwaveでは主要クラウドのセキュリティAPI全てに対応している他、顧客組織の複雑な既存・新規の環境を包括的にカバーし、この分断を克服していると話した。現時点で750種以上のコネクターが使えるようになっており、さらに多くのコネクターを開発し続けているという。
Copyright © ITmedia, Inc. All Rights Reserved.