チェック・ポイントに聞く、内部セキュリティ対策が必要な訳
2005/2/26
チェック・ポイント・ソフトウェア・テクノロジーズは2月23日、検疫ネットワークなどファイアウォールの内側のネットワークセキュリティをテーマにしたセミナーを開催した。イスラエル本社からプロダクトマーケティングマネージャのタミヤ・ハードフ(Tamir Hardof)氏が来日し、内部セキュリティとエンドポイントセキュリティの重要性について語った。
チェック・ポイントでは、「レイヤードセキュリティ」をキーワードにして、Web、境界、内部の3つのゾーンにおけるセキュリティソリューションを展開している。エンドポイントセキュリティ(クライアント端末レベルでのセキュリティ)も、内部セキュリティの一部に含まれる。同社では内部セキュリティ向けの製品として「InterSpect」、エンドポイント向けの製品として「Integrity」を相次いでリリースしている。
チェック・ポイント・ソフトウェア・テクノロジーズのイスラエル本社プロダクトマーケティングマネージャ タミヤ・ハードフ氏 |
従来、セキュリティ対策の第一歩として、ファイアウォールに代表される境界部の強化が挙げられていた。境界部の考え方は、全てのトラフィックを拒否し管理者が意図する通信だけを許可するものであり、トラフィックの遅延よりもセキュリティが優先される。一方、内部セキュリティの考え方はまったく反対であり、全てのトラフィックが許可され、セキュリティよりも可用性が優先される。それゆえハードフ氏は「内部セキュリティ製品を生み出すためには、既存の境界部セキュリティ製品の方法論は役に立たない」とコメントする。
それではなぜ内部セキュリティが注目を浴びているのだろうか。Meta Groupの調査によれば、「内部セキュリティ対策を実施している企業は10〜20%程度」、FBI/CSIの調査によれば「66%の組織が何らかの内部攻撃を受けた」という。ハードフ氏は、「攻撃は増えてきているのにまだまだ対策が進んでいないのが実情だ」と嘆く。
ウイルスもしくはワームの被害は多くのユーザーが実感しているところだ。例えば、Blasterに感染した企業(従業員数10万人、75カ国に拠点を持つ)の場合、Blaster対策だけで700万ドルの損失を計上している(ダウンによる取引のロスや信用低下など2次被害を含まず)。
InterSpectは、スイッチのようにネットワーク内部をセグメントごとに分割する。万が一ウイルスなどにPCが感染した場合には、そのPCが含まれるセグメントからの外向けの通信を遮断する。こうすることによりネットワーク内部におけるウイルスの伝播を最低限に抑えられるのだ。さらにエンドポイントを守るIntegrityと併用することで、一層強固なセキュリティ体制を気付き上げることが可能だ。
ハードフ氏は、「なぜInterSpectのような製品が必要なのか。それは、管理・運用という側面も重要視しなくてはならないからだ。例えば、パートナーが持ち込むPCなど、管理の行き届かないPCが必ず存在する。サーバやPDA、ひょっとしたらプリンターなども攻撃の対象にされる可能性がある。それゆえ、セグメントごとに防御する必要があるのだ」と語る。
イベントの後、ハードフ氏にチェック・ポイントの戦略を聞いた。
――チェック・ポイントの製品と競合他社の違いは?
ハードフ氏 検疫ネットワークは非常にホットなトピックとなっており、他社も同様の製品をリリースしている。しかしInterSpectは、他社製品に比べてより洗練されており、成熟度も高い。
例えば、感染したPCが発見された場合、柔軟に対応できるかどうかが重要だ。InterSpectセキュリティポリシーに従い、ブロック、ドロップ、隔離、スルーの大きく4つの対応が可能になっている。隔離した場合、アウトバウンドの通信は遮断されるが復旧のために必要なインバウンドの通信を許可するような運用も可能だ。
また、HTMLをダイナミックに生成し、「なぜそのPCが隔離されたのか」という情報と「何をしなくてはならないのか」という指示を表示できる。他社の製品では、なぜ隔離されたのかを知る術がなく、その結果ヘルプデスクに問い合わせが殺到する。状況を把握するために専門家を派遣する必要もあるだろう。InterSpectでは、リソースをできるかぎりセーブすることを目標にしている。大企業になればなるほど効果的になると思う。
――InterSpectとIntegrityという2つの内部セキュリティ製品がラインナップされている。併用することでより効果が高まるというが?
ハードフ氏 レイヤードセキュリティというキーワードの通り、1つのソリューションだけでは不十分だ。内部セキュリティだけでなく、境界やWebとの協調的な連携は必須だと考える。InterSpectとVPN-1はコアテクノロジーの部分で共通の技術が使われているほか、追加機能なしでログやレポートの共有が図られている。
ところがIntegrityはZone Labsの技術をベースに育てた製品なので、統合という部分に注力して作りこみを進めてきた。現在では、InterSpectとIntegrity Serverが連携して、ポリシーに適した運用をしているかどうかをチェックするなど、連携が強化された。
ちなみにIntegrityはナンバー1のパーソナルファイアウォールだと自負している。世界的なシェアをとってみても、Integrityだけで30%を占めている。もともとチェック・ポイントにはSecureClientという製品があった。この2つの製品を1つに統合しているところで、さらにシェアは伸びると確信している。
このようなレイヤーをまたがる製品の連携は、チェック・ポイントにとってユニークな要因をもたらしている。それはわれわれがトータルなセキュリティ専業のベンダであることにも起因しているだろう。
――複数の製品を運用するための工夫がされてるのか?
ハードフ氏 ポリシーの設定はGUIから簡単にできるようした。複数の製品をまたいでも大丈夫なように設計されている。まだ具体的な内容を発表できる段階ではないが、InterSpectの次期リリースではさらに簡便なものになるはずだ。われわれは常にカスタマーの声に耳を傾けており、ユーザーからの要求に応えるものをリリースしていく。
次期バージョンはおそらく第2四半期末までには何らかの発表ができると思う。新機能をたくさんリストアップしている。全ての要求に応えるものができれば、メジャーバージョンアップといっても差し支えないものができるだろう。第2四半期というと、「まだ先」というイメージがあるかもしれないが、われわれにとっては「もうすぐ」という感じだ。リストの全てが盛り込めればいいなと期待している(笑)。
――Web、境界、内部というレイヤードセキュリティを戦略としてきたが、今後の方針は?
ハードフ氏 このビジョンは戦略的なものであり不変だ。進化するかもしれないけどね(笑)。エンドポイントの部分は今後一層成長する分野だと思っている。
われわれは昨年、4つの製品をリリースした。今年はもっと出てくるはずだ。この前発表したセキュリティイベント管理製品の「Eventia Analyzer」のような全く新機軸のものだけでなく、VPN-1やSmartCenterといった既存のコアプロダクトも忘れていない。第2四半期にはアップグレードされるだろう。
――シスコシステムズのNACについてどう思うか?
ハードフ氏 NACについては興味深く動向を見守っているが、彼らが意図しているソリューションが出揃うまでにまだしばらく時間がかかるだろう。
ネットワーク技術をベースにして、それにセキュリティ機能を追加するというやり方は限定的な機能しか提供できないのではないか。スケーラビリティや洗練さという視点で見ると物足りなさを感じるだろう。シスコはネットワークベンダであり、われわれはセキュリティベンダである。それゆえ、競合として怖いと思ったことはない。
――NACでは、いくつかのウイルス対策ベンダといったセキュリティ専業の企業ともグループを組み始めているが?
ハードフ氏 たしかにウイルス対策ベンダはその分野においてはすばらしいソリューションを持っている。しかし、小さなパーツが集まっても大きな絵は描けないよ。われわれは、ユーザーのさまざまな要求に応えられるだけの規模を持っているセキュリティ専業ベンダだ。NACはまだまだチェック・ポイントに抗するものではない。
また、チェック・ポイントもOPSEC(Open Platform for Security)というセキュリティ業界最大のアライアンスを組んでいる。OPSECはオープンAPIによるオープン・プラットフォーム環境を提供することにより、複数ベンダーが提供するさまざまなソリューションとの統合を可能にするものだ。すでに350以上のパートナーがおり、幅広いセキュリティソリューションを提供できる。
(@IT 岡田大助)
[関連リンク]
チェック・ポイント・ソフトウェア・テクノロジーズ
[関連記事]
ネットワーク内部のセキュリティに照準、チェック・ポイント (@ITNews)
チェック・ポイントがシスコ、ネットスクリーンを評価しない理由 (@ITNews)
不正なPCは社内ネットワークから自動的に排除する (@ITNews)
ほかは要らない? マイクロソフトの検疫システム (@ITNews)
シスコの下に集結したセキュリティベンダ3社のトップ (@ITNews)
情報をお寄せください:
最新記事
|
|