効率性、確実性を両立するクラウド時代のセキュリティ対策日本CA、「CA Expo 2009」を開催

» 2009年10月19日 00時00分 公開
[内野宏信,@IT]

 仮想化技術やクラウドが急速に浸透しつつある一方、セキュリティ対策が課題となっている。仮想化やクラウドにより、システム運用の効率性、柔軟性は大幅に増すが、論理的なシステム構成が複雑化するにつれてセキュリティリスクが高まり、その管理も煩雑になりがちなためだ。そうしたトレンドに対応するためのポイントはどこにあるのか――10月16日、日本CAが開催したイベント「CA Expo 2009」に伴い来日した、米CA セキュリティマネジメント事業部 ストラテジ担当 シニアバイスプレジデントのビラー・マン氏に話を聞いた。

IDにひもづく情報を確実に管理することが大切

 マン氏は、昨今のITシステムを取り巻く状況について、ユーザーの大幅な増加、業務プロセス自動化の促進、SaaSやクラウドサービスの進展、それに伴うシステム構成の複雑化という4つのポイントを指摘する。こうした中、企業が社会的信用を担保しつつ、安全にビジネスを推進するためには、「ファイアウォールの設置などは大前提として、まずアイデンティティ/アクセス管理を確実に行うことが重要だ」と指摘する。

 「システムを保護するうえでは、システム上のIDと、IDにひもづくユーザーなどの情報を確実に管理することが大切だ。具体的には、各ユーザーの情報とIDを1対1の関係で管理する、人材が異動した際も役割に応じてアクセス権を管理できるよう、各IDのアクセス権を必ず役割ベースで定義する、ID管理作業におけるログを取得する、ID情報とアクセス情報を一元管理する、といったことが不可欠となる」(マン氏)

写真 米CA セキュリティマネジメント事業部 ストラテジ担当シニアバイスプレジデントのビラー・マン(Bilhar Mann)氏

 すなわち、「業務上どんな役割を持つ、どのユーザーが、いつ、どのシステムにアクセスしたか」を確実に管理・記録できる環境が必要だという。特にカギとなるのは特権ユーザーの管理だ。ログファイルの管理権限を持つだけに、その立場・役割に応じて制限を掛けなければ、一般ユーザーを管理する意味が半減してしまう。

 「現在のように数多くのシステム、ユーザーが存在する中では、たとえこれらの管理に手間が掛かっても、こうしたセキュリティ管理の鉄則を確実に行うことが大切だ。ただ、時代が仮想化やSaaS、クラウドに向かっているいま、セキュリティ対策にもいっそうの効率化が求められている。確実性と効率性の両立が、今後ますます重要なテーマとなっていくはずだ」(マン氏)

セキュリティ管理にも効率化が必要

 マン氏はそのための解決策として、同社が提供する製品「CA Access Control」と「CA SiteMinder Web Access Manager」を使った方法を紹介する。CA Access Controlは、「いつ、誰が、何に、どこから、どのようにアクセスできるか」といった観点でアクセスポリシーを設定し、rootやAdministratorといった特権ユーザーを含めて、全ユーザーの詳細な職務分掌・アクセス管理を実現する。

 特に、特権ユーザー管理については、OSがUNIXやLinuxの場合、現在のユーザーアカウントから別のユーザーアカウントに権限を切り替える「suコマンド」があるが、一般ユーザーからrootへの切り替え後も、ログインユーザーIDに基づいたアクセス制御を行えることで、より確実なアクセス権限管理ができるという。

 また、マルチプラットフォームに対応し、ログを一元管理できるほか、UNIXやLinuxでは残さないファイル移動、リネーム、削除、更新といった各種イベントログも記録・保管できる。日本で2009年4月に発表した「CA Access Control r12 SP1 Premium Edition」では、ユーザー単位でのトレースログも取得可能としたという。

 一方、CA SiteMinder Web Access Manager(以下、SiteMinder)は、Webアプリケーションとポータルへのアクセスを一元管理する製品。ユーザー認証、ポリシーベースの権限認証のほか、複数のWebサーバに対する認証を統合してユーザーが1度のログインで各サーバ上のコンテンツを利用可能とする「シングルサインオン機能」を持つ。また、企業間などでWebユーザー認証システムを相互連携させ、1度のログインで互いのWebアプリケーションを使えるようにする「フェデレーション」と呼ばれるID連携機能も備えている。

 マン氏は、「これらを使うことでOS、Webアプリケーションに対するアイデンティティ/アクセス管理の確実化・効率化を両立できる。特に、CA Access ControlはVMwareやHyper-Vといった仮想化環境にも対応している。Webアクセスを管理するSiteMinderと組み合わせて使うことは、仮想化、SaaS、クラウド時代のセキュリティ管理に大いに寄与するはずだ」と解説する。

CA SiteMinderのクラウドサービス化を予定

 また、米CAではSaaS、クラウドの進展を受けた2つの計画があるという。1つは一部製品の提供形態をクラウドサービス化すること。その第1弾として「2010年後半をメドに、今後さらにニーズが高まるであろうSiteMinderからクラウドサービス化を検討している」という。

写真 「セキュリティ製品も確実にクラウドサービス化に向かっている」と語るマン氏

 もう1つは、“エンドポイント”における情報の確実な保護だ。2009年1月、米CAが買収したセキュリティ関連製品ベンダ、Orchestria 社の技術を生かし、“情報そのものをシステムから持ち出させない仕組み”「Data Loss Prevention」(以下、DLP)製品を、「2010年半ばをメドに日本でもリリースする計画」だという。

 これはユーザーの権限に応じて、ドキュメントデータなどの出力、メールデータの持ち出し・送信、各種データファイルの閲覧などに制限を掛けられるもの。「DLP分野にはライバル製品も存在するが、設定のきめ細かさとAccess Controlなどと連携させられる点でアドバンテージは大きい」(マン氏)という。

 マン氏は、「多くの企業において、ITシステムはオンプレミスから、確実にクラウドに移行しつつある。運用管理の効率化、コスト削減の面で“持たない”という判断は非常に有効だが、同時に複雑化するセキュリティ管理という課題も浮上する。そうした状況の中、CAとしては製品のクラウドサービス化や、各種製品の機能、ラインナップを充実させることで、効率とセキュリティの両立というニーズに着実に答えていきたい」とまとめた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ