ポリシーレイヤの強化で「統合された管制システム」目指す

「仮想マシンには初めからセキュリティを」、RSAのコビエロ氏

2010/09/10

　9月9日、10日にわたって開催されたRSA Conference Japan 2010に合わせて、米EMCのセキュリティ部門、RSAのプレジデント兼EMCのエグゼクティブ・バイスプレジデントを務めるアート・コビエロ氏が来日した。9日に行われたプレス向け発表会において同氏は、現在の、そしてこれからのセキュリティ上の課題について述べた。

　コビエロ氏は、現在のセキュリティの課題は「ポイントツールがあふれていること」だと指摘する。ITインフラにはマルウェア対策やファイアウォール、認証、暗号化といった製品が多数導入されているが、それらがカバーするのはそれぞれ単一の側面のみ。しかも、複数のベンダにまたがって管理を行う必要があり、ログやレポートも個別に吐き出されてくるという混乱した状況だ。同氏はこれを「航空会社ごとに別々のレーダー、別々のフライトプランを持って、それぞれに管制を行っているようなものだ」と表現する。

　これに対しRSAセキュリティでは、既存のセキュリティ製品の上のレイヤで情報を包括的に収集し、あるべき姿（＝ポリシー）に反映させていく「ガバナンスとモニタリング」というレイヤの強化によって、一元的な管理を実現させていくと述べた。

RSAのプレジデント兼EMCのエグゼクティブ・バイスプレジデントアート・コビエロ氏

　コビエロ氏は、その前提として、3つのレイヤからなるセキュリティアーキテクチャを提唱した。まず一番下には、ポリシーを実行に移す「コントロール」層がある。そして次に、それらを監視し、ログの収集やプロビジョニングを実施する「コントロールの管理」層がくる。そのさらに上に、ガバナンスやコンプライアンス、リスク管理といった観点からポリシーを定める「ガバナンスとモニタリング」層が位置するという構図だ。

　包括的な管理を実現するには、「ボトムアップではなく、まず高いレイヤから取り組むべき」（コビエロ氏）。

　この構想に向けてRSAセキュリティでは、ガバナンスとモニタリングに当たる層を実現する製品を強化していく。すでに、情報漏えい対策製品の「RSA DLP」や統合ログ管理製品の「RSA enVision」をリリース済みだが、さらにガバナンス・リスク・コンプライアンス（GRC）の部分をカバーするため、2010年2月に米Archer Technologiesを買収。国内でも来年には、同社の製品を提供していく方針だ。

　「今日の情報インフラに対し、統合された単一の航空管制システムを提供する」（コビエロ氏）。

VMwareと連携して仮想環境のセキュリティ強化

　コビエロ氏が挙げたもう1つの課題は「仮想化環境におけるセキュリティ」だ。ただこれは、課題であると同時に大きなチャンスでもあるという。RSAでは、同じくEMCグループのVMwareと連携して、いくつか仮想化環境のセキュリティ強化や可視性向上のための取り組みを進める。

　その1つが、VMwareの管理コンソール「vCenter」とインテルのハードウェア（チップセット）を組み合わせ、物理環境とひも付ながら仮想マシンの安全なブートを実現する仕組みだ。ハードウェア機構を活用することで、仮想マシンがどの物理マシン上で起動していいのか、あるいはだめなのかを制御し、セキュリティポリシーを適用する。これは「マルチテナント環境において非常にクリティカルな機能だ」（コビエロ氏）。この技術は8月末の「VMworld 2010」でも紹介されたもので、引き続き開発中だという。

　「仮想マシンが無秩序に立ち上げられると管理が大変だ。けれど、初めからセキュリティが埋め込まれていればどうだろう。仮想マシンのインスタンスが立ち上がるたびに、セキュリティ機能を実装していればどうだろう」（コビエロ氏）。

　もう1つは、仮想環境向けのセキュリティ機能「VMware vShield」との連携だ。vShieldにRSAの認証やDLP、シングルサインオンといった機能を連携させ、vShield Managerを通して仮想マシンのセキュリティ管理を行えるようにしていく。さらに、これがvCenterの基盤に含まれることによって、システム管理とセキュリティ管理を統合し、ポリシーレベルで連動できる環境を提供していく、というビジョンだ。

　コビエロ氏は、こうしたアプローチによって、物理・仮想を問わず管理を一元化し、ガバナンスや可視化という課題を解決できると述べた。