シマンテックでは、「エンドポイント・セキュリティ」を改めて定義し直す必要があると考えています。従来は、企業内の全てのPC(ノート型/デスクトップ共)にアンチ・ウイルス・ソフトウェアを導入することでエンドポイント・セキュリティを保てると考えられたこともありました。しかし、現在ではそうではありません。シマンテックでは、エンドポイントとしてPCやモバイル・デバイスはもちろん、サーバも含めて考えます。さらに、そこに施すべき対策も、従来の考え方に基づく「Protection(保護)」に加え、「Compliance(コンプライアンス、法令遵守)」が必要だと考えているのです。

エンドポイントセキュリティを再定義する

エンドポイント・コンプライアンスとは、ここでは企業が定めたセキュリティ・ポリシーの遵守を確実にすることを意味しています。具体的には、「アンチ・ウイルス機能が有効になっている」「ウイルス定義ファイルは最新版がインストールされている」「パーソナル・ファイアウォールが有効になっている」「サービスパックやセキュリティ・アップデートが適用されている」といった、エンドポイントに対するセキュリティ要件を満たしていることを確認し、セキュアな状態に保たれているエンドポイントのみを企業ネットワークに接続させるということです。

もちろん、エンドポイント・プロテクションが重要でなくなったわけではありません。企業ネットワークに接続される可能性のあるデバイスは膨大な種類に上り、さらに脅威の種類も増え続けています。そこで、エンドポイント・プロテクションでは、多数のデバイスをサポートし、さまざまな脅威からの保護が求められます。シマンテックが提供するエンドポイント・プロテクションは、業界でももっとも豊富な種類のデバイスをサポートし、もっとも広範な脅威に対する保護が可能です。エンドポイント・プロテクションでは、アンチ・ウイルス技術が核となり、その上にさまざまな脅威に対応するコンポーネントが追加されたスタックを構成します。最上位に位置づけられるのが、ネットワーク・アクセス・コントロールです。

エンドポイント・プロテクションに加えてエンドポイント・コンプライアンスが必要となる理由は、調査データからも明らかです。企業ユーザーに対する調査で、「自動化されたインターネット・ワーム攻撃の発信源としてもっとも多かったのは?」という質問に対する回答としてトップになったのは「従業員のラップトップ」で、43%を占めました。次いで「ファイアウォールを通ってインターネットから(39%)」「従業員以外のラップトップ(34%)」「VPN経由の自宅コンピュータ(27%)」となっています。ほとんどがエンドポイントに起因する問題であり、かつエンドポイント・プロテクションが有効でなかったか、あるいは保護が充分でなかったことを示唆しています。これが、エンドポイント・コンプライアンスをエンドポイント・プロテクションと組み合わせていくべきだと考える根拠にもなっています。

そして、エンドポイント・コンプライアンスを実現する手段となるのが、ネットワーク・アクセス・コントロールということになります。ネットワーク・アクセス・コントロールの分野では、Sygateがリーダーの地位にありましたが、2005年にシマンテックに買収された結果、現在ではシマンテックがこの分野のリーダーとなっています。シマンテックのネットワーク・アクセス・コントロールは、「ネットワークのリソースにアクセスする前にエンドポイントが"保護されておりセキュリティ要件に適合していることを"保証する」ことを目標としています。

実は、ネットワーク・アクセス・コントロールというアイデアは以前からあり、日本国内にも「検疫ネットワーク」という名称で紹介されていました。しかし、実際に導入したユーザーはあまり多くはありませんでした。シマンテックでもユーザー企業との情報交換を通じて、従来のシステムに対する不満点を理解し、改善を行なっています。以前のシステムが普及しなかったのは、ネットワークに接続するエンドポイントにエージェント・モジュールをインストールする必要があったことや、技術的な基盤としてVLANやIEEE 802.1X認証が利用されたため、既設のネットワーク・スイッチを対応モデルに交換する必要があったことなどが大きな導入障壁となっていました。

新しいシマンテックのネットワーク・アクセス・コントロールでは、単一エージェントで多彩なエンドポイント・プロテクションとエンドポイント・コンプライアンスを同時に実現します。また、管理コンソールも一元化し、運用管理にかかるコストを大きく低減させています。また、エンフォースメント・オプションも豊富に用意しており、たとえば802.1Xの変わりにDHCPを使って同様の機能を実現したり、あるいはネットワークの途中に「インライン型アプライアンス」を設置してそこで制御を行なうなど、さまざまな形態をユーザーの状況に応じて選択できます。必ずしも、高機能なスイッチを全社に配布しなくてもネットワーク・アクセス・コントロールが実現できるのです。正式な市場投入は今年後半を予定しています。

さらに、ネットワーク・アクセス・コントロールを有効にし、エンドポイント・セキュリティを確実なものにするためには、単に製品を企業ネットワークに導入するだけではなく、企業内での情報管理体制を明確にし、セキュリティ・ポリシーを確立するなど、さまざまな活動が不可欠になります。シマンテックではプロフェッショナル・サービスやコンサルティングを通じてこうしたノウハウの提供も行なっており、エンドポイント・セキュリティを確実に実現することができます。

Symantec DeepSight Threat Management Systemは同社サイトでデモを見ることができる(画像はデモンストレーションの一例)