6月に開催された「2011 Webセキュリティセミナー」(マイコミジャーナル主催)において、ファイアウォール製品を中心に、これまでネットワークセキュリティの世界をリードして来たチェック・ポイント・ソフトウェア・テクノロジーズは、「常に一歩先行くチェック・ポイントの次世代ファイアウォール」と銘打つセッションを行った。
ファイアウォールで業界初の評価を獲得
チェック・ポイント・ソフトウェア・テクノロジーズ システム・エンジニアリング本部 本部長の安藤正之氏 |
セッションに登壇した、同社システム・エンジニアリング本部の本部長、安藤正之氏は、冒頭、次世代ファイアウォールの定義として、従来のファイアウォールに、IPS(ネットワーク脅威の防止)、アプリケーション制御(アプリの利用をコントロール)、アイデンティティ・アウェアネス(ユーザーベースのポリシー定義)、そしてきめの細かい可視化を提供する運用管理機能の4つの機能が加わったものだと解説した。
そして同氏は、同社のファイアウォール製品が、NSS Labsによる従来型ファイアウォール・テストとアプリケーションの認識/制御テスト、ユーザー/グループ・アイデンティティ認識テストのそれぞれについて100%合格したことにより、業界初となる「Recommended(推奨)」の獲得を果たしたことを強調した。
昨今、インターネットの世界的な普及により、地域と時間を選ばずに仕事が可能となったのに加え、ユーザーが使う端末デバイスも多種多様になっている。そんななか、企業で使われるインターネットツールも業務により複雑化しており、利用者ごとの要件に基づいた管理が非常に難しくなっている。
そうした状況を受けて安藤氏は、これからのWebセキュリティに必要となるポイントとして次の3つを挙げた。それは、「ユーザーとアプリケーションの認識」、「アプリケーション制御、データ損失防止におけるユーザー関与」、「集約されたセキュリティと運用管理」だ。
「個々のユーザーのセキュリティに対する意識を高めると同時に、ユーザーがネットワークをどのように使っているのかを管理者もきちんと把握することが肝要だ(安藤氏)
セキュリティの新機軸「3Dセキュリティ」
こうした3つのポイントをクリアし、チェックポイントが次世代ファイアウォールのさらにその先を見据えたビジョンとして掲げているのが、「3Dセキュリティ」である。これは、「単刀直入でわかりやすいポリシー」、「ユーザーの意識向上、教育」、「テクノロジーによるポリシーの実施」という3つの要素を有機的に組み合わせながら回していくという新しいセキュリティの実行策だ。3Dセキュリティのコンポーネントは、モバイル・アクセス、DLP、アプリケーションコントロール、IPS、Identity Awareness(ユーザー・アクセス)の4つの階層によって構成されている。
安藤氏は、「4つの階層全体をわかりやすく管理することができるうえに、ユーザーに対してセキュリティ教育を施しながらセキュリティ対策に参加させる仕組みが施されている」と自負する。
3Dセキュリティは、同社のセキュリティゲートウェイに実装されるソフトウェアの新バージョン「R75」において具現化される。
まず、先に掲げた3Dセキュリティの要素の1つであるポリシーにおいては、従来のIPとポートの管理をベースとしたポリシー定義を進化させ、ユーザーを把握しながら、アプリケーションごとへの利用ポリシーを設けることが可能となっている。ユーザー情報を把握する方法としては、Active Directoryとの連携、Webページへの誘導によるID情報の入力、軽量なエージェントによるユーザーと使用マシン双方の認証の3つを用いている。そして、それぞれのユーザーやユーザーグループに対して、Webアプリケーションの利用の識別、許可、ブロック、制限といったポリシーを施すことができるわけだ。もし、ポリシーに抵触するような行動を検知した際には、ユーザーに対してその行為の危険性とポリシーの内容を記した画面を提示することで、セキュリティ教育を施しながら企業ポリシーの順守を促すのである。
全方位のセキュリティを可視化
3Dセキュリティの新技術である「MultiSpect」は、「導入したその日からDLPを使える」(安藤氏)というほどの高い自律性が特徴となっている。それは、800以上のファイル・フォーマットを検知するとともに、250以上の事前定義済みのデータ・タイプとポリシーをサポート、さらに独自のフォームを認識しブロックすることが可能というものだ。加えて、辞書ファイルを使用して検出を行うようなポリシーも設定できる。
IPSもまたDLPと同様に、プロファイルを選択するだけで防御機能を自動的に調整してくれるという。そのため、一般的には難しいといわれているIPSの導入もきわめて容易に行えるわけである。
最後に安藤氏は、3Dセキュリティの運用管理面への配慮に触れ、「ユーザーの動向などが見えない状況でのWebセキュリティの制御はまず不可能。我々はすべてのセキュリティ・イベントで360度の可視性を実現した。これにより、運用管理者はさらなるセキュリティレベルの向上に寄与できるようになるだろう」と強調し、セッションを締めくくった。