7月5日(木)に東京都内で開催されたマイナビニュースITサミット Webセキュリティ『2012年度版 最新脅威対策講座』では、ウォッチガード・テクノロジー・ジャパンの代表取締役社長を務める本富顕弘氏が、「BYODから仮想まで、今求められるセキュリティ」と題して講演。クラウド/モバイル/Web環境に潜む脅威の実態を明らかにするとともに、それらに有効な最新のセキュリティ対策を報告した。

また、日本市場への提案として、技術者のいない中小規模企業ユーザーに向けて提供を開始した新たなセキュリティ管理サービスを紹介した。

保護されていない仮想マシンがクラウド・サービスを危険にさらす

ウォッチガード・テクノロジー・ジャパン 代表取締役社長の本富顕弘氏

中堅・中小企業のクラウド・サービスの利用が急拡大している。米国のリサーチ会社の調査によると、従業員数が2~250人の企業で、すでに何らかのクラウド・サービスを利用しているところは66%に上っており、3年後にはさらに74%に増加する見通しという。一方、クラウド・サービス使用に際しての心配事については、セキュリティだとする回答が20%で最も多く、コンプライアンスとプライバシーもそれぞれ12%と10%で高い数値を示している。

クラウド・サービスで最も懸念されているのは、提供基盤として使われている仮想環境が複雑化しており、セキュリティ対策が必ずしも万全とは言えず、マルウェア防御の実績もまだ少ないということだ。本富氏は、「現状では、他社が利用する仮想マシンにマルウェアが感染してしまうと、自社が利用する仮想マシンとデータが危険にさらされる可能性がある」と指摘する。

本富氏によると、仮想環境のセキュリティを確保するためには、仮想マシン単位で万全のセキュリティ対策を施し、システム全体を共通の管理ビューで保護するソフトウェア・ベースのバーチャルUTM機能が不可欠になるという。こうした問題に対応するために、同社ではバーチャルアプライアンス「WatchGuard XTMv」を提供。ユーザー企業の安全性確保に努めている。

モバイルの脅威にどう立ち向かうか

モバイル環境では、一昔前のPCと同等の機能を持つスマートフォンが普及し、個人のデバイスを業務で利用する「BYOD (Bring Your Own Device)」が拡大しつつある。しかし、スマートフォンのセキュリティは万全とは言えず、とりわけAndroidデバイスは、アプリケーションが無審査で流通するため、マルウェアの標的になる危険なアプリケーションも少なくない。

こうした、モバイル環境の脅威にどう立ち向かうのか。本富氏は、モバイル・ポリシーをきちんと策定したうえで、モバイル・セキュリティ・ソフトウェアを導入する必要があるとアドバイスする。また、企業内ネットワークに安全にアクセスするために、VPNを確立したり、データを暗号化したり、モバイル・デバイスを適切に管理したりすることも重要な取り組みとなるという。

モバイルのセキュリティで現在、対応が進んでいるのが、クラウドベースのレピュテーション(評判、評価)技術である。これは、Webサイト、IPアドレスに加え、URLのレピュテーションをクラウドを通じて全世界のユーザーから集約し、その最新情報をリアルタイムで共有することで、安全なアクセスを実現するというものだ。

しかし、最近では、モバイル・アクセスの増加によるトラフィックの増大に伴って、レピュテーション情報のスキャニングに時間がかかるという問題が浮上していた。こうした問題を解消したのが、ウォッチガードのRED(Reputation Enabled Defense)機能である。

REDでは、危険なトラフィックはクラウド上で完全にブロックし、安全なトラフィックはセキュリティ・ゲートウェイを迂回して直接社内ネットワークに通すという方法を採用している。本富氏は、「明らかに危険なトラフィックはクラウド上で処理し、疑わしいトラフィックだけをゲートウェイ上でスキャンするという2段構えの構成で、強固なWebセキュリティと高速なパフォーマンスを両立している」とした。

REDの概要

Webアプリケーションの脅威から企業を守る

中堅・中小企業の情報セキュリティ対策を実施するうえで最も厄介なのがWebアプリケーションにおける脅威である。本富氏によると、現在、危険なWebサイトが急速に増加しており、報告される脆弱性の50%以上がWebサイトに関係している。また、データ漏洩の57%がWebを通じて発生し、情報犯罪の76%がWebアプリケーションを利用したものだという。

「企業では現在、社内でどのようなアプリケーションが利用されているか把握していないことが多い。しかし、業務以外のアプリケーションの使用によって生産性が低下していたり、Webアプリケーションを狙ったマルウェアの侵入を許してしまったりするなど、Webアプリケーションの脅威は重大な問題を起こす可能性がある」と、本富氏は警鐘を鳴らす。

では、Webアプリケーションの脅威にどう対応すればよいのか。本富氏は、アプリケーションをきめ細やかにコントロールすることが重要だとアドバイスする。

例えば、Winny、Shareといった情報漏洩の危険性が高いP2Pアプリケーションについては、完全にブロックする必要がある。一方で、facebookやTwitterなどのソーシャル・アプリケーションについては、危険なリンクが含まれていたり、セキュアでないコードが組み込まれていたりすることがあるものの、マーケティング部門などではプロモーション業務等で利用しなければならないケースもあり、完全に禁止するわけにもいかない。一部の部門には使用を許可するなど、ユーザー別に制限をかけるといった施策が必要だろう。

また、YouTubeなどのストリーミング・アプリケーションについては、昼休みなど特定の時間帯のみ利用を許可、Yahoo!やMSNなどのIM(Instant Messenger)については、メッセージングのみの利用を許可し、ファイル転送はできないようにするといった方法をとることで、ユーザーの利便性を考慮しつつ、セキュアなシステム環境を確保できる。さらに、ファイル転送アプリケーションについては、アップロードは禁止し、ダウンロードのみを許可するといった方針をとることで、社内データの社外への誤送信のような情報漏洩の対策を会社のポリシーとして実現することが可能だ。

アプリケーションコントロール機能の例

ウォッチガードのXTMアプライアンスでは、こうしたアプリケーションの細かなコントロールが簡単に設定できるようになっている。「1,800以上のアプリケーションに対応し、2,500以上のシグネチャが用意されている」(本富氏)という。

技術者不要の監視・管理サービスで万全のセキュリティ対策を

ここまで、ウォッチガードのアプライアンスに備わる各種機能を紹介してきた。いずれもビジュアルな画面で容易に設定できるものの、運用にはやはり必要最低限のセキュリティ知識が必要になる。では、専門の技術者がいない中小企業ユーザーは複雑化する情報セキュリティ環境にどうのように向き合えばよいのだろうか。

ウォッチガードでは、そうした声に対応するべく、中小企業向けのフルマネージド・セキュリティ監視・管理サービス「WatchGuard MSX(Managed Security eXtended)」の提供を開始している。

これは、アプライアンス製品で高い評価を受けてきたログ収集・レポート機能のサービスに加え、機器の死活監視を行う24時間監視サービス、機器の設置からメンテナンス、設定変更までの運用管理全般を支援するマネージド・サービスを提供するもの。統合的で強力なレポート・サービスも提供しており、迷惑メールやWebアクセスなどの見える化をさまざまなバリエーションで実現してくれる。

MSXの概念図

MSXサービスは、日本独自に行われているプログラムで、すでに10社ほどのパートナー企業が独自のサービスを付加するなどして、日本の中小企業800社超に提供を行っている。サービスを利用するには、UTMアプライアンスの導入が必要になるが、UTMアプライアンスも含めて完全な月額料金制で提供するパートナーもある。

本富氏は、「中小企業ユーザーは、情報セキュリティ技術に関する知識を持っていなくても、その運用・管理のすべてをサービス会社に委託することで、万全の情報セキュリティ対策を実現できる」と、企業ニーズに応じてさまざまな形態のソリューションを提供していることを強調し、講演の最後を締めくくった。