Impervaは、同社が提供するデータセキュリティソリューションの新版「SecureSphere バージョン 10.0」をリリースした。
Imperva Japan テクニカル・ディレクターの桜井勇亮氏 |
「Web Application Firewall(WAF)」「データベースセキュリティ」「ファイルセキュリティ」の3つのソリューションを提供するSecureSphereだが、メジャーバージョンアップとなる今回のアップデートでは、それぞれにおいて大幅な機能追加が行われている。
本誌は、Imperva Japan テクニカル・ディレクターの桜井勇亮氏に概要を聞いたので、その内容を基に簡単にご紹介しよう。
WAFにリアルタイム機能
SecureSphere 10.0の新機能の中で最も強調されているのがWAFである。
SecureSphere WAFは、レピュテーション(評判)ベースのWebセキュリティ機能を搭載した数少ない製品の1つである。従来から、誤検知が少ないうえ、DDoS攻撃にも効果がある製品として認知されていた。そのSecureSphere WAFに対して、今回新たに「ThreatRadar Community Defense」と呼ばれる機能が加わっている。
ThreatRadar Community Defenseでは、世界中のWAF製品をクラウドサービスでつないで攻撃情報を収集。その情報から「攻撃パターン、レピュテーションデータ、ポリシーをまとめ、SecureSphere WAFに対してリアルタイムに配布」(桜井氏)する。
導入企業は、脅威情報を自動で共有するかたちになるため、次々と現れる各種の脅威に対して即座に対応することができる。桜井氏は、その意義について「WAFの有効性の基準を引き上げた」と説明する。
また、今回のアップデートでは、SecureSphere WAFの仮想アプライアンス版がCisco Nexus 1000Vシリーズにも搭載できるようになった。従来はVMwareのみの対応だったが、対応環境を大幅に広げている。
標的型対策製品との連携を開始!!
一方、データベース/ファイルセキュリティにおいては、FireEyeの「Web Malware Protection System(MPS)」との連携が注目点として挙げられる。
外部から送信されてきたすべてのファイルを実行して挙動を解析するという新たなアーキテクチャで話題を呼んでいるFireEye Web MPS。一般的なセキュリティ製品では防げなかった未知のマルウェアを検出した実績を持つ同製品に関しては、導入企業の数も増えはじめている。
しかし、FireEye Web MPSも万能ではない。すべてのファイルの挙動を解析するため、その処理が終わるのを待っていては、当然ながらユーザーへの配信に遅延が発生する。それを避けるために、FireEye Web MPSではファイルの解析処理をユーザー端末への配信と並行して実行する仕組みになっている。
すなわち、FireEye Web MPSではファイルをコピーして解析処理を行うものの、解析中の状態であってもユーザーに対してはひとまずファイルを配信してしまう。もし、ファイルがマルウェアと判定された場合には、この段階で配信先端末を特定し、該当端末における外部ネットワークとの通信を遮断。C&Cサーバからのアクセスをブロックし、内部情報を外部に送信したり、スパイウェアが送り込まれたりするのを防ぐという処理フローになっている。
ここで問題となるのが、社内ネットワーク内での感染である。FireEye Web MPSでは外への通信が遮断されるが、ネットワーク内のアクセスに制限をかけられない。もし最初に送られてきたファイルが攻撃能力を備えたマルウェアで、データベースやファイルサーバに対して改竄をしかけてきたら防ぐことができないわけだ。
そこで、SecureSphere 10.0では、FireEye Web MPSとの連携機能を搭載。FireEye Web MPSがマルウェアを検知したら感染端末の情報を受け取り、同端末からデータベースやファイルサーバに対するアクセスを遮断する仕組みになっている。
ファイルセキュリティでは特権ユーザーも監視対象に
ファイルセキュリティにおいてはもう1つ、特権ユーザーに対する監査の部分で大きな機能強化が行われている。
企業で標準的に利用されているディレクトリサービス「Active Directory」の対応が拡充され、従来からあるファイルサーバへのアクセスに対するユーザー監査機能に加えて、Active Directory自身に対する管理者の操作や変更作業もモニタリングする「Directory Service Monitoring(DSM)」が追加された。
Active Directoryの運用は複雑であることが多い。企業によっては部署ごとに管理者が存在し、会社全体として監視の目が行き届かないケースもあるという。そういった背景から、「新機能の中で最も反響の大きな機能になっている」(桜井氏)ようだ。
DBセキュリティでは最も重要な"足元"固め
データベースセキュリティにおいては、対応製品の拡充も行われている。
データベースは、世界中でさまざまなソフトウェアが用いられており、最新のものばかりではなく、旧来からある枯れた製品を使い続けている企業も少なくない。そこで、今回のアップデートでは、「PostgreSQL」やIBMの「Information Management System(IMS)」などのデータベースが新たにサポートされた。「今回のアップデートにより企業で利用されているデータベースにはほぼすべての種類に対応したことになる」(桜井氏)という。
OSSのPostgreSQLは、安価に導入できるため、特に日本やアジア圏で人気が高い。IMSはメインフレーム用のデータ管理システムであるが、現在も活用している企業がある。
Impervaでは「セキュリティ企業として、どのような製品にも対策を提供できることが重要」(桜井氏)という方針を掲げており、「対応製品のカバレッジ拡大は最優先事項の1つである」(桜井氏)という。こうした"足元"の強さも、同社製品の特徴の1つと言えるだろう。