ユーザーを追跡・認識する新ID管理機能を備えた「Check Point R75」
3D Securityの3つの要素。これらを結びつけ、セキュリティをビジネスプロセスに組み込むという新ビジョンだ |
ユーザー・グループ単位でのアプリケーション識別、利用の可否といったポリシー定義に対応 |
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(以下、チェック・ポイント)は22日、ネットワーク・セキュリティソフトの最新版「Check Point R75」を発表した。
最新版では、「Application Control」「Identity Awareness」「DLP」「Mobile Access」の4つのSoftware Blade(SB)を導入した。同日発表した新ビジョン――セキュリティをビジネスプロセスの一環として再定義し、「ポリシー」「ユーザー」「実施」の3要素を結びつける「3D Security」に基づき、いかにポリシーとユーザーを有機的にひも付け、確実な保護を実施するかという点に着眼している。
ポリシー定義では、従来のIPアドレス・ポート番号(プロトコル)による定義だけでなく、ユーザー・グループ単位でのアプリケーション識別、利用の可否といった制御を実現。例えば、「マーケティング部のみFacebookを利用可能」といった定義が行える。
これを可能にしたのが、実際の製品に実装されるのは初となるApplication Control SB(発表は2010年8月)。4500以上のアプリケーション、10万以上のソーシャルネットワークウィジェットを網羅する「世界最大」(同社)のアプリケーション識別ライブラリを活用し、前述のようなきめ細かいポリシー定義を実現している。
一方、ユーザーは1人で複数のデバイスをもち、どこからでもアクセス可能なため、従来のユーザー管理では対応できないことから、「ユーザーを認識し追跡するID管理」(同社)を実現している。これを可能にするのが、新機能となるIdentity Awareness SB。流動的で特定のネットワークに属さないユーザーのID情報を、クライアントエージェントやActive Directory連携など、複数の選択可能な方法で確実に取得できるようになっている。
クライアントエージェントやActive Directory連携など複数の方法で、ユーザーを認識し追跡するID管理を実現 |
昨今のゲートウェイセキュリティでは、ユーザーをいかに識別するかが大きな課題といえる。一昔前のように1人1台のデバイスからの社内アクセスに気を払えばよい時代から、いまでは1人で数台のデバイスをもち、スマートフォンのような次世代の端末からも企業内へアクセスされるようになった。ユーザーとIPアドレスを1対1でひもづけるのは容易ではなく、誰がどんな端末でどんなネットワークを通じてやってきても、きちんと識別できなければならなくなったのだ。
それを実現するIdentity Awareness SBは、Check Point R75における1つの中核を担う。「この機能のおかげで、1人で複数のデバイスを持つような環境でも、管理者が多すぎるIPアドレスとネットワークの管理に頭を悩まさずに済むわけだ」(同社)。
スマートフォンなどのモバイル端末には、Mobile Access SBで対応する。端末に専用のアプリをインストールすることで、シンプルで安全なアクセスを実現する機能だ。従来はIP-Sec VPNのみに対応していたが、WebベースのSSL VPNもサポート。シングルサインオンで企業のWebアプリケーションに快適にアクセスできるという。
現在は、Windows/Mac/Linux PC、iPhone/iPadのみに対応しているが、2011年にAndroid版の提供も予定しているという。
User Checのポップアップ画面。日本語化も完了している |
これらのSBで、ユーザーの追跡・識別、ユーザー・グループ単位でのきめ細かいアプリケーション制御を実現する。では、そのポリシーをいかに確実に“実施”するか。そこで役に立つのが、Application Control SBやDLP SBで実際にトラフィックを制御した際に起動する「User Check」機能である。これはユーザーを問題是正プロセスに参加させる技術で、例えば、「ポリシーに反するデータをメールで外部へ送信しようとすると、ユーザーの画面に危険性を促すポップアップを表示する。その画面から処理の実行/中止をユーザー自身が選べるほか、ポリシーの内容を確認することも可能。現実的な“実施”を実現するほか、社員のリテラシー教育にも一役買ってくれる」(同社)。
このほか、DLP SBの実装も特長の1つだ。DLP SB自体は2010年4月に発表され、製品自体も出荷されている。しかしこれまでは「主にパフォーマンスの理由から専用ハードウェアで動く単体製品として提供してきた。今回初めて、他SBとの共存を実現し、Check Point R75に標準実装している」(同社)。
端末の多様化を中心に、この10年で働くIT環境は大きく様変わりした。かつてはネットワークの境界は明確で、ユーザーやデバイスの管理はシンプルなものだった。ところが、Web 2.0アプリケーションが企業内で利用され、社員が使うデバイスも驚くほど多様化するにつれ、境界はあやふやになってしまった。チェック・ポイントが提唱する3D Securityという新ビジョンは、こうした環境の変化、要件の高まりに対応する意思の表れだという。それはまた、セキュリティに進化が求められていることも示唆している。