クラウドにセキュリティ企業はどう挑む?
【RSAセキュリティ編】

ユーザーからクラウド事業者へセキュリティを要求せよ


マーケティング統括本部長の宮園充氏

 「セキュリティはインフラに組み込まれるべきだ」。仮想化やクラウドの技術でIT環境が変化する中、RSAセキュリティは、セキュリティをより一層意識しないで利用できることが重要だとして、こう提唱し続けている。セキュリティベンダーのクラウドへの取り組みを追う本特集。4回目は、 RSAセキュリティ、マーケティング統括本部長の宮園充氏に話を聞いた。


セキュリティは空気のような存在に

RSAセキュリティソリューション

 ワンタイムパスワード(OTP)、リスクベース認証、統合ログ管理、情報漏えい防止(DLP)などの製品を手がけるRSAセキュリティは、クラウドセキュリティをどう考えるのか。宮園氏は「日本も米国も、クラウドの機動性をあてにする中小企業での導入がほとんどで、大企業の導入はこれから」と前置きした上で、「今後、さらに普及するとセキュリティは大きく変わる。今以上に必須のものとなり、空気と同じようになくてはならないものになる。セキュリティだけを取り上げて注目されることが逆になくなっていくだろう」と話す。

 パブリッククラウドではデータの経路や所在が変わるため、当然、セキュリティの実装に変化が訪れる。プライベートクラウドでも、必要なセキュリティ要素こそ変わらないかもしれないが、新たに「仮想環境の保護」を考える必要がある。クラウドのセキュリティを考えるとき、この2つの方向性に焦点が絞られていくという。


事業者のセキュリティをユーザー企業が強く要求すべき

 では、それぞれにどのような視点が必要となるのだろう。パブリッククラウドを活用する際、企業が保護しなければいけないのは「情報」だ。宮園氏は「その情報がきちんと保護されていることを証明する、知る手段が必要になる」という。

 だが、クラウドを使えば、情報のコントロール機能は外部に移るため、ユーザー企業が自ら統制するのは難しい。預けたデータが誰にものぞき見されない保証や、ログによる利用状況の把握、それらはクラウド事業者にゆだねられるが、現状ではどうしてもまだ不安が残る。そこで「ユーザー企業側から事業者へセキュリティをしっかり要求していくことが重要になる」と宮園氏は語る。

 米国でもセキュリティを懸念する声は高まっている。すでに米国にもセキュリティを実装する地盤はある。しかし、クラウドはまだベンチャー系の利用が中心、預けられたデータもそこまで重要でないものが多いため、なかなか進ちょくしない。今後、「大企業や基幹系のシステムがクラウドに移れば、セキュリティはあって当たり前、なければ論外ということになる」。実際に事業者の意識も変わりつつあり、GoogleやAmazonが多要素認証を採り入れるなど、状況は次第に前進し始めているという。

 この状況をさらに推し進めるため、「もちろん事業者の中には最初からセキュリティを用意し、オプション提供しているところもある。だが、需要がなければ、堅固なセキュリティの整備は実現してこない。ユーザー企業からの突き上げが何より必要」(同氏)というわけだ。


「リスクベースセキュリティ」が重要

 とはいえ、クラウドの最大のメリットはやはり俊敏性にある。セキュリティがそれを損なってしまってはいけない。「そこで重要となるのが、リスクベースのセキュリティだ」(同氏)。いまこの瞬間にも、世界中の至るところでさまざまな脅威が発生している。その脅威が自社のどの領域に影響を与えるのか、どのような対策でどれだけリスクを減らせるのか、その上で許容してもいいリスクとは何か――それらが分かっていれば、ある程度クラウドの俊敏性を優先しても、リスクによってどんな被害が引き起こされるかを想定内に織り込める。事後対応もあらかじめ考えておくことが可能となる。

 「データの流れや利用状況を把握しておくことが必須。その内容に応じて、リスクを判定する。例えば、特定企業の人しかアクセスしていなくて、アクセス方法もポリシー通りならば、リスクは皆無と判断できる。逆に管理者がポリシー違反をしていたり、クラウド事業者の管理者が自社の情報にアクセスしていたりすれば、そこには何かしらのリスクが存在する。ログ管理、認証、暗号化、そしてリスクベースの情報管理ができていれば、そうした最悪の事態にも備えられる。逆にリスクが把握できていないとすれば、それは企業にとって危険極まりないことだ」。

 具体的には、認証やなりすまし防止などが重要という。「特に管理者権限を持ったアクセスへの認証が重要になる」(同氏)。


vSphereへのセキュリティ機能組み込み

仮想環境に最適な認証を提供するSecurID

 一方、プライベートクラウドにおいては、「仮想化の特性を生かしたセキュリティが重要。当社も仮想化セキュリティに対する取り組みを進めている。そのための認証セキュリティ製品などを持っている。また、クラウドセキュリティアライアンス(CSA)の動きを注目している」(同氏)としている。

 具体的には、VMwareとさまざまな取り組みを進めており、すでに「SecurID」、統合ログ管理製品「enVision」、情報漏えい防止製品「RSA DLP」がVMware環境で利用可能となっている。例えば、SecurIDでは仮想デスクトップでワンタイムパスワードが利用できるし、enVisionはVMware vCenterで取得したログ情報を一元管理できる。

仮想環境でのイベントの把握と可視化をサポートするenVisionRSA DLPの概要

 また、こうした各製品の仮想化対応に加えて、RSAではもう1歩踏み込んだ取り組みも行っている。宮園氏が「セキュリティマネジメントという考え方」と説明するその取り組みでは、各セキュリティ機能の「vShield」への組み込みを進めている。

 対象となるのは、RSA DLPやアクセス制御などの機能。昨今、VMKernel上でアンチウイルスやファイアウォールを稼働させる仮想セキュリティソフトが増えているが、さらにさまざまなセキュリティ機能をインフラに融合していく青写真だ。


GRCを軸とした「セキュリティマネジメント」の考え方

「セキュリティマネジメント」の構成図

 さらに、その上にコントロールマネジメント層を確立させるのがRSAの戦略となる。vSphereのインフラにセキュリティを組み込み、上位にセキュリティマネジメント層を設けることで、総合的なガバナンス・リスク・コンプライアンス(GRC)の統制を実現する。

 要となるのが、SIEM(セキュリティ情報/イベント管理)の役目を果たす「enVision」と、GRC製品「Archer eGRC Suite」の2製品だ。後者は米国でリリース済みで、国内展開は2011年を予定している。

 インフラでさまざまなインシデントが発生する。組み込まれたセキュリティ機能がそれらを制御する。その情報がセキュリティマネジメント層のenVisionに収集され、関連づけが行われる。この情報を取り込んで、Archer eGRC SuiteはGRCの管理を実現する。ポリシーを定義し、コントロールにマッピングすることで、GRCの観点からセキュリティを実施することが可能となる。

 業界のコンセンサスをArcher eGRC Suiteに組み込むことも可能で、8月末には米RSAからVMwareのハードウェアガイドラインの状況を取り込んでいくと発表された。また、米Cloud Security Allianceのガイドラインも取り込む予定で、企業が対応すべき各要件を把握して、どこまで対策が実現できているかを確認することも可能になるという。

 「RSAセキュリティとしてはこのセキュリティマネジメントという戦略にかじを切り始めている」(同氏)。この構想が実を結べば、RSAセキュリティの事業は、顧客にとっていままでとは少し違った見え方になる。RSA製セキュリティ製品が前面に出ることは少なくなり、インフラに組み込まれた機能として、VMwareが販売していくことになるのだ。

 「RSAとしてどう商売するかという話はあるが、冒頭で述べたとおり、セキュリティが空気のような存在になる日が着々と近づいている」(同氏)。

 12月1日には、EMCジャパンとRSAセキュリティの合併が発表された。買収後、EMCジャパンのセキュリティ部門として存続していたRSAセキュリティも、2011年1月1日付けで正式にEMCジャパンに融合される。製品レベルでの融合も、これを機に、より明確に打ち出されることになるだろう。


クラウドセキュリティの難しさと心構え

 最後に宮園氏は、クラウドセキュリティの難しさを語ってくれた。「クラウドセキュリティはユーザー企業と事業者の連携なくしてはなし得ない。一方でユーザー企業にとっては事業者のセキュリティは実態が見えにくく、クラウドに預けるデータに対しては自身でコントロールを持つこともできない。事業者のセキュリティに対する考え方に温度差がある状況で、いかに連携して強固なセキュリティを実現していくか、その調整に難しさがある」(同氏)。

 また今後、クラウドも視野にセキュリティを実装していく際には、「最初からクラウドを見据えて仮想化のセキュリティ対策を進めておくことが重要。そうすればクラウドへの移行もスムーズとなり、プライベート管理の仕組みを応用して、外部の管理も実現できるかもしれない」とした。

関連情報