特別企画
2014年のセキュリティ主戦場は「モバイル」、チェック・ポイントに要点を訊く
(2014/1/9 06:00)
ここ数年、ネットワーク機器ベンダーや、新しく登場したセキュリティベンダーが、「次世代ファイアウォール(NGFW)」が登場。「従来型ファイアーウォールでは新しく登場している脅威に対抗できない」とアピールしている。
こうした動きに対し、長年ファイアーウォールを提供してきたチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(以下、チェック・ポイント)では、「NGFWはマーケティング戦略から生まれたことばに過ぎない」と反論。そして、「我々はすでに5年前から同等の技術を提供している」と語る。
イスラエル本社でセキュリティソリューションのプロダクト・ライン・マネージャーをつとめるEyal Manor氏に同社がNGFWにどう対応するのか、今後のセキュリティ対策製品としてどんなものを提供していくのかを訊いた。
「NGFWと同等の機能は5年前から提供している」
「NGFWとはあくまでもマーケティング的なことばに過ぎないと考える」、Manor氏はこう断言する。「アナリストが積極的に使っていることばであり、我々はすでに5年前から同様の機能を提供している」。
Manor氏は企業のセキュリティに必要なものとして、(1)ファイアーウォール、(2)IPS (Intrusion Prevention System)、(3)アンチウイルスソフト、(4)アプリケーション制御であると指摘した上で、「IPS分野では独立系のセキュリティ製品のテストおよび研究機関で、第三者機関による業界で最も包括的なテストの実施機関であるNSS Labsから、チェック・ポイントは世界トップ2ベンダーの1社であると認定されている。アプリケーション制御に関しては業界でトップレベルである5000以上のアプリケーションを認識する機能を持っている。この2つは一つの例だが、我々のファイアーウォールは『Software Blade アーキテクチャ』によって、他社が提供してきた機能をすでに提供している」とむしろ先行していると機能的な優位性を強調する。
Software Bladeアーキテクチャは2009年から提供されているもので、ファイアーウォールインフラ上に追加機能としてセキュリティに関する新しい機能を追加できる。このアーキテクチャによってチェック・ポイントは競合が提供した新しい機能をファイアーウォールの基盤上に統合された機能の一つとして提供することが可能になった。
例えば「アプリケーション制御」は、NGFWを標榜する競合ベンダーであるパロアルトネットワークスが、「サンドボックス」についてはファイア・アイといった企業が先行して提供した機能である。
それに対しチェック・ポイントでは後追いで開発した機能もあることを認めた上で次のように説明する。
「我々はアプリケーション制御において後追いだったかもしれないが、競合にはない機能を付加して提供している。競合は脅威の検知はできても、それを削除することはできない。それに対して我々は脅威を検知した後で保護ブロックできる。新たに登場したベンチャー企業は革新的なテクノロジーを提供することで、セキュリティ市場に参入したのだが、調査会社が行った調査では顧客の求める方向性としてサンドボックスのようなスレッドエミュレーションをセキュリティゲートウェイとセットで導入したいという傾向が明らかになっている。それに答えられるのは我々だ」。
サンドボックスについては、スレッドエミュレーションはハードウェアへの作業負荷が高くなるため、あえてゲートウェイのアプライアンス上では行わず、アプライアンスの性能低下を生まないような仕組みとしているのだという。アプリケーションが不正なものなのか、そうでないのかの判断を行い、怪しいものだと検知した段階でクラウド側にアップロードし、そのクラウド内で処理する。
「この辺りのテクノロジーがユニークであることが、チェック・ポイントの特徴だといえる」とManor氏は話す。
BYODでゲートウェイ外のセキュリティ対策が必須に
さらにManor氏は、「スマートフォンをはじめ、社外で利用するノートパソコン、タブレットといったゲートウェイの外で利用するデバイスが増加していることを考えると、ゲートウェイ内だけの保護では十分ではない。ゲートウェイ外を保護しない限り、ゲートウェイ外から感染が起こり、トラブルが発生することになるだろう」とゲートウェイ内の技術革新競争だけが争点ではないと指摘する。
確かにBYODのような数年前には考えられなかったデバイスの活用法や、Android端末にマルウェア的なアプリケーションが多数存在し、iPhoneをターゲットとした脅威が増加する現状を考えると、従来通りの脅威対策だけでは不十分ではない時代となってきていることは確かだろう。
そこでチェック・ポイントでは個人が利用するスマートフォンで企業システムにアクセスする場合、企業システムとダイレクトにはアクセスせず、隔離されたコンテナ環境を作り、そこからメール、カレンダーといったアプリケーションを利用するためのシステムとiPhoneアプリを提供している。
「スマートフォンで利用する電子メールソフトの添付ファイルに大きな脅威が添付されている場合がある。そこで感染してしまっているのに気がつかずに利用し続けると企業システムにもトラブルが起こる可能性がある。そこでセキュアなコンテナ内で処理を行い、企業システムに脅威が及ばない仕組みを作り上げた。来年にはクラウドベースの新技術も提供予定だ」。
スマートフォンに代表されるエンドポイントセキュリティはセキュリティ分野で一つの焦点となることは間違いない。社外でノートパソコン、スマートフォン、タブレットを利用するソリューションは様々なベンダーから提供されているからだ。
エンドポイント専用のセキュリティソリューションも登場して来ているが、「チェック・ポイントは企業内システムのゲートウェイ、そしてそこから飛び出したエンドポイントセキュリティと幅広く、トータルなセキュリティを実現するソリューションを持った唯一のベンダーだ」とManor氏は強調する。
「技術進化によって情報システムのあり方も変わる。その技術進化にいかに対応するのか。先ほど、競合ベンダーとの戦いに加え、新しく生み出される脅威との戦いを常に続けるのがセキュリティベンダーの使命だ。新しく生み出される、新しい脅威をできるだけ多く検知してブロックし、スレッドエミュレーション技術によって無力化する。サンドボックス内でゼロウェアマルウェア攻撃を無力化することができる。さらにセキュリティコンテナアプリによって、スマートフォンの情報を企業システムから隔離することで攻撃をかわすことができる」。
こうしたソリューションのベースとなっているのがイスラエル本社にある研究施設だ。この研究施設では100人以上のリサーチャーが世界レベルで、新しい攻撃を追いかけている。
「この100人のリサーチャーは新製品を開発する要員ではなく、常に新しい攻撃を追いかけている人材。常に全世界の脅威を追いかけ、研究している人材。彼らが他社や官公庁、研究施設と連携しながら脅威を追いかけている研究成果があるからこそ、当社の技術レベルは高い」。
2014年はモバイルセキュリティ対策が焦点に
2014年、セキュリティ業界の動向はどう変化していくのだろうか。Manor氏は、「主戦場はモバイルとなるのではないか」と予測する。
「お話ししたように、スマートフォンの管理は容易ではない。例えば、DropboxやEvernoteのようなサービスを利用した場合、そこから情報漏えいが起こるといった可能性も否定できない。しかし、その一方で管理を強化しすぎるとスマートフォンの利便性が失われるといった問題が起こる。効果的なセキュリティ対策はまだないといえるのではないか」。
チェック・ポイントではコンテナを利用してビジネスデータと個人データを分離するソリューションと共に、Excel、Word、PDFといった企業内で利用するドキュメント暗号化し、権限がある人間以外はアクセスできないようにするドキュメントセキュリティを提供していくという。
「これによって企業の保護の管轄外にあるクラウドサービスを利用した場合にデータ漏洩しても、権限がない人間にはファイルを開くことができなくなる。botがパソコンに置かれたファイルをどこかに送ってしまうといった場合にもファイルを開くことができなくなる」。
2014年はチェック・ポイントをはじめ、ゲートウェイ外のモバイルセキュリティ対策がセキュリティベンダーにとっての争点の一つとなりそうだ。