【RSA Conference Japan 2010基調講演】RSAコビエロ氏、セキュリティにおける“航空管制塔”の必要性を訴える
基調講演に登壇したRSAプレジデント兼EMCエグゼクティブ・バイスプレジデントのアート・コビエロ氏 |
RSA Conference Japan 2010が9日・10日、都内で開催されている。初日となる9日には、RSAプレジデント兼EMCエグゼクティブ・バイスプレジデントのアート・コビエロ氏が、「ハイブリッドなIT環境においてセキュリティ、リスクおよびコンプライアンスを高めるために」と題した基調講演を行った。
■情報セキュリティにも「航空管制」が必要
ITインフラが複雑化するにつれ、情報も不規則な広がりを見せている |
コビエロ氏はまず「(カンファレンスに参加するために)火曜日に米国を経った。世界中で飛ぶ約40万機のうちの1機に乗ってきたわけだが、これだけ膨大な数の飛行機がきちんと離発着できるのは、航空管制システムのおかげだ。今ではこのシステムを当たり前のように感じているが、うまく機能しなくなったら大変なことになる。一方、情報セキュリティには、管理と制御を一元化する“航空管制システム”が確立されていない」と問題を提起。いかに情報セキュリティにおける“航空管制システム”を確立すべきかを、具体的な問題点、開発中の技術、提案を交えて説明した。
現状の課題は、限定された機能・範囲を対象としたポイントソリューションが各所に導入され、その大部分が連携せずに個別動作している点だ。情報の急増、データ利用形態やモバイルデバイスの多様化でインフラは複雑化し、情報が存在する範囲も不規則に広がっている。
これに伴い、「情報へアクセスする人物の特定は困難となり、認証や権限承認にも課題が生じた。加えて、仮想化によってOS・データベース・アプリケーションなどのスタックが単一ファイルで完結する環境が実現し、さらにそのスタックのクラウド移行が始まるに至り、到底制御しきれないインフラの複雑性を招いてしまったのだ」(コビエロ氏)。
問題なのは、1つの脅威にしか対応できないセキュリティ製品があふれていることだ。マルウェア対策、DLP、暗号化、認証などの製品が個別に使われ、各種コントロール機能も独立して動いている。ポリシーを管理する個所は複数にわたり、同じポリシーを使う人が違うやり方で適用する場合も少なくなく、多数のダッシュボードに整合性のとれないレポートが生成されてしまうケースもある。
限定された機能・範囲を対象としたポイントソリューションが各所に導入されてきた | 各種コントロール機能が独立しているため、すき間をついた攻撃が発生する。「ここに挙げた15のインシデントは、言い換えれば、恥ずかしい記事を書かれるための15の方法といえる」(コビエロ氏) |
■セキュリティを「システム」として機能させる
セキュリティをシステムとして機能させるための具体的な方法 |
このような状況をいかに改善したらいいのか。コビエロ氏は、セキュリティを「システム」として機能させることが重要だと語る。
「現在は各種コントロール機能が独立しているため、そのすき間を突く攻撃が存在する。対処するには、各種コントロール機能を相互運用することに加え、より包括的でシステマチックな方法で管理し、すべてのコントロール機能を一元管理することが必要だ」(同氏)。
具体的な方法として、1)組織やインフラを統制するためのポリシーを定義する。2)ポリシーをインフラ内のコントロール機能にマッピングする。3)ID、情報、インフラに対してコントロール機能をプロビジョニングする。4)この時点で検出、発見、ポリシーの執行といったコントロールを開始する。5)コントロールの状態を監視し、アラートやアクションなどを実施する。6)各種コントロール機能からイベントやアラートを相互に関連付けて、リスクに基づいたコンテキストを追加する――といったフローを紹介。
これらを実行することで、コンプライアンスやリスクに関するレポートを評価できるようになり、結果として必要な個所の修正が可能となる。これが、同氏の考えるセキュリティにおける“航空管制システム”というわけだ。
3つのレイヤ |
「以上のプロセスを振り返ると、3つの階層が見えてくる」(同氏)。
実際にインフラ全体における検出と執行のポイントとなる「コントロールレイヤ」、数え切れないコンソールを制御し、最終的にはポリシーを定義するセキュリティコンソールと運用コンソールを統合する「コントロール管理レイヤ」、孤立していたテクノロジーを航空管制システムのような単一のプラットフォームやフレームワークに統合する「ガバナンス・可視化レイヤ」の3つだ。
親会社のEMCも、GRC(Governance/Risk/Compliance)/SIEM(Security Information and Event Management)ツールも組み込んだ航空管制システムを構築しているという。
■仮想化がセキュリティの真の一元化を実現する
「仮想化がセキュリティの一元化を実現するかもしれない」と話すコビエロ氏 |
さて、こうした仕組みを考えたときにフォーカスすべき要点として、同氏は「仮想化環境にはセキュリティ管理を従来よりもさらに改善する機会があるという良い面も存在する」と紹介した。
同氏は長年、セキュリティのインフラ化の必要性を訴えている。しかし、物理環境でのセキュリティの組み込みは大変な作業である。単一ベンダーのインフラの一部分として組み込まれても、本当の意味でのインフラ全体に対応することはできない。
一方、「仮想環境やクラウドではすべての要素が共通の仕組みを共有しているため、その仕組みにセキュリティを組み込めば、全体保護への近道になる」(同氏)というのだ。「また、セキュリティとコンプライアンスを管理するためには、より一元的なポリシーベースのアプローチが必要となるが、仮想環境ではインフラを論理的かつ動的にセグメント化し、これらのセグメントにポリシーを適用できる。そして、そのインフラを一元的に運用し、管理することが可能だ」ともしている。
VMware vShieldの概要 |
このようなコンセプトの具体例として、8月30日に発表されたVMware vShieldの新版を挙げる同氏。同製品はハイパーバイザー自体にさまざまなセキュリティ機能を実装するもので、新版では「企業全体」「アプリケーション」「個々の仮想マシン」のレベルで、ゾーン・グループを作成し、そのゾーンごとにセキュリティポリシーを割り当てられる「ビルトイン・アプローチ」を採用しているという。
また、vShield Managerに管理機能を組み込み、vCenterコンソールからセキュリティを管理できるような仕組みも予定。vCenterコンソールとRSAのセキュリティコンソール間のブリッジ機能の開発も進められており、セキュリティチームが定義したポリシーを運用チームに渡して、これらポリシーの潜在的な影響を評価して適用できるようにするという。
さらにRSAのGRC/SIEMツールを連携させることで、インフラのガバナンスに対して可視性が得られ、リスクとコンプライアンスを管理可能になるという。
「これらは現実のものであり、実際に開発を進めているアプローチである」(同氏)。セキュリティを仮想化された共通のプラットフォームやフレームワークに組み込んで、単一ソリューションの点配置ではなく、一元化されたコントロールの下に統合的に実装する――セキュリティの永遠の課題と思われたこのテーマを、仮想化が解決するかも知れないと同氏は語っている。