クラウドにセキュリティ企業はどう挑む？
【シマンテック編】

　アンチウイルスベンダーのイメージからいち早く脱却し、ストレージやデータ保護分野にも事業を広げるシマンテック。2010年前半にはベリサインの買収を電撃的に発表し、セキュリティ分野への変わらぬコミットメントも示した。セキュリティベンダーのクラウドへの取り組みを追うこの特集。三回目は、米Symantec Director, Strategic Technology, Security Product GroupのMatthew Steele氏に話を聞いた。

■情報分類、IDの保護、モバイルセキュリティが肝

米Symantec Director, Strategic Technology, Security Product GroupのMatthew Steele氏

　Steele氏は「クラウドの課題は従来の延長線上。ただしインフラが分散するのでコミュニケーションのセキュリティが重要になる」と現状の課題に触れ、特に「情報の分類」と「IDの保護」を重要点に挙げる。

　「クラウドによりデータが色んな所に送られる。そのデータを保護しなければならないが、そのためにはデータを効率良く分類する必要がある。今後、内と外のクラウドを連携させるハイブリッドクラウドが主流となり、その際にどのデータを外に預けるか――データの分類が企業の規模を問わない挙通の課題となっている。また、クラウドを利用するとデータは企業内を経由せずに直接クラウドへ流れていく。そこで認証が重要となる」。

　このため、シマンテックにとっても他社セキュリティベンダーにとっても、今後は情報とIDの保護がセキュリティの中心になっていくと予見する。これらは従来の延長線上だが、一方で新要素として挙げるのが、モバイルセキュリティの重要性だ。

　「クラウドとモバイルは密接に関連する。実際に、iPhoneなどの普及に伴い、クラウド利用も高まっている。Dropboxなどのクラウドサービスもこれに連動して増えている」（同氏）。

　今後、「情報の分類」「IDの保護」「モバイルセキュリティ」がホットトピックスになるようだ。

■シングルインスタントセキュリティで仮想環境を保護

　では、シマンテックはクラウドセキュリティにどうかかわっていくのか。Steele氏は「クラウドの多くが仮想環境を基盤として稼働しており、現状では、クラウドを保護するということは、すなわち仮想環境を保護することとほぼ同義だ」と語る。

　仮想環境ではハイパーバイザー上にたくさんの仮想マシン（VM）が稼働する。この状況下で、マルチテナント、セルフプロビジョニングの環境をどう実現するか――。

　「マルチテナント環境で企業ごとに独立したデータ管理が求められる。データの混在を防ぐため、ファイル・データ単位の暗号化が必要だ。ハイパーバイザー上では別の会社とお隣さんとなる。そしてクラウド事業者がすべてのデータを管理する。では、管理者IDが窃取されたらどうするか。将来的には、事業者の管理者IDまでエンドユーザーが気にしなければいけないのか、という疑問が生じる。あるいはハイパーバイザーごとに分けてしまう手法も考えられるかもしれない。しかし、それではVMの柔軟性が生かせず、クラウド事業者の提供する価値が損なわれてしまう。これらを解決するための技術的なハードルはそれほど高くないが、いかにコストを抑えるかが課題となるだろう」。

　実際の取り組みとしては、VMwareとの協業を進め、ハイパーバイザー上のセキュリティソフトを開発している。「シングルインスタントセキュリティ」を実現するこの技術では、セキュリティVMを稼働して、セキュリティの処理を一括する。VMwareの「VMsafe API」によるもので、現在、シマンテックの技術をVMware向けに適用中。製品化は2011年度になる予定。

　「例えば、複数のゲストOSが同時にスキャンを行うとリソースを消費する。それを制御するRandom Scanや、Single Updateなどの機能が予定されている。オープンソース化に向けても活動中でAmazonなどと協議している」。

■シマンテックのクラウドサービス技術「Ubiquity（ユビキティ）」

　同社製品のクラウド化についてはどうだろう。個人向けにはバックアップのクラウドサービスをいち早く提供しており、「現在すでに70ペタバイトほど利用されている」（同氏）。2009年に買収したメッセージラボのメール・Webのホステッドサービスも同社の重要なサービスだ。インターネットから企業へのインバウンドトラフィックを一度シマンテックのシステムを経由させることで、企業に届く前に不正なものを排除する。

　このほか、10月には「ユビキティ」なる新たなマルウェア対抗策も提示された。これはマルウェアの解析に従来型の方式に加え、ユーザーコミュニティが作り出すレピュテーション（評価）情報を活用するものだ。

　従来の方式でマルウェアに対する保護を行うためには、まずセキュリティベンダーが実際のマルウェアを入手し、分析する必要がある。例えば、シマンテックでは2009年の1年間だけで、2億4000万種のユニークな脅威サンプルを入手している。この中には世界中でたった1台のマシンにしか見られなかったものも少なくなく、もはや従来の方式ではすべての脅威を発見するのが困難だという。

　ユビキティでは、シグネチャによる保護、侵入防止、ビヘイビア分析、ヒューリスティック検知などを併せた従来の多層的防御方式に、ファイルの発信源、存在期間、シマンテックユーザー間での普及パターンなど、独自の算定方法で抽出したレピュテーション情報を基に各ファイルの安全度を評価する。

　従来型のシグネチャ方式ではマルウェアの内容を変異させることで検知を回避できるが、ユビキティのような多数のユーザーをベースにした統計情報を操作することは困難で、即席で作成された脅威や世界で足った1人のユーザーを標的とした脅威などユニークな変異を遂げたマルウェアにも対応できるとしている。

　「ビヘイビアとレピュテーションを融合させたアプローチといえば分かりやすいかもしれない。すでにノートン2011やSymantec Hosted Endpoint Protectionに導入されており、高い効果を得ている。2011年以降は企業向け製品にも積極的に導入していく予定で、まずはSymantec Web Gatewayに実装されるだろう」（同氏）。

■ベリサインの技術はどう活用される？

　これらのほかに、ベリサインの買収で追加されたのが、セキュア・クレデンシャル・マネジメント分野のサービスだ。これらをどう生かすのか。まず考えられるのがワンタイムパスワード（OTP）のモバイル展開だ。インターネットのセキュアコミュニケーションはSSLと認証で実現されているが、「モバイルにOTPを組み込めば、SSLとの組み合わせで社内ネットワークを経由せずにパブリッククラウドを安全に利用できる。モバイルへのOTPはクラウドサービスとして提供していく。そこで事業者との協業が重要となる」（同氏）。

　さらにクラウドとオンプレミスの連携にもベリサインの技術は活用される。同氏が例として挙げたのがPKIのメカニズム。「企業でクラウドを使うとなると、社員の情報を開示せずに、いかに正当な社員であるかを確認できなければいけない」（同氏）。

　そこでPKIを活用する。クライアント証明書でユーザーを認証。さらにコードサイニングやアプリケーションサイニングなどの技術で、アプリケーションにも最適なIDを持たせる。企業のIDとともにきちんとした管理が成されれば、データを作った際に“誰が作ったか”といった情報をマッピングできるという。

　「それを基にすれば、ユーザーが誰でどこにいるのかを確認した上で、どのデータにどのアプリケーションでアクセスを許可するか、状況に応じて制限できる。冒頭の情報分類の話に戻るが、こうした技術を活用することで、クラウドに移すべきデータ、そうすべきでないデータについてセンシティブ性の観点から管理できるようになる」（同氏）。

■モバイルセキュリティ・管理に関する新戦略も発表

　シマンテックによるベリサインの運用方針が気になるところだが、いち早く具体的な施策に落とし込むのはやはりモバイル分野のようだ。

　10月6日にシマンテックはベリサインの象徴的なマーク（○にチェック）を採り入れた新規行ロゴを発表した。それと併せて、モバイルセキュリティ・管理に関する新戦略も発表しており、そこにベリサインのサービスが組み込まれたのだ。

　新戦略は「法人・個人・通信サービスプロバイダ向けにモバイル管理サービスを提供するもので、スマートフォンなどに対し、リモートワイプ、パスワードポリシーの実施、インベントリの取得といった機能を提供する」（同氏）としている。

　企業向けの戦略では具体的な製品も挙げており、デバイス管理製品「Symantec Mobile Management」、デバイスセキュリティ製品「Symantec Endpoint Protection Mobile Edition」「Symantec Network Access Control Mobile Edition」、デバイス暗号化製品「PGP Mobile」「PGP Support Package for BlackBerry」、認証サービス「VeriSign Identity Protection (VIP) Access for Mobile」「VeriSign Device Certificate Services」などをラインアップ。例えば、VIP Access for Mobileは、iPhone/Android/Windows Mobileなどに対応するOTP生成ツールで、それぞれの端末を単独のソフトトークンとして利用できる。

　こうした製品群で個人用のデバイスやサービスを仕事に利用する際のリスクを軽減する方針だ。「仮想化、クラウド、モバイルは密接に関連している。セキュリティはこの3つを同時に考える必要がある。IDの保護と情報の分類が今後の主流になると述べたが、インフラ・デバイス・通信の管理をいかにするかも、すべてIDと情報分類が重要になってくる」（同氏）。

■セキュリティは「邪魔なもの」から「イネーブラー」に

　クラウドが普及すると、セキュリティ市場のプレイヤーには変化が訪れる。これまでエンドユーザーがオンプレミスで導入していた製品が、クラウド事業者のインフラに組み込まれていく。エンドユーザーが変わることで、セキュリティに対する意識も変わるのではないかと同氏は指摘する。

　「今までセキュリティは“生産性を落とすもの”という認識だったが、ユーザーがクラウド事業者となった場合、それはビジネスのイネーブラーとなる。有り体にいえば、クラウドサービスはセキュリティがないと売れなくなっていくのだ。セキュリティにとっては、これまでの認識が逆転するような重大なこと」。

　「その中で当社が目指すべきは、これまでのエンドポイントセキュリティ事業者という認識から、クラウドに必要なIDと情報のセキュリティを提供する企業という認識へのシフトだ。そのためにこれからもさまざまなソリューションを提供していくが、それらを総合的にいえば、そういう見方をされるようにしていくのが、当社のクラウド戦略だ」。