仮想化、クラウドで求められるシステム化したセキュリティ――RSAがコンセプトを説明：NEWS

EMCとRSAは戦略説明会を開催。クラウドで変化する情報インフラのセキュリティに対し、同社が提唱する“セキュリティシステム”のコンセプトを紹介した。

≫ 2010年09月10日 16時59分公開

[上口翔子，TechTargetジャパン]

　RSAセキュリティは9月9日、同日から開催の「RSA Conference Japan 2010」に合わせて、「クラウド時代到来で激変する仮想環境のセキュリティ動向」と題した記者説明会を開催した。

　来日したEMC バイスプレジデント兼RSA The Security Division of EMC プレジデントのアート・コビエロ氏がEMCとRSAが考える今後のビジョンを語った。

情報セキュリティにも航空管制システムのような包括的仕組みが必要

アート・コビエロ氏

　コビエロ氏は、複雑化した情報インフラとそれを取り巻くセキュリティの状況について、「仮想化やクラウドの登場で情報インフラは過去10年間で飛躍的な成長を遂げた。一方でセキュリティは、マルウェア対策、DLP（Data Loss Prevention）、暗号化、認証などの製品が個々に使用されており、各製品間で連携が取れていないのが現状」だと指摘。セキュリティの体制が情報インフラの変化に追い付けていないとした。

　そこで同社が提唱するのは「セキュリティをシステム化し、厳密な権限下で機能・管理すること」だ。コビエロ氏は空港の航空管制システムを例に挙げ、「1日に約十万機もの飛行機を制御できているのは、特定の人物のみが適切な情報へとアクセスできるようにし、管理が容易で効率的なフレームワーク上で運営できているからだ」と述べる。「情報セキュリティにも、この航空管制システムのように個々の製品を包括的に管理できるシステムが必要となる」（コビエロ氏）

　では実際にセキュリティをシステム化するにはどうすればよいのか。コビエロ氏はまず、組織や情報インフラストラクチャを統制するためのポリシー定義が必要だとする。情報システムを「コントロール」「コントロールの管理」「統制と可視化」の3レイヤーに分け、各レイヤーに対し先に定めたポリシーをトップダウンで落とし込む。各レイヤーでの制御状況は常に監視できる状態にしておき、必要に応じてアラートや状況追跡ができるような仕組みも設ける。最終的には、情報インフラ全体の制御と各イベント、アラートを相互に関連付けることで、コンプライアンスやリスクに関するリポート作成も容易にできるようになるという。

同社が考える包括的なセキュリティのシステム。各製品にひも付いてベンダーから提供されている管理コンソールなどは複数使用することになるが、上記のシステムではそれらも1つのシステムとして包括的に運用される

　「物理世界で個々の製品にセキュリティ機能を組み込むことは困難な作業であり、インフラ全体に対応することはできない。一方、仮想化やクラウドではすべての要素が共通の仕組みを有しているため、その仕組みにセキュリティを組み込むことで、本当の意味でインフラ全体の保護が可能となる」とコビエロ氏。さらに、「仮想世界ではインフラを論理的かつ動的に細分化し、各ポイントにポリシーを適用できるため、インフラの一元的管理、運用が可能だ」と述べた。

　実際に上記のコンセプトを具現化した例としてコビエロ氏は、8月30日に発表した「VMware vShield」の新バージョンを紹介した。同製品は企業全体、アプリケーション、個々の仮想マシンレベルでゾーンまたはグループと呼ばれる論理構成を作成してセキュリティ管理ができる製品だ。RSAはヴイエムウェアと共同でvShieldにセキュリティ機能を組み込み、ポリシーをゾーンごとに適用できるようにした。さらに、RSAのDLPが持つデータ検出機能や分類機能を活用し、初期段階でゾーンを定義可能とした。

　さらに今後は、vShield Managerに管理機能を組み込み、仮想化管理ツール「VMware vCenter」のコンソールからセキュリティを管理できるような仕組みも設ける予定だという。同コンソールとRSAのセキュリティコンソール間のブリッジ機能を開発し、セキュリティ管理者が定めたポリシーの潜在的な影響を評価しながらシステムに提供していくような試みも検討されている。

　ガバナンスに対しても、RSAの統合ログ管理製品「SIEM：Security Information & Event Management」とガバナンス・リスク・コンプライアンス（RGC）製品とを連携させる。「これまでセキュリティポリシーを定義していたセキュリティ管理者とそのポリシーを運用していたシステム管理者が連携し、“セキュリティを含めた包括的な運用管理”が可能になる」（コビエロ氏）