「仮想化の阻害要因がセキュリティであることは間違いない。仮想環境における認証とアクセス制御が望まれている」---。EMCジャパンのRSA事業本部(旧RSAセキュリティ)は2010年1月7日、説明会を開催し、2011年以降の企業情報システムが抱える課題して、仮想化環境の安全性を指摘した。
仮想環境を安全に使えるかどうか、という視点が重要になっている、とEMCジャパンのRSA事業本部(旧RSAセキュリティ)は指摘する。
物理環境や仮想環境、プライベートクラウドやパブリッククラウドなどが混在したIT環境に対して、一貫したコンプライアンス(法令順守)や内部統制を実現できるか、という問題である。
仮想環境を安全に使うためには、個々の仮想サーバーに対する認証とアクセス制御を可能にし、これを単一の管理ソフトからポリシーベースで管理できるようにする必要がある。
管理ソフトに求められる仕様のうち、前者がコントロール層の要求仕様、後者がマネジメント層の要求仕様に相当する。
全体統制用のGRCソフトは2011年第4四半期に投入
コントロール層の認証/制御部分では、仮想サーバー専用の管理手法を別途用意しなくて済むことが重要になる。ポイント・ツールを増やすと、管理コストも増えてしまうからだ。これに対する解決策の1つが、仮想化ソフトのレイヤーにセキュリティ機能を組み込むこと。例えば同社では、VMwareのvShieldにアクセス制御機能などのセキュリティ機能を組み込んでいる。
マネジメント層のためのソフトとして、2011年第4四半期を目処に、GRC(ガバナンス・リスク・コンプライアンス)管理ソフト「RSA Archer eGRC Suite」を国内出荷する。狙いは、これまで管理対象システムごとに独立していた認証やアクセス制御などのセキュリティ管理ソフト群を、横断的に管理できるようにすること、仮想環境を含め、単一のセキュリティ・ポリシーの下で、制御/可視化できるようにする。
従来、同社は、暗号化や認証製品を中心に、要素技術の製品群を販売するビジネスを生業としてきた。これに対して、昨今では、ログ管理のRSA enVisionや情報漏えい対策のRSA DLP、PCI DSS準拠対策(クレジット・カード番号のトークン化)などの製品群を追加してきた。RSA事業本部長の山田秀樹氏は、同社の今後の位置づけを「GRCを管理する製品・サービスを提供するベンダー」と定義する。
新規の脅威に対しても注意を払い続ける必要がある
同社ではまた、仮想環境の安全性とは別の課題として、トロイの木馬を用いた、クレデンシャル情報(信用情報)の収集や個別システムへの攻撃など、これら新規の脅威に対してどう対策するか、という視点を指摘した。
昨今の状況の変化として、スマートフォンなどのモバイル環境が急伸していることによってアクセス環境が変化していることや、企業を標的にZeusに代表されるトロイの木馬が浸透している現状を説明した。特に、トロイの木馬は一般化しており、同社の調査によれば、Fortune 500企業の88%においてエンドユーザーのPCがZeusに感染しているという。
