クラウドへの移行やスマートフォンの普及など、企業システムを取り巻く状況は大きく変化し、複雑さは増している。こうした環境下で、情報システム部門はいかにセキュリティ対策をすべきか。米チェック・ポイント・ソフトウェア・テクノロジーズのイツァク・ウェインレブ アジア太平洋セールス担当副社長に話を聞いた。
イツァク・ウェインレブ氏:自社独自のクラウド環境であるプライベートクラウドを中心に、世界中でクラウドの導入事例が増えてきた。スマートフォンやタブレットといったスマートデバイスも急速に普及している。
これらは企業システムの柔軟性や俊敏性を高めるうえで効果的だが、まだ確固としたセキュリティ対策が確立しているとは言えない。一方で、既存環境のセキュリティ対策もあり、その対象は増えるばかりだ。
システム環境の多様化/複雑化は進む一方だが、そうした現状にあっても、セキュリティ対策の本質は変わらないというのが、私の見方だ。
チェック・ポイント・ソフトウェア・テクノロジーズが新たに発表したセキュリティコンセプト「Check Point 3D Security」では、(1)ビジネス要件にあったセキュリティ対策を実施する「ポリシー」、(2)システムの利用者にセキュリティへの関心を高める「人」、(3)ポリシーを基にしたセキュリティ対策を容易に実現できる「実施」、の3点を提唱している。
これらの項目はいずれも新しいものではないが、徹底できている企業は多くはない。環境が複雑になるからこそ、基本的な対策を確実に実行していく姿勢が企業には求められる。
3D Securityの3つの要素をに基づくセキュリティ対策を実現するための機能は、統合セキュリティソフトの新版である「Check Point R75」に盛り込んでいる。
Active Directoryとの連携でユーザーIDにセキュリティポリシーを紐づける「Identity Awareness」、データの中身を解析して機密データの社外漏えいを防ぐ「DLP(Data Loss Prevention)」、Webアプリケーションへのアクセスを制御する「Application Control」、スマートフォンからSSL VPN経由で社内システムへのアクセスを可能にする「Mobile Access」といった4つの機能で構成する。
3D Securityの3つの要素の中でも、「人」、つまり従業員をいかにセキュリティプロセスに巻き込むかという視点が重要だ。企業内の情報セキュリティ対策を徹底させるためには、セキュリティを企業のビジネスプロセスの一部として取り込むことが不可欠となる。つまり、従業員全員がセキュリティに積極的に関与するのが理想的だ。
R75には、セキュリティに対して従業員の関心を高めるための工夫を凝らしている。例えばDLPには、エンドユーザーが機密文書を送付しようとした場合、「これは機密文書なので社外に送信できない」ということをポップアップで示す「UserCheck」機能を盛り込む。情報漏洩を防止するだけでなく、どういう文書が機密情報なのかをエンド―ユーザーに自己学習させる効果が期待できる。こうした積み重ねが、セキュリティをビジネスプロセスの一部として取り込むことにつながると信じている。
今後はスマートデバイスに対するセキュリティ対策のニーズが高まると見ている。R75にMobile Accessを搭載しているのも、それを反映したものだ。当社は2006年にモバイルセキュリティ企業のPointsecを買収しており、この市場には4年以上前から関心を持っている。(談)
