チェック・ポイント・ソフトウェア・テクノロジーズは、ファイアウォール/UTMのベンダーとして知られる。同社のシュエッドCEOに、セキュリティ装置の動向に関する話題でよく出てくる「次世代ファイアウォール」に対する考え方、そしていま企業に必要なモバイルのセキュリティ対策について聞いた。

(聞き手は山崎 洋一=日経NETWORK
チェック・ポイント・ソフトウェア・テクノロジーズのギル・シュエッドCEO
チェック・ポイント・ソフトウェア・テクノロジーズのギル・シュエッドCEO

ファイアウォール/UTM装置に関する最近の話題の一つに、アプリケーションの識別を特徴にする「次世代ファイアウォール」が挙げられる。これに対するチェック・ポイントの考え方は。

 何をもって次世代というかの問題だ。ファイアウォールがアプリケーションを識別する技術は十数年前からある。当社では15年前から、アプリケーションを識別するためのデータベースを使っており、これで数百のアプリケーションを識別している。問題は、どのアプリケーションを識別できるかだ。

 次世代ファイアウォールとは、Web2.0のアプリケーションを識別できるファイアウォールのことを指していると考えている。例えば「HTTPのトラフィックの中身を検査して、FacebookとGmailとYouTubeを別のアプリケーションとして識別する」ということだ。

 当社の今のファイアウォールは、5~10年前とは随分違うものになっている。Software Bladeという仕組みにより、15種類のセキュリティ機能を一つのプラットフォームに統合している。“マルチサービス”のセキュリティゲートウエイを実現しているのだ(編集部注:同社のセキュリティ装置は、Software Bladeと呼ぶセキュリティ機能から必要なものを選び、そのライセンスを購入してアプライアンス上で動作させる)。そして毎年のように、新しいSoftware Bladeを出してファイアウォールを強化し続けている。最近はDLP(Data Loss Prevention)のSoftware Bladeを発売している。DLPを統合できるベンダーは、当社だけだと考えている。

 Software Bladeの一つに、「Application Control Software Blade」というものがある。Application Control Software Bladeは、Web2.0のアプリケーションを識別するエンジンを搭載する。Web接続をする約5万種のアプリケーションやウィジェットを識別できる最もパワフルなエンジンといえる。この5万種は、競合他社製品の約50倍になる。

Mobile Access Software Bladeは2011年にAndroid対応

先日、モバイル端末に対応する「Mobile Access Software Blade」を発売した(関連記事)。企業は、モバイルについてどのようなセキュリティ対策を取る必要があるのか。

 セキュリティのレベルは、ユーザー企業がどういうモバイルデバイスを活用するかによって大きく変わってくる。そのため企業は、「どういうモバイルデバイスの使用を許可するのか、許可しないのか」といったセキュリティポリシーを作る必要がある。

 Mobile Access Software Bladeの最初のバージョンは、iPhoneとiPadに対応している。2011年にはAndroidにも対応する予定だが、各モバイルデバイスによって搭載機能はまちまちだ。例えば、米アップルは、モバイルデバイスにインストールできるアプリケーションを厳しくコントロールしているので、それによってある程度セキュリティが確保されている面もある。もっともバージョンによって搭載機能は変わるので、対応状況もそれに合わせて変化する。

 モバイルデバイスがVPNに対応しているというだけでは、企業ネットワークへのセキュアな接続を確立したことにはならないことにも留意してほしい。デバイスとネットワークが連携して、適正なセキュリティポリシーを実施できるようにする必要がある。例えば、パスワードが推定され不適切なアクセスが行われると、企業としては困った事態になる。そこで、「あるモバイルデバイスからしか、あるユーザーの情報にはアクセスできない」といった制御をかける方法があるだろう。Mobile Access Software Bladeは、こうしたアクセス制御ができる。

スマートフォンをこれから使いはじめる企業は、セキュリティについてどのようなことを考えていけばよいのか。

 まず、どのデバイスがどこにアクセスできるのか/しているのかを把握する必要があるだろう。また、デバイスを紛失した際に企業のネットワークに不正侵入されないようにするのはもちろんのこと、ほかの企業へのアクセスに悪用されることがないようにすることも求められる。

 それから、デバイスとユーザーの関係をきちんと把握して、「あるユーザーだけが企業の特定のデータにアクセスできるようにすること」が大変重要だと思う。このようにしないと、モバイルデバイスが1台盗難にあっただけでも、悪用されると企業ネットワークのすべてにアクセスされてしまう危険がある。

 ほかにも、いろいろな細かいポリシーが必要になると思う。例えば、「デバイスにキーロックをかける」「ほかの人にモバイルデバイスを貸してはいけない」といったポリシーがあるだろう。「端末に3日分以上のメールを格納しないこと」というポリシーもある。これだと、パスワードの盗難あるいはデータ消去機能の設定忘れといったことがあったとしても、漏えいする情報の量を制限できる。

 諸外国でも、こうしたモバイルのセキュリティポリシーは認識されつつある。米国でBlackBerryが成功したのは、企業のモバイル利用ニーズに早くから対応していたから。最近は、iPhoneやAndroidといった他のスマートフォンに対する企業ニーズが増えており、今までBlackBerryで使っていたものと同じ機能が必要になってきている。