次世代の情報セキュリティでは一つひとつのデータにIDが付く

米シスコ
セキュリティテクノロジーグループ担当副社長兼最高技術責任者（CTO）ボブ・グライコーフ氏
コーポレートセキュリティプログラム機構担当副社長兼最高セキュリティ責任者（CSO）ジョン・スチュワート氏

2007.06.04

　セキュリティの注力分野に「情報のセキュリティ」を掲げたシスコ。企業のセキュリティ対策として今いちばん必要とされているのは「情報の流出/損失の阻止」であるという。情報セキュリティの重要性と，それを確保する仕組みに向けた研究開発について，グライコーフCTOとスチュワートCSOに聞いた。

（聞き手は山崎洋一＝日経コミュニケーション）

これまで以上に情報セキュリティに注力していくとの姿勢を打ち出しているが，その理由は。

米シスコのグライコーフCTO（写真左）とスチュワートCSO（写真右）
[画像のクリックで拡大表示]

　ひとくちに情報と言っても，その重要度はまちまち。また情報の管理は，ネットワークだけでは実現できない。データの大半は暗号化して送受信されるため，内容をいちいち検査するのが難しいからだ。

　つまりアプリケーションのことを考えなくてはならない。自社のアプリケーションとその通信相手のアプリケーションが，どのようなメカニズムで通信しているかを把握することが必要になる。通信相手のアプリケーションが「このデータは極めて重要である」と通知してくれれば，それに適した扱いができる。

　我々はいま，アプリケーションと通信するためのAPI（application programming interface）を構築しているところで，ミドルウエアのベンダーと議論を重ねている。こうした仕組みを活用して，アプリケーションから出て行ってはいけないデータが出ていこうとしたときに，ネットワーク側でそれを阻止する手段を講じられるようにしたい。具体的なところは（研究開発の）作業中なので明らかにできないが，ミドルウエアのベンダーが採用している通信プロトコルは多様なので，それに対応するためにAPIをどう構築すればよいかを考えている。

　こうしたソリューションをデザインしていく上で関係してくるのは，すべてエッジ（edge）にあるものだ。ネットワーク・トポロジの観点から見たエッジ，アプリケーションの観点から見たエッジなどいろいろあるが，そこを見て（研究して）いく必要があると思う。

現在のアクセス制御の仕組みをどう変えていけばいいと思うか。

　ユーザー一人ひとりにIDを付けるように，「データにIDを付ける」という考え方をして，そのIDを基にしたアクセス制御の仕組みをより発展させたい。データがIDを持てば，今まで作ってきたアクセス制御のメカニズムを再利用できる。既に行われているルールに基づいたアクセス制御と，いま説明したデータに基づいたアクセス制御は，コインの裏表のような関係。どちらもきちんと発展していかなくてはならない。

　さらに，一つのデータに連続して起こっていくイベントに対するソリューションを提供することが重要だ。データには「メールで送り，それをP2P（peer to peer）でファイル共有する」といったイベントが発生していく。我々はこうしたイベントの連続を全部ひっくるめて，「データのライフサイクル」ととらえている。現在はまだ対応できていないため，ライフサイクルすべてに対応するための研究開発をしている。

　ただ，ライフサイクル全体に対応する（セキュリティの）ポリシーを作るのは大変なことだ。そこで我々は最初のステップとして，データの可視性に関する研究を進めている。最終的には，マスター・ポリシーのシステム，エンジンを構築していきたいし，業界も同じ方向に進んでいくと思う。だがそこにたどりつくまでには，時間がかかるだろう。

　例えばファイアウォール。新しいファイアウォールの技術は，情報が動いていく中で，その情報を見てそれを通過させるかどうかを判断できるようなものだと思っている。もちろんファイアウォールだけではなく，ネットワーク全体でデータを制御，管理できるようにしたい。既にシスコ製品を使ってデータの制御や管理をしているユーザーがいるので，こうしたユーザーから意見を聞いたりして，既存製品をさらに改良，拡張したものを開発していきたい。

Web2.0のような新しい動きが盛んになるにつれて，データの扱い方が複雑になると思うが，こうした動きへの対処は。

　Web2.0には，メッセージングを活用したコラボレーションに対するセキュリティが必要だろう。またWeb2.0は，人と人をつなげていく役割を担っていると考えており，この部分ではP2Pに通じるところがある。シスコは，P2Pやコラボレーションのセキュリティを確保するための活動を始めている。米アイアンポートシステムズの買収を発表したが，それは新しい技術がWeb2.0に必要になると認識したうえでの決断だ。この会社はアプリケーションを蓄積したり転送する技術を持っている。また先日，米WebEXを買収したが，これはWeb2.0系のコラボレーションを視野に入れたものだ。

　我々は，新しいアドミッション・コントロールの技術を開発していかなければならない。つまり「どういうタイプのアクセスか」「ユーザーの環境は何でどのOSを使っているか」「クリーンな環境で使っているか」「P2Pアプリケーションを稼働しているか」などを見ていく必要がある。ユーザー自身の姿勢によって制御方法を決めることも，視野に入ってくるだろう。

　P2Pについて言えば，レピュテーション（評価，評判）のモデルも必要になるだろう。例えばP2Pで，ある情報をファイル共有するにしても，すぐ共有できるようにするわけではなく，ネットワークがそれぞれのP2Pクライアントのこれまでの姿勢というか名声をきちんと持っており，それを基に制御する。オークション・サイトでは，売る人と買う人の評判がランキングされており，評判が悪い人とは売買しないだろう。それと同じように，P2Pにおいてあまりいい評判がないクライアントとは，ファイルを共有できないといった制御を実施するわけだ。