シマンテックは,企業向けのセキュリティ対策ソフトの名称を「Symantec Endpoint Protection」と改めた。セキュリティ対策済みのクライアントPCしかネットワークに接続させない「NAC(ネットワーク・アクセス・コントロール)」の機構を新たに組み込むなど,競合他社とは異なるコンセプトを強く打ち出し始めている。その戦略を,米シマンテックのプロダクトマーケティング・シニアディレクターであるケビン・マレー氏に話を聞いた。
 写真●米シマンテックのケビン・マレー氏 [画像のクリックで拡大表示] |
なぜ企業向けクライアント・セキュリティ製品の名称を「Endpoint Protection」に変えたのか。
企業を取り巻く脅威は数多く,シマンテックにとってもエンドポイント・セキュリティは戦略の一つでしかない。しかし,実際にユーザーがIT機器に接するのは,「エンドポイント」,つまり,クライアントPCや,サーバー,モバイル端末,携帯電話を介してというケースがほとんどだ。そのセキュリティを重点的に強化するという戦略を掲げ,製品名を変更した。
しかし,エンドポイントというと幅広い。現在の「Endpoint Protection」は,Widows OSを搭載するクライアントPCやサーバー向けしか提供されていない。
今後,LinuxやMac OS向けにも,Endpoint Protectionを提供する予定だ。携帯端末向けは別の製品ラインナップになる。企業システムのエンドポイントを一元的に管理することにより,全体の安全性を高めることができる。
機能面では何が変わったのか。
特徴的なのは,シグニチャ(定義ファイル)に頼らず不正プログラムを検知するビヘイビア(振る舞い)検知エンジンを搭載したことと,NACを実現する機能を標準で搭載していることだ。前者は買収した企業の技術を使ったもので,不審な動きをするプログラムを検知する正確さは,他社製品にはない。
後者のNACは,別途「Symantec Network Access Control(SNAC)」のライセンスを購入すれだけで使えるようになる。大幅に機能を強化し,セキュリティ対策が不十分なクライアントPCを締め出したり,検疫ネットワークに誘導したりといった仕組みを,4つの手法で実現できるようにした(関連記事)。大企業はもちろん,中堅中小企業でも,NACを利用することが現実的になったと考えている。
NACは,他社も製品を提供しているが,まだ導入している企業はごく少数だ。
確かにそうだ。企業からは,「NACを利用するためにスイッチを入れ替えなければならないなど,コストがかかりすぎる」,「仕組みが複雑で,運用しきれない」という声をしばしば聞いていた。これが,NACが利用されない大きな要因だったと考えている。
そこでEndpoint ProtectionとSNACは,スイッチの入れ替えなしでNACを実現する手法も用意した。(1)スイッチが備える802.1x機能を利用する,(2)Endpoint Protectionのパーソナル・ファイアウォール機能を利用する,(3)DHCPサーバーと連携する,(4)ゲートウエイ装置を設置して連携する,の4つのタイプがある。既存のネットワーク構成にあったタイプを選択できる。
NAC自体,まだ認知度が低い。どれだけニーズがあるのか。
確かに,これからの技術。市場もまだ成熟しているとはいえない。ただ,ニーズは確実にある。
すでにSNACを北米の企業10社ほどがテスト導入しているが,セキュリティ関連の運用・保守工数が1/4程度にまで大幅に削減できたという企業もある。それまでは複数のセキュリティ製品を使っていて,非常に手間がかかっていたようだ。浮いたリソースは,基幹系システムなどのもっと手間のかかる作業につぎ込むことができる。
NACは,ウイルス対策やファイアウォールなどのように,企業の情報システムにとって必要不可欠な存在になるか。
新しい技術が受け入れられるのに時間がかかる。しかし最近は日本版SOX法のように,セキュリティ対策を後押しする要因が増え,新技術が一般に認知されるまでの時間は短くなっている。3~5年後くらいには,企業に浸透しているのではないだろうか。
