プロキシ・サーバー大手の米Blue Coat Systemsは2006年3月,米NEC USAからスピンオフした米Permeo Technologiesを買収,同社のセキュリティ・ソフトを手中に収めた。個人所有パソコンや携帯端末など,企業が管理してない端末から企業情報が漏えいしてしまう状況を打破するソフトである。このソフトを組み入れたSSL-VPN装置「Blue Coat RA」を2006年6月(国内は8月)に出荷した同社製品管理担当のMark Elliott氏に,クライアントのセキュリティ要件とその実態を聞いた。
Blue Coat RAは,同社としては初となるSSL-VPN装置である。最大の特徴は,遠隔アクセスにおける情報漏えいを防止するため,クライアント・ソフトにキー・ロガー対策やローカル・キャッシュの暗号化と消去などの機能を持たせたこと。このソフトウエアに,買収した米Permeo Technologiesの技術を用いている。どの端末からもアクセスできるよう,SSL-VPN接続時にクライアント・ソフトをJavaまたはActiveX形式で動的にダウンロード/インストールして利用するオン・デマンド型を採用した。
---Mark Elliott氏: 「Webセキュリティをどうやって改善するか?」---。これがITシステムが現在抱えているテーマだ。私はこれまでイスラエルCheck Point Software TechnologiesでファイアウォールのSE(システム・エンジニア)に従事してきたが,この10年間で情報システムがどう変わってきたのかと言うと,よりセンシティブな情報が社外に置かれるようになってきた。ASPサービスのSalesforce.comや検索エンジンのGoogleなどインターネットを経由した業務利用も増えている。
ハッカー/クラッカーの攻撃も変わってきた。もはや有名なサイトを自己顕示で面白がって攻撃する時代ではなく,経済的なメリットを目的に特定のサイトを攻撃するプロの犯罪者の時代になっている。特定の銀行のURLにアクセスした途端,キー・ロガーのプログラムが活動を始めるといった具合だ。
IT組織は,何100万ドルものお金をかけて,攻撃者との間でセキュリティ戦争を戦ってきた。だが,情報そのものはどこにでも偏在する時代になった。こうなるとセキュリティも情報の分散に合わせてどこにでも存在していなければならないわけだが,実際には情報の拡散にセキュリティの拡散が追いついていない。ここに情報とセキュリティのギャップがある。
従来,情報にアクセスできる端末は,会社が管理するパソコンに限られていた。ところが現在では,BlackBerryのようなPDAや,パソコンにしても個人所有のパソコンが情報システムへのアクセスに使われる。むしろ,9.11のテロ攻撃やアジアのSARS(重症急性呼吸器症候群)といった緊急事態の前では,自宅のパソコンで仕事ができなければ仕事ができない。「会社のPCをどう管理するか?」という時代では,もはやないのである。
ビジネスの現場で情報が漏れる
情報の漏えいは,ファイア・ウォールで守られたサーバー室で起こっているわけではない。多くの情報は情報システムにアクセスする端末,つまり情報システムのエンド・ポイントで起こるのだ。特に,クライアント・アプリケーションとしてもっともよく使われているソフトはWebブラウザだ。攻撃者は,Webブラウザを対象に,ブラウザから情報を盗み出すのである。
ブラウザから情報が漏れる要因は,大きく3つある。1つは大切なデータにアクセスしている最中のユーザーが,座席から離れてしまうというものだ。これはソーシアル・ハッキングの常套手段だ。1つは,Webブラウザに対する入力文字を知らないうちに記録されて送信されてしまうキー・ロガーといったマルウエアの存在だ。1つはアクセス利便性を向上させる機能として,ブラウザ自身が最初からキャッシュを保存してしまっているという状況だ。
例えば,CRM(顧客関係管理)の業務でASPサービスのSalesforce.comを利用するユーザーは多いが,アクセスしたPCにはキャッシュとして顧客リストが残る。例えば,クレジット・カード会社などは1万行を超える注意書きをWebに掲載しており,よく読むと「1回ブラウザを使ってアクセスしたらリスタートしてブラウザのキャッシュを消去しろ」などと書いてある。だが,ユーザーの中でこれを実際にやる人は100人に1人もいないであろう。
実際のアンケート調査結果でも,IT組織にとって情報漏えい問題が最重要課題である様子がうかがえる。米Computer Security Instituteと米Federal Bureau of Investigationが合同で毎年調査している「Computer Crime and Security Survey」では,「the Most Critical Issues for the Next Two Years」(ITセキュリティに関して今後2年間で最も重要なことは何か?)という質問で,トップ3のうち2つが,データ漏えいと情報の盗み出しだったのだ。
セキュリティはオン・デマンドで配信
では,企業の管理下にないアクセス端末をどう管理していけばいいのか?これに対する答えは,アクセス端末をクリーンにすることを試みるのではなく,会社に接続してきた端末だけを,接続してきた時だけ,クリーンに保つようにするというものだ。アクセスした時に,その都度,セキュリティ機能を配信するというアプローチである。
もちろん,こうした“セキュリティ・オン・デマンド”は技術的に難しい。クライアント・ソフトが20Mバイトにも及ぶ場合,クライアントを利用するたびにデータをダウンロードさせるわけにはいかない。特別な設定をせずにアクセス透過型で使えることも大切であるし,Administrator(管理者)権限といったパソコン利用上の前提をできるだけ少なくすることも重要だ。レジストリを書き換えるなどパソコンの設定を永久的に変更してしまうようなものもダメだ。
Blue Coat Systemsは,Permeo Technologiesを買収したことで,オン・デマンド・セキュリティのためのソフトウエアを手に入れた。コネクタと呼ぶ機能だが,アプリケーションがOSのシステム・コールを利用する際に,アプリケーションとOSの間に入って処理を実行するものだ。アプリケーションに「くっつく」感じで実行されるのだ。このソフトを,JavaアプレットやActiveXコントロールとして実装している。
我々は,このオン・デマンドのセキュリティ機能を,まずは遠隔アクセス用のSSL-VPN装置としてパッケージ化した。2006年6月(国内では2006年8月)に出荷したBlue Coat RAである。SSL-VPNが欲しいという需要よりは「エンド・ポイントのセキュリティをオン・デマンドで確保する」という需要を一番に狙った製品である。
発売して75日が経過し,全世界で数百社の顧客がすでにいるが,SSL-VPNにではなくエンド・ポイント・セキュリティに興味のある顧客が買っている。一方,SSL-VPNに興味のあるユーザーは,必ずしもエンド・ポイント・セキュリティに興味があるというわけではないようだ。このあたりの顧客の意識を変えていきたい。
2006年末には,オン・デマンド・セキュリティを実装した,SSL-VPN装置とは別の製品ラインを出荷する予定である。ソフトウエアと機器の2面で市場に攻め込むから,そのつもりでいて欲しい。
