セキュリティ・ベンダー各社を次々と買収し,製品ラインナップを増やし続ける米Symantec(関連記事123)。単に製品数を増やすだけではなく,米国では10月1日国内では11月7日に,それらのセキュリティ製品を統合管理する新システム「Security Management System」とそのアーキテクチャ「Symantec Enterprise Security Architecture(SESA)」を発表した。しかし,同社は「Security Management Systemを使えば,複数のセキュリティ製品を統合管理できる」というものの,その実体が分かりづらい。そこで11月7日,来日中の同社副社長兼最高技術責任者(CTO)のRobert A. Clyde氏に,Security Management SystemやSESAについて話を聞いた(写真)。

――Security Management SystemやSESAの位置付けを分かりやすく説明してほしい。

 Security Management Systemは,Symantecや他社のセキュリティ製品を統合管理するための製品群である。ファイアウオールやアンチウイルス,IDS(侵入検知システム)といった個別のセキュリティ製品とSecurity Management Systemを組み合わせた全体のアーキテクチャがSESAになる。

 SESAで重視していることの一つがインターオペラビリティである。Symantecの製品だけではなく,他社製品の情報もSecurity Management Systemに吸い上げて,統合管理できるようにしている。具体的には,他社製品それぞれに対応した「Collector」と呼ぶモジュールを用意する。例えば,ファイアウオールについてはFirewall-1用のCollectorを,日本では2003年前半に出荷する。Collectorを介して,Firewall-1が出力する情報をSecurity Management Systemに渡すことができる。

 Firewall-1以外の製品についても,Cisco Secure PIX FirewallなどのCollectorを順次用意する予定である。また,その他のベンダーに対して,SymantecはSDKを用意する。各ベンダーはSDKを使って,自社製品とSecurity Management Systemのインタフェースを作りこむことができる。SDKの出荷は2003年の初めを予定しているが,既に評価版を利用して作り込んでいるベンダーもいる。

――Security Management Systemを構成する製品を教えてほしい。

 Security Management Systemは,「Event Manager」「Incident Manager」「Policy Manager」から構成される。Policy Managerは先日発表したシステム監査ソフト「Symantec Enterprise Security Manager(ESM) 5.5」が該当する(関連記事)。Event ManagerとIncident Managerについては,既に米国では出荷しているが,日本での出荷は2003年の前半になる。

 Event Managerは各セキュリティ製品が出力するログなどを集約してフォーマットを統一し,必要に応じてアラートをあげたり,レポートを作成したりする機能を持つ。Symantec以外のベンダーの製品については,前述のCollectorを介して情報を吸い上げることになる。なお,Event Managerは一つではなく,アンチウイルス用やファイアウオール用,IDS用など,製品カテゴリごとに用意している。

 Event Managerを利用することで,異なるベンダー製の複数製品が出力するログ情報などを,一つのコンソールから管理できるようになるのだ。

 そして,Event Managerが集約した情報を基に,現在どのようなセキュリティ・インシデントが進行しているのか,その深刻度はどの程度なのか,どのように対処すればよいのか,などを教えてくれるのが,Incident Managerである。

――本当にソフトウエアだけでインシデントに対応できるのか。スキルや経験がある管理者でないと難しいのではないか。

 その通りだ。Incident Managerですべてが可能なわけではない。管理者などが判断や処理を行う必要がある。しかし,Incident Managerはその大きな助けになる。例えば,各製品が出力したログのすべてを管理者が調べるのは大変だ。インシデントとは無関係の情報が含まれるからだ。Incident Managerはログ中の相関関係を調べて,あるインシデントに関係すると思われるログだけを抽出する。

 Incident ManagerはEvent Managerがなければ利用できない。しかし,Policy Managerは単独でも利用できる。もちろん,Incident ManagerやEvent Managerと組み合わせることも可能だ。

――前述の3製品以外に,Security Management Systemに加わる製品やサービスはあるか。

 ぜい弱性情報を提供する「DeepSight Alerts」もSecurity Management Systemに統合したいと考えている。DeepSight Alertsでは,新たに見つかったソフトウエアのぜい弱性情報とその深刻度,対策などをまとめたレポートを提供する。Security Management Systemのユーザーには,DeepSight Alertsを単に提供するだけではなく,この情報に基づいた対策を実施しやすくなるような統合形態を考えている。

――DeepSight Alertsを日本で提供する予定はあるのか。

 内容が英語でも構わなければ,今すぐにでも利用できる。日本語版については2003年前半の提供を考えている。日本語化については,Symantecの日本法人が行うか,別のベンダーに頼むのか,現在検討中である。

(聞き手 勝村 幸博=IT Pro)