(Mark Joseph Edwards)

 もう1カ月も前の話になってしまったが,2005年2月14から16日に米サンフランシスコで開催された「RSA Conference 2005」では,275以上のベンダーを集め,200以上のコンファレンス・セッションが実施された。最終日に私はコンファレンスの主催者から,参加者が非公式ながら1万3000人だったと聞いた。ひとつだけ私が確信を持っていえるのは,あまり多くのベンダーとコンファレンスのセッションがあったので,全部を見た人は誰もいないだろうということだ。このコンファレンスではいくつか面白い発表があったので,参加しなかった人のためにショーのハイライトを紹介する。

 米Computer Associates(CA)の上級副社長のRussell Artztは,基調講演で現場の幹部たちは会社のあらゆるレベルでセキュリティ上の懸念に非常に深い注意を払うべきで,特に「Sarbanes-Oxley法(米国企業改革法)のような政府の規制のために,自分たちの意志決定の過程を完全に説明できるように準備しておかなければならない」と指摘した。

 米Cisco Systemsは,自社のSelf-Defending Network技術の新しいフェイズを発表した(該当サイト)。同社は,新たなAdaptive Threat Defenseフェイズが複数のレイヤーの脅威に対応し,構造設計を単純化し,企業全体にわたる封じ込めと制御を提供するといっている。

 米RSA Securityは,Security Authentication Roadmapを発表した(該当サイト)。その中で同社は,標準ベースかつ企業で使えて,強固な認証を使った証明書を包括的に管理するプラットフォームを提供するとしている。同社は「RSA Authentication Service」も発表した。これはオンラインでの活動中に「企業レベルでの防御」を顧客に提供するのに役立つものだ。従業員1000人以下の事業者に2ファクタの認証を提供する「RSA SecurID Appliance」と,USB対応認証装置「RSA SecurID SID700/SID800」からなる。

3月にWUSとMBSA 2.0のベータが登場
 米MicrosoftのBill Gates会長は,基調講演で様々なソフトウエアの更新を含む新しいセキュリティ・イニシアチブを開始すると発表した(既報)。例えば,Windows XPシステム用に将来予定している「Internet Explorer(IE) 7.0」や,3月にベータ版をリリースする統合された「Windows Update Services(WUS)」と「Microsoft Baseline Security Analyzer(MBSA) 2.0」,そして「Internet Security and Acceleration(ISA)Server 2004 Enterprise Edition」の製造工程向けリリースや「Rights Management Services(RMS)Service Pack 1」などである。Gates氏はさらに,他の数社と提携する「Secure Software Forum」の結成と安全なアプリケーション開発に関して開発者が情報をやり取りするのを助ける「Most Valuable Professional(MVP)」プログラムの全世界への拡大も発表した。

 米Shavlik Technologiesは,「NetChk Epicenter」を含む複数の新製品を発表した(該当サイト)。NetChk Epicenterは,管理者が多数のシステムやアプリケーションをスキャンしたり,その結果を見たり,セキュリティの問題を修正できるようにするNetChkアプリケーション用の共通GUI(グラフィカル・ユーザー・インターフェース)である。同社はさらに,AIXやhp-ux,Solaris,Red Hat LinuxなどUnix/Linuxプラットフォーム向けのパッチ管理ソリューションを,2005年第2四半期中に出荷すると発表した。同時に「NetChk Spyware」「NetChk Shares」の2製品も発表した。これらは,管理者が1台または複数のコンピュータ上にある共有リソースを発見したり,共有されたリソースを削除したり,匿名アクセスを制限したり,弱いパスワードが設定されていないかどうかをテストできるようにするものだ。

 ID管理ソリューション・プロバイダの米Abrideanは,カナダResearch In Motion(RIM)との関係で「BlackBerry ISV Alliance Program」に参加した。Abrideanは,他社のメッセージングや企業システムと組み合わせた「BlackBerry Enterprise Server」でBlackberryユーザーのアカウントの管理を単純化・自動化するのに役立つだろう。

 米DesktopStandardは,「PolicyMaker Application Security」を発表した(該当サイト)。これは,管理者がユーザーに対してWindowsベースのデスクトップ上で必要な最低限の権限を与え,必要なユーザーにだけ選択的に権限を上昇させる仕事を徹底するのに役立つ。

 米Priva Technologiesは,「Cleared Security Platform」のアップデートを発表した(該当サイト)。これは1で済むエンド・ツー・エンドのソリューションに複数の要素による認証を使うものだ。この製品は,新たにWebサービスや, Microsoft.NETテクノロジ,電子メールの署名,PKI用の認証をサポートする。

 米Seaway Networksは,非常によくできた製品をリリースした(該当サイト)。「Trident NCA2000-L7P Intrusion Prevention Accelerator Card」がそれである。この「Intrusion Detection System/Intrusion Prevention System(IDS/IPS)」カードは,サーバーをフィルター処理用アプライアンス機器に変えるために使える。このボードは2Gビット/秒の全二重データ処理機能とネットワークのレイヤー2から7までの処理を対象に含むパターン・マッチング機能を提供する。

 米Lyris Technologiesは,自社の「MailShield Server」製品のフィッシング詐欺とそのほかの電子メール関連の脅威を検知する機能を,それに組み込まれている「Mailshell SpamCompiler」へのアップグレードで改良した。Lyricsは「MailShield Server」がWindowsとSolarisで利用可能であり,Windows用の「MailShield Pro」バージョンはSMTPトランザクションをすべて記録でき,内向きと外向きのメッセージすべての検索可能な監査証跡を提供できると語った。

 最後に大切な話として,Intense Schoolが開催しているRalph Echemendia氏監修の「Live Online Professional Hacking」クラスを紹介したい(該当サイト)。この講座では,参加者に対して自分たちが侵入に対し防御に回って反応するのではなく,むしろ先手を打って自分を守れるように侵入者の考え方を教えているのだ。