11月29日、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は、会長兼CEO ギル・シュエッド氏の来日に伴う事業戦略説明会を行なった。シュエッド氏は、エンフォースメント、ピープル、ポリシーから構成される3D Securityの戦略とともに、自社での取り組みも披露した。
ポリシーはシンプルで誰でも理解できなければならない
チェック・ポイントの会長兼CEO ギル・シュエッド氏は、イベントにあわせて年に一度来日しており、最新のセキュリティ動向とそれに対応した同社の戦略を披露している。昨年の講演では、クラウドとモバイルをテーマに掲げしつつ、複雑化したセキュリティを統合によってシンプルにすべきという方向性を示した。2011年は、施行(Enforcement)、ポリシー(Policy)、人(People)という3つの要素を組み合わせることで、企業のセキュリティを検討する「3D Security」の戦略を打ち出していることもあり、「ビジネスとセキュリティのすき間をいかに埋めるか」(シュエッド氏)に注力したという。
チェック・ポイントの会長兼CEO ギル・シュエッド氏
シュエッド氏は、まずビジネスプロセスとポリシーの関係について説明した。エンタープライズの顧客の多くは、数百ページにおよぶセキュリティポリシーを持っており、複雑・難解であるがため、ユーザーどころか管理者が理解するのも難しいという。この現状に対してシュエッド氏は「本来であれば1~4枚くらいの紙にシンプルなポリシーが書いてあり、会社の誰でも見られるようになっているのが、望ましい」と述べる。その点、同社では「ソースコードは開発グループがオフィス内でのみ見られる」「セキュリティの原則について30分間の講習を受けないと、社内ネットワークにアクセスできない」といったシンプルなポリシーを採用しており、これらを実効力のおよぶように強制するようにしているという。
ITセキュリティポリシーの実態
セキュリティポリシーのあり方
また、こうしたポリシーの制御と適用を確実に行なうため、同社はGRC(Governance、Risk management、Compliance)ソリューションを提供するダイナセックという会社を買収した。ダイナセックの「easy2comply」を用いることで、「ビジネスとポリシーの間のギャップを埋め、コンプライアンスをチェックしたり、ルールを適用させたり、レポートを出すことが可能になる」(シュエッド氏)という。さらに、膨大なセキュリティログの可視化にも務めており、リスクを5段階で階層化したり、アプリケーションの利用頻度などがすぐに把握できるGUIも提供している。
アプリケーションの利用状況を一望できるシンプルなGUI
ポリシー作りにユーザーを巻き込む
もう1つのテーマは、3D Securityの重要要素である「人(People)」という要素だ。同社の情報漏えい対策やエンドポイントの製品では、UserCheckという機能が導入されており、なぜ遮断やアクセス禁止などの措置が適用されたかという情報を提供することで、ユーザーにポリシーを教化していくという仕組みを持っている。「通常のログメッセージではわからない。明確なメッセージを出し、どういったポリシーに抵触するのか、シンプルに認識してもらう」(シュエッド氏)というものだ。送信を禁止されたファイルでも、一度上司にレビューしてもらうことで許可を得れば送信ができるという仕組みも持っており、ビジネスプロセスにきちんと寄り添った作りになっているといえる。
ユーザーをセキュリティ対策に巻き込むため、アラートも工夫
その他、同氏は3D Securityを実装したCheckPoint R75、機能強化を図ったR75.20、セキュリティと性能を現わす測定値として提唱している「SecurityPower」、従来に比べて3倍高速なアプライアンスなど、最新の製品や取り組みを概説した。また、ボットの検知と遮断を可能にする新ソフトウェアブレードが来年リリースされることにも言及した。
新製品や新コンセプトを披露するわけでもなく、昨今のセキュリティインシデントの恐怖を声高にあおることもない同氏の講演は正直地味ではあるが、長年セキュリティに携わっているエンジニアCEOならではの含蓄のある内容であった。とはいえ、即物的・コスト効果の高いセキュリティ対策を求めるユーザーも多い。今後は、3D Securityをはじめとする新しいコンセプトや製品を、ユーザーやパートナーにいかにきちんと理解してもらえるかが大きな課題となるだろう。
