このページの本文へ

トップダウンのポリシーで遮断するだけではない

チェック・ポイントも新ブレードでアプリケーション制御

2010年08月25日 06時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

8月24日、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は、セキュリティゲートウェイ製品に搭載するソフトウェアブレードの新製品を発表した。昨今、多くのセキュリティベンダーが力を入れるアプリケーション制御の分野に参入することになる。

日本法人も絶好調!サポート問題も解決

 発表会においてチェック・ポイント 代表取締役社長の杉山隆弘氏は、ビジネスの現状や同社が推進するソフトウェアブレードアーキテクチャについて説明した。1990年代後半から長きに渡って企業向けセキュリティ製品を手掛ける同社の業績は好調で、「2010年第2四半期ではワールドワイドで同期比17%増となっており、日本ではそれをさらに上回っている数字が出た。台数ではなく、出荷金額で、ネットワークセキュリティの分野で1位となっている」と杉山氏は実績を強調した。

チェック・ポイント・ソフトウェア・テクノロジーズの代表取締役 杉山隆弘氏

 また、日本法人の従業員も前年に比べて1.5倍に拡大しており、EBSと呼ばれるダイレクトサポートも拡充した。「多くの外資系企業の悩みであるサポートのローカライズの問題は(弊社では)すでに終了した。24時間365日、日本語でお客様をサポートできる体制を実現した」と述べた。さらに「インテルのマカフィー買収に見られるように、セキュリティは当たり前のものになっていくが、現在500社以上あるような企業は統合・吸収されていく」(杉山氏)と、昨今のセキュリティ企業の買収劇についてもコメントした。

 さて、今回発表した「Application Control Software Blade」は、数多くの存在するHTTPアプリケーションを詳細に制御するソフトウェアブレード。こうしたアプリケーション制御は、他のファイアウォール、UTMベンダーも投入しているが、「単に止めたり、可視化するだけでは意味がない。インターネットの利便性を損なわないよう、リスクを最小化する。そして、最後の砦を社員のセキュリティ意識に任せるのが、我々のアプローチ」(杉山氏)という特徴を持っているという。

新しい脅威を防ぐSoftware Bladeの実力

 Application Control Software Bladeの詳細について説明したシステム・エンジニアリング本部 本部長 安藤正之氏は、1990年代のHTTPとWebブラウザがひも付いていた時代を振り返りつつ、業務でインターネットアプリケーションが活用されている現在の状況を紹介。こうしたインターネットアプリケーションを悪用した攻撃は年々増えており、セキュリティゲートウェイではより詳細なアプリケーション制御の機能が必要になっているとした。

チェック・ポイント システム・エンジニアリング本部 本部長 安藤正之氏

 もともと同社はステートフルインスペクションやアプリケーションインテリジェンスという技術で、アプリケーションの挙動にフォーカスしてきたが、新たに投入されるApplication Control Software Bladeでは、さらに細かく、ポート80番の多種多様なアプリケーションを識別する。これを実現したのがフェイスタイムコミュニケーションズの「AppWiki」というデータベースで、5万種類以上のウィジェット、4500種類以上のアプリケーションを識別できるという。URLフィルタリングのようにURLを指定する必要もなく、「フィルタリングルールにおいて、ポートやプロトコルではなく、アプリケーションを指定して、コントロールを行なえる」(安藤氏)といったことが可能になる。またActive Directoryと連携し、既存のIPアドレスではなく、ユーザーやグループ、あるいはマシンなどの単位で制御が行なえるのも特徴。

IPベースのファイアウォールやURLフィルタリング以外のフィルタが必要に多種多様なアプリケーション、ウィジェットを識別するデータベース「AppWiki」

 こうしたアプリケーションファイアウォールは、昨今他のベンダーも提供しているが、既存のアプリケーション制御は「IT担当者が使ってよいアプリケーションと使ってはいけないアプリケーションをリストアップし、トップダウンで利用を押しつけるもの」(安藤氏)だという。そのため、管理者が設定したポリシーが現場のニーズと一致せず、結果的にすべて利用許可してしまうというパターンに陥るというのが同社の見解だ。

 これに対してチェック・ポイントは「UserCheck」という技術を持っており、アプリケーションの利用を許可した上で、本当に業務で使う必要があるのかといった通知や警告が行なわれる。また、帯域を消費するアプリケーションに対しては、帯域を絞ったり、利用時間を限定するといった処理を実現できる。同社の情報漏えい対策でも導入されている技術で、管理者主体にポリシーを決める他社製品と大きくコンセプトが異なる。

トップダウンでのアプリケーション制御は現場のニーズと一致しないUserCheckの機能で、従業員にセキュリティ意識を植え付ける

 Application Control Software Bladeは2010年の第4四半期に提供され、「小規模向け製品からキャリアクラスの最上位機種まで、単一のソフトウェアでカバーしているのが最大のメリット」(杉山氏)とのことで、同社のアプライアンスで幅広く利用できるという。

カテゴリートップへ

ピックアップ