このページの本文へ

データ/ユーザーを中心とした境界にセキュリティを適用、コストとリスクを低減

シマンテック、新しい「2つのセキュリティ境界」定義を説明

2017年09月07日 07時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 シマンテックは9月6日、ブルーコート買収(合併)後のセキュリティ製品ポートフォリオと、それにより実現する法人向けセキュリティ環境についての記者説明会を開催した。企業におけるセキュリティ投資のあり方、またセキュリティ境界(ペリミタ)の定義について、新たな提案を行っている。

シマンテック エバンジェリストの髙岡隆佳氏
シマンテックが提供するセキュリティ製品のエコシステム全体像(点線部は今後提供予定)

“パッチワーク的”セキュリティ投資の見直しを提言

 シマンテック エバンジェリストの髙岡隆佳氏は、近年のセキュリティ脅威の変化や企業ITのクラウドシフトなどの動きを受け、あらためてセキュリティ投資の最適化を考えなければならないときに来ていると説明した。

 セキュリティ脅威は、従来型の対策でより捉えにくくなる方向へと変化し続けている。たとえば、マルウェア/C2サーバーなどのURLは動的に(一時的に)生成されるものが多くを占め、静的なブラックリストでは効力が弱くなっている。さらに、C2サーバーとの通信をSSL暗号化するマルウェアも大幅に増えており、その結果として従来型セキュリティ層は、未知の脅威を50%以上見逃してしまっているという。

サイバー攻撃に動的なURLや暗号化通信が悪用されるようになり、従来型セキュリティ層では検知できないケースが大幅に増えている

 一方で、セキュリティ投資のあり方にも見直しが迫られている。

 大半の企業はこれまで、アンチウイルス、次世代ファイアウォール/UTM、サンドボックス、DLP(情報漏洩防止)、CASB(Cloud Access Security Broker)、SIEMなど多様なポイントソリューションを、その都度バラバラに導入するというセキュリティ投資を行ってきた。その結果、全体が複雑化し、機器の運用管理負荷とライセンス費用が増え続ける一方で、そのコスト対効果は不明瞭なものになってしまっている。

 「ここで一度『企業ビジネスに対するリスク(の大きさ)』と『セキュリティ対策にかかるコスト』をきちんと整理し、ベンダーのメッセージに誘導されないようにすることが重要だ」と髙岡氏は語る。

パッチワーク的なセキュリティ製品の追加によりセキュリティ運用コストが増大している

 その一方で、リスクを低減しつつコストも削減できる方策はあるのではないか、というのがシマンテックの主張だ。髙岡氏はそれを実現するうえでのポイントとして、「量/質が共に豊富な脅威インテリジェンス(未知の脅威への対応力)」「運用管理負荷軽減のためのエコシステム(製品間連携やプラットフォーム化による最適化)」「将来を見据えたビジネス拡張性の網羅」の3点を挙げた。

 このうち「ビジネス拡張性の網羅」においては、業務アプリケーションのクラウド移行、ビジネスモビリティ(テレワークなど)の浸透といった自社の変化だけでなく、改正個人情報保護法(2017年5月施行)やGDPR(EU一般データ保護規制、2018年5月施行)といった、あらゆるデータの可視化と保護、アクセス制御を必要とする法規制の動きなども合わせて考える必要がある。

ビジネスモビリティ、クラウド化、データ保護規制といった変化を背景として、企業セキュリティが備えなければならない要件

データ中心/ユーザー中心という「2つの境界線」を提供

 昨年のブルーコートの買収により、シマンテックではゲートウェイセキュリティ/プロキシ製品の「ProxySG」や、CASB(Cloud Access Security Broker)の「CloudSOC」、SSL可視化アプライアンス「SSL Visibility Appliance」などの製品をポートフォリオに追加している。

 こうしたポートフォリオの拡充によって、シマンテックでは2つの境界線を提供できるようになったと、髙岡氏は説明する。データを保護する境界線の「ICS(Information Centric Security)」と、ユーザーを保護する境界線の「SWG(Secure Web Gateway)」および「EPP(End Point Protection)」だ。これら2つの境界セキュリティは、データ/ユーザーがどこにある/いる場合でも、同一のポリシーが適用され、同じように保護されるという点がポイントである。

シマンテックが考える2つの新しいセキュリティ境界

 ICSは、具体的にはDLP(データ漏洩防止)、2要素認証(2FA)、暗号化といったセキュリティ技術/製品を適用することでデータを保護する。なお、こうした技術は、データ(ファイル)をいったん境界部分で終端(プロキシ)したうえで適用しなければならない。そのため、シマンテックではオンプレミスのProxySG、モバイル向けのWeb Security Service(WSS)、CloudSOC CASBのそれぞれに終端する機能を実装し、ICSの各機能と連携させているという。

 同様にSWGも、URL/コンテンツフィルタ、無害化、シャドーIT制御などの機能を、オンプレミス(ProxySG)/モバイル(WSS)/クラウド(CloudSOC)のそれぞれで実装することで、ユーザーがどこにいても同じように保護されるようになっている。加えて、エンドポイントにはEPPが提供されるので、オンプレミスでもモバイル環境でも同様の多層防御が適用されることになる。

「データを保護」するICSの構成要素「ユーザーを保護」するSWGの構成要素

 まとめとして髙岡氏は、ICSとSWG+EPPという「2つの境界線」の考え方であれば、一度決めたセキュリティポリシーをオンプレミス/モバイル/クラウドのそれぞれに延伸するだけでありコスト対効果が高く、同時にリスクも最小化できるとシマンテックでは考えていると説明した。

■関連サイト

カテゴリートップへ

ピックアップ