データ・プロテクションにフォーカス
マカフィーのソリューションは情報漏えいの「前」も「後」も守る
2008/04/22
マカフィーは4月22日、ホストでの情報漏えい対策、デバイス管理、エンドポイントの暗号化を組み込んだスイート製品である「McAfee Total Protection of Data」を発表した。このスイート製品は、データのコピーや転送などユーザーの振るまいに対する制御を行う「Host Data Loss Prevention」、USBメモリなどリムーバブルデバイスの制御を行う「Device Control」、ディスクの暗号化やモバイルデバイスの認証などを行う「Endpoint Encryption」の3製品から構成される。
マカフィー マーケティング本部 吉沢建哉氏マカフィー マーケティング本部の吉沢建哉氏によると、情報漏えいに対して企業の防止対策は進んでいるが、一般的には「いかに情報が外に出ないようにするか」という対策が中心になっているという。マカフィーは2007年10月にオランダのセーフブートを買収し、データを暗号化し拡散を防止するという情報漏えい「後」の対策を行うことができるようになった。
情報漏えい対策では、特定の機能や行動といった「ポイント」を守る製品が多く販売されている。USBメモリの利用制限を行うツールやPCの暗号化などをそれぞれ別の製品で対策することは運用管理コストの増大を招くだけではなく、製品を組み合わせることによる脆弱性の発生につながりかねないという。今回のスイート製品では同社の統合管理ツールである「ePolicy Orchestrator」により一元管理が可能となっており、マカフィーの考えるデータ中心型のセキュリティ対策が行える。
販売時期は2008年8月ごろで、価格は1ノードあたり2万6500円からとなる。
戦略なしにセキュリティを確保することはできない
本製品の発表に合わせ来日した、米マカフィー データプロテクション担当 グループ・ソリューション・マーケティングマネージャのクリス・パーカーソン氏に話を聞いた。
米マカフィー データプロテクション担当 グループ・ソリューション・マーケティングマネージャ クリス・パーカーソン氏――マカフィーにおける「データプロテクション担当」という部門の役割は?
パーカーソン氏 データプロテクション担当は実際には「事業部」で、マカフィーがオランダのセーフブートとイスラエルのオニグマを買収したあとに作られた部署です。この2社の買収により、暗号化とDLP(Data Loss Prevention:情報漏えい防止対策)のテクノロジーを手に入れることができました。わたしたちはこの2つのテクノロジーをマカフィーの製品にどのように組み込んでいくのか、という点をコントロールしています。
また、「データを守ること」がマカフィーの最重要なビジネスと考えております。わたしたちはこの点についてフォーカスし、それに沿ったマーケティングを行っております。
――DLPという考え方について、アメリカではどのようにとらえられているか?
パーカーソン氏 アメリカではコンプライアンスの名のもと、厳しい規制を課しているのがほかの地域との大きな違いだと考えております。万が一情報の漏えいが発生した場合、いったい何が起きたのか、直ちにその内容を公開することが義務づけられており、これを公表することは企業にとってとても恥ずかしいこととなっています。アメリカではその「恥ずかしさ」が一種の罰則となっており、コンプライアンスを守らせるための手段として活用されているようです。
アメリカでは、過去情報漏えいといえば電子メールによるものととらえられていました。そのため、フィルタリングといった、電子メールで外部に重要な情報を漏らさないようにする優れたソフトウェアは複数のベンダにより発売されています。しかしマカフィーではその次の問題でなるであろう「ユーザーの振るまい」に着目しています。ユーザーはノートPCを持ち歩きながら、ときにはやってはいけない行動、例えばPCの紛失やデータの不正な持ちだしなどを行ってしまいます。もちろん、不注意や悪意のない場合がほとんどかと思いますが、それでも企業には公表の義務があるわけです。企業にとっては、これが大きな懸念事項になっています。
――アジアでのDLP導入状況で、アメリカとの違いはあるか?
パーカーソン氏 アジアの市場においては、DLPというと電子メールのフィルタリング、USBメモリなどのデバイスの監視だけを行う、いわば簡易版DLPというような製品の導入が進んでいると受け止めています。アジアでの次の一歩は、アメリカで行われているようなフル機能のDLP関連製品導入が進んでいくと思います。具体的にはルール、ポリシーの可視化とともに、それが実際に運用、実行されているかどうかを証明することが必要となってくるでしょう。
ただし日本においては、一部アメリカよりも厳密な監査が必要となる部分もあり、若干アメリカよりも進んでいる部分もあると考えております。
――クライアントPCのデータ暗号化について、アメリカではどの程度普及しているか?
パーカーソン氏 ノートPCでのデータ暗号化は、主に大企業で導入されています。現状では企業におけるノートPCの大体5%程度が暗号化を施しているといわれています。つまり、残り95%という大きな市場があります。ほとんどの企業は重要なデータの暗号化を検討しはじめており、中堅企業への浸透もこれから進んでいくと思います。
――データプロテクションを実現するために必要なことは?
パーカーソン氏 箱から出して設置するだけでセキュリティが確保できるというのは不可能で、ポリシーの策定は不可避です。しかしこのポリシーは一度設定したら終わりということではなく、時間とともに変わりゆくセキュリティ要件にあわせ、必要に応じて変化するものであり、柔軟性も必要です。マカフィー製品では、ePO(ePolicy Orchestrator)を使ってそれを一元管理できるようになっています。
ポリシーを考えることなしにセキュリティを実現することはできません。ポリシーを考えずにセキュリティ製品を導入しても一定の効果は得られますが、新たな脅威には耐えられないでしょう。しっかりとしたポリシーを考え、実行していくことが重要です。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
