境界セキュリティの限界とエンドツーエンドセキュリティの必要性(4) 「戦いの遂行」

SSH コミュニケーションズ・セキュリティ株式会社橋本詩保
http://www.jp.ssh.com/

特集特集

2007年4月25日（水） 18時00分

SSH コミュニケーションズ・セキュリティ株式会社橋本詩保
http://www.jp.ssh.com/

＞＞今日の展望

一般的なIT環境は、サポートインフラストラクチャ（サーバハードウェア、オペレーティングシステム、データベースシステム、ネットワークハードウェアなど）および個別の組織アプリケーション（ERP、CRM、SCMなど）により構成されています。この環境においてセキュアな通信をどこでどのように導入するかに関する決定は、IT部門が効果的なエンドツーエンドの通信セキュリティを維持しながら、組織の主要な事業目標の達成に貢献できるかにも左右されます。

既存のセキュリティソリューションは多くの場合、ITインフラストラクチャまたは実際のビジネスアプリケーション自体が持つセキュリティ機能に基づいています。これらのアプローチのいずれも、実用的で費用効果の高いエンドツーエンドのアプリケーションまたはデータセキュリティの効果的な導入には適しておらず、しばしばその価値よりも多くの問題を引き起こします。

ITインフラストラクチャにセキュリティを統合するには、個々のサーバ専用のセキュリティハードウェアの配置など、複雑で費用のかかる技術的努力が必要となります。これらのアプローチはアプリケーションおよびデータを直接保護しないため、高価で柔軟性に欠ける傾向があり、悪意のある個人が悪用できる「バックドア」の脆弱性を残すことが少なくありません。

一方、既存の組織アプリケーションに暗号化および認証機能を埋め込むには、個々のアプリケーションでコードの修正が必要になります。専用の基幹アプリケーションに多額の投資を行っている大規模な組織では使用中のアプリケーションの数と種類が多いため、この選択肢はほとんど実行不可能です。予測される大きな問題としては、例えば、既存のアプリケーションコードの修正に要する多額の費用、エンドユーザに対する透過性の欠如、アプリケーションの相互運用性に関する課題およびアプリケーションパフォーマンスの低下が挙げられます。

＞＞兵器庫の建設および管理

エンドツーエンドの通信セキュリティは、ネットワークおよびアプリケーションサーバ間の強力な認証および暗号化機能を備えたセキュリティソフトウェアの採用により、より優れたアプローチを提供します。アプリケーション自体を変更したり性能の低下をもたらすことなく、透過的にアプリケーションを保護するこのソフトウェアは、各基幹アプリケーションのフロントエンドとして機能し、ビジネスアプリケーションおよびデータへのクライアントのアクセスを制御します。ビジネスアプリケーションにアクセスする各ユーザ（または他のアプリケーション）は、サーバに対してクライアントを認証する小規模なセキュリティクライアントを持ち、メッセージやデータを相互にやり取りするためのセキュアなパイプラインを確立します。

このアプローチに使用されるセキュリティ技術は新しいものではありません。例えば、Secure Shellなどのポイントソリューションは、効果的で使いやすいクライアント/サーバセキュリティを提供し、内部および外部の包括的な保護のための理想的なソリューションとなり得ます。しかし課題となるのは、中規模から大規模な組織の場合はいずれも、何百ものアプリケーションサーバおよび何千、何万ものクライアントが存在する可能性があることです。これほど多数のセキュリティフロントエンドおよびセキュリティクライアントの管理は、物理的に不可能でないとしても、短期間に極めて多額の費用が必要になります。

このため、大規模な組織が管理可能なセキュリティを実現するための鍵は、すべてのセキュリティサーバおよびクライアントを管理するセキュリティマネージャアプリケーションを加えることにあります。この方法により、ユーザ、ポリシーおよびソフトウェアの更新を一元管理し、組織全体に瞬時に適用することができます。

＞＞セキュリティの敵に対する戦いの遂行

2500年前、ヘラクレイトスは「万物は流転する」と言いました。この言葉は、絶え間なく変化が起こるセキュリティ業界にこそ最もよく当てはまります。

かつては、物理的なセキュリティのほかに必要とされるものはありませんでした。その後、組織が成功する上で情報の重要性が増すにつれて、セキュリティに関する社員教育が重要になりました。インターネットおよび汎用データ通信の出現により、主に境界線のセキュリティの形で電子的なセキュリティが前面に押し出されました。今日、大規模な組織の内部において共同作業の要件のためにより多くの人々が機密情報をこれまでより容易に利用できることから、私たちはセキュリティが組織の内部から危険にさらされるという不安に直面しており、それが最も大きな脅威となっています。今日の複雑な企業ITネットワークを保護するには、もはや境界線のセキュリティのみに頼ることはできません。

このため、組織はエンドツーエンドのアプリケーションおよびデータセキュリティをITインフラストラクチャに今すぐにも加える必要があります。エンドツーエンドの通信セキュリティは、内部および外部の双方のリスクに対するセキュリティを大幅に改善するだけでなく、エンドユーザにほとんど影響を及ぼすことなく既存の企業IT環境と容易かつシームレスに統合できます。このセキュリティは時の試練を経た技術に基づいており、導入、保守および構築が容易で、厳格な監視機能を提供します。これらの要素は、21 世紀の企業がネットワークインフラストラクチャおよび貴重なデータを保護する上で必要となる基本的な要素です。

また、ITセキュリティマネージャがポリシーを容易に維持し、組織に関わる何百種類ものアプリケーションおよび何千人ものユーザに更新情報を素早く適用する上で役立つ一元管理機能を合わせて提供します。結局のところ、最高のセキュリティシステムでさえも、極めて順調に稼動している場合にのみ効果を上げるのです。

ハッカー、不満を抱いている社員、コンピュータ犯罪者およびテロリストが、企業、政府または消費者の機密データの強奪を引き続き企てることに疑いの余地はありません。しかし、境界線のセキュリティという焦点を越え、企業IT環境における重要な脆弱性のすき間を塞ぐことにより、エンドツーエンドの通信セキュリティは内部および外部の双方においてセキュリティの敵を打ち破るための強力な武器となります。

【執筆：橋本詩保】

SSH コミュニケーションズ・セキュリティ株式会社
http://www.jp.ssh.com/

《ScanNetSecurity》