CSEに聞く失敗しないセキュリティ商品選び（1）営業ではなく技術を軸足にした開発と運用

セキュリティ商材に強い商社や SIer を訪問し、いま売れているセキュリティ商品や、上手なセキュリティ商品選びのコツを、第一線で活躍する専門家の話を聞くシリーズ連載「失敗しないセキュリティ商品選び」。フォーバルクリエーティブ、住商情報システム、京セラコミュ

特集特集

2007年11月15日（木） 16時00分

セキュリティ商材に強い商社や SIer を訪問し、いま売れているセキュリティ商品や、上手なセキュリティ商品選びのコツを、第一線で活躍する専門家の話を聞くシリーズ連載「失敗しないセキュリティ商品選び」。フォーバルクリエーティブ、住商情報システム、京セラコミュニケーションシステム、日立情報システムズ、三井物産セキュアディレクションにつづいて第6回目の今回は株式会社シー・エス・イー（CSE）を訪問しました。同社技術サポート室セールスエンジニアリングマネージャー CISSP の小川真毅さんに話を聞きます。

株式会社シー・エス・イー
http://www.cseltd.co.jp/

─

●業務効率を落とさないセキュリティ対策とは

─まず、CSEについて教えてください

CSEは1971年に創業し、昨年で35周年を迎えました。独立系でソフトウェアやシステムの受託開発を行っており、約1,000名のスタッフのうち9割が技術者という、技術者集団であることが特徴です。パッケージ製品販売という印象を持たれがちですが、実際には幅広いソリューションを提供しています。

営業寄りでなく、技術を軸足としていますので、たとえば既存のソフトウェアやシステムに最適なツールを開発し追加することにより利便性を向上させたり、お客様に最適なチューニングを施した上でご提供することができます。技術力を活かして製品に付加価値を与えたり、新しいものを作れることが最大の強みです。

CSEはもともと、金融や大手メーカーなどの企業に対する受託開発を行っていましたが、10年ほど前に業務を広げるにあたってセキュリティ分野に着目しました。まだウイルス対策そのものが一般的でなかった時代に、企業向けウイルス対策としてSOPHOS社の製品を販売しました。このときも英国SOPHOS本社にスタッフを常駐させて、ローカライズをはじめとする日本語化作業も実施しました。

セキュリティ対策で重要なことは、セキュリティの強化はもちろんですが、業務の効率に悪影響を与えないことです。CSEの技術者集団は、独自に機能の追加やカスタマイズなどの開発を行えます。これにより業務効率を落とすことなくセキュリティを強化できます。また、単に製品の良さを説明するだけでなく、具体的なメリットをしっかりお伝えすることができます。これも技術者集団ならではの強みといえます。

●コンプライアンスに基づく情報漏洩対策のニーズが高い

─セキュリティの最新動向はどのようなものでしょう？

最近はいろいろなものが注目を浴びていますが、絞ってみるとコンプライアンスに基づく情報漏洩対策が挙げられます。個人情報保護法や新会社法などでコンプライアンスが求められている状況ですが、現状では多くのインシデントが企業の内部で発生しています。事故にしても故意にしても、社内のスタッフやシステムの不備が一因となっており、企業は被害者であると同時に攻撃者でもあるのが現状です。

そこで、たとえばメールセキュリティでは、ウイルスやスパムといった外部からの攻撃を守るという印象が強いですが、実際には内部から外部に出て行く送信メールに対するセキュリティ対策も重要視されています。具体的には、内部の人間が意図的に機密情報をメールで送ろうとすることや、誤送信によって機密情報が競合他社に流れてしまうようなことへの対策です。

CSEではメールセキュリティ対策として、クリアスウィフトの「MIMEsweeper」を提供していますが、この製品は送受信メールのセキュリティ設定が豊富であることが特徴です。メールを送信する際に本製品が検疫を行い、見積などといった機密性の高い情報が本文や添付ファイルに確認された場合、上司などが確認しないと送信できないように設定することができます。当然受信時における対策も万全です。

たとえシステムで対策を行っていても、人間はミスをします。そのミスをインシデントに発展させないソリューションが求められているわけです。また、日本は性善説が強く、内部の人間を信頼する傾向がありますが、徐々に性善説を否定するようなアプローチの製品が増えてきています。実際に事故や故意が原因で、一歩間違えば大変なことになるという事態を多くの企業が経験しているということでしょうね。

●ワンタイムパスワードとログ管理

─現在よく売れている、あるいは相談の多い製品はなんでしょう？

CSEにおいては、「SECUREMATRIX」と「RSA enVision」が挙げられます。

「SECUREMATRIX」は、イメージとワンタイムパスワードに対応したマトリクス認証システムで、CSEのノウハウが集約された製品といえます。デバイスが不要なワンタイムパスワードを可能にするもので、Webブラウザのみで利用できます。一般的な製品では、ワンタイムパスワードを生成するデバイスが必要であったり、乱数表が必要だったりしますが、本製品では表に対する文字列の順番や形をイメージとして覚えておくことで、使いやすさと高いセキュリティを両立しています。

また「RSA enVision」はログ管理アプライアンスで、まずアプライアンス製品のため導入、運用が容易であること、またログ管理に特化したアプライアンス製品がまだ少ないこと。エージェントが不要なため既存のシステムに手を加えることなく導入できることや、最小限のシステムから将来的に大規模なシステムに簡単にアップデートしていけること。さらにログに手を加えることなく高速・高圧縮で収集できる独自のデータベースを搭載しているため、証跡として利用できること。この3点が好評の理由と考えられます。

「SECUREMATRIX」は最小25ユーザで31万円から、「RSA enVision」はクライアント数十台単位で600万円からとなっています。ともに短い納期で導入できることが特徴です。

【執筆：吉澤亨史】

《ScanNetSecurity》