ワールドニュース

Features Story


シスコのセキュリティ戦略についての見解

セキュリティ チーフのトム・ギリスが、高まり続ける「ボーダレス」な作業環境において企業ネットワークを安全に保つシスコのアプローチについて語る

  * 当資料は、米国で発表されたニュースリリースの抄訳です。

2010 年 3 月 2 日

米国シスコ(本社:カリフォルニア州サンノゼ、NASDAQ:CSCO、以下シスコ)は、サンフランシスコで開催された RSA Conference 2010 でセキュリティの定番バーチャル プライベート ネットワークの新たな試みを発表しました。

世界中で従業員のモビリティおよび企業の「ボーダレス」化が進み続けている状況に対処するため特別に構築されたこの新しい製品は、場所や使用しているデバイスを問わず、人々が会社のネットワークに安全に接続できる、とエグゼクティブたちは述べています。これは、ウイルスやスパム、さらにはワームからボットネットまで、あらゆる害から顧客を安全に保護することに重点を置いた、シスコのより大規模なセキュリティ戦略における最新の動きです。

この新しい製品、ネットワーク大手のセキュリティ戦略、さらに両者がいかにして「ボーダレス」化が進む作業環境の課題に取り組む顧客をサポートしていくかについて、News@Cisco がシスコのセキュリティ テクノロジー ビジネス ユニット バイスプレジデント兼ジェネラル マネージャのトム・ギリスから話を聞きました。

RSA Conference でシスコが発表する内容について教えてください。

トム・ギリス:ファイアウォールの向こう側、ケーブル モデム上のホーム オフィス、オーストラリアのコーヒー ショップなど、ユーザがどこにいても会社のネットワークに接続できるようにする、各 PC、ラップトップ、モバイル デバイスなどで実行されるソフトウェアのほんの小さな一部だと考えてください。これは、従来の意味で業務用のプライベート ネットワークを意味する、バーチャル プライベート ネットワークではありません。むしろ、その概念の再発明であり、既存のシスコ セキュリティ 3 製品を組み合わせたアーキテクチャを利用したソリューションです。この製品は Cisco AnyConnect セキュア モビリティ ソリューションといいます。その目的はたった一つで、デバイスへの、またはデバイスからのあらゆる接続をネットワークのある部分で確実にセキュリティ スキャンの要素に接続させることです。

エンドユーザの観点からは、会社のネットワークへの接続が常時オンであり、常時実行され、常時利用可能であることを意味します。パスワードやログインの煩わしさはありません。IT の観点からは、エンド ユーザがどこにいるかにかかわらず、同じエクスペリエンス、情報への同じアクセスをより優れた制御で実現します。会社のネットワークの外で従業員がデバイスを使用しているときに何をしているのか心配する必要はなく、いつでも把握することができます。また、各デバイスに常にポリシーを適用することも可能です。さらに、既存のシスコ バーチャル プライベート ネットワークに簡単なソフトウェア アップグレードをあてれば利用できるようになります。シスコのバーチャル プライベート ネットワークは、世界で最も幅広く導入されており、他社を大きく引き離しています。

シスコのセキュリティ ビジネスにどのような変革を行っていますか。

トム・ギリス:私の任務は、シスコの中核市場にビジネス ユニットを集中させ、シスコがネットワークのパワーとインテリジェンスを利用して、これらの市場でどのようにナンバー 1 またはナンバー 2 になることができるかについて明確なプランを示すことです。シスコはお客様から高い信頼を得ていますが、そのために IT のほぼすべてのセグメントでふさわしいベンダーだと思われがちでした。結果的に、これまではシスコが本来リードする位置付けにない一部のセグメントにまで手を伸ばすことになっていました。

しかし間違いなく、シスコではセキュリティが絶対的な優先事項です。シスコは過去 3 年間で 10 億ドル以上をセキュリティ関連企業の買収に投資してきました。しかし、もっと重要なこととして、シスコは、仮想化やクラウド コンピューティング、モビリティ、コラボレーションなどの分野に大望を持っており、それらはネットワークにおけるセキュリティという基盤なくして掴み取ることはできません。だからこそ、シスコはビジネス ネットワーク向けのセキュリティの高度化に大きく投資してきたのです。シスコは世界最大のビジネス セキュリティ ベンダーであり、得意分野での革新に重点を置いています。そして、その分野で優れた実績を上げつつトップを走っています。

シスコは中核的なセキュリティ市場にどのようにアプローチしていますか。

トム・ギリス:バーチャル プライベート ネットワークとモビリティに関して何をしているのかはすでにお話ししましたので、ほかの分野について簡単に概要を説明します。まず、ファイアウォール市場は最大のセグメントであり、最も成熟し、かつ最も理解されていると同時に、最も改革が必要とされています。ファイアウォールは基本的に、プライベート ネットワーク、またはプライベート ネットワークのサブセグメントへの、またはそれらからの不正アクセスを防止するために設計されたシステムで、20 年前は確かにビジネスにおいてセキュリティを実行するための主要な手段でした。しかし、モビリティ、ハンドヘルド コンピューティング、クラウド コンピューティングなどがセキュリティに大きな影響を与え、従来のファイアウォールには新たな技術が必要とされるようになりました。シスコでは、この新時代の「ボーダレス企業」のニーズに対応する新しいセキュリティ ツール構築のための大規模な取り組みが進められています。これについては後で説明します。

もう 1 つの重点分野である侵入防止システムは、一言でいえば悪者を識別して進入させないようにするもので、シスコが得意としている分野です。シスコは過去 12 四半期のうち 11 四半期にわたってこの市場におけるナンバーワン ベンダーであり続けており、この市場ではその他いかなるベンダーよりも多くのデバイスを展開しています。昨年の RSA Conference では、「Global Threat Correlation」という新しいセキュリティ テクノロジーを紹介しました。これは侵入防御システムがその領域を超えて E メール トラフィックと Web トラフィック間の脅威を相関させ、その有効性を大幅に高める技術です。この機能を導入して以来、シスコの IPS システムの有効性は 200 %向上しています。

このハイブリッドなホスト型 E メール セキュリティ機能の導入で、E メール セキュリティにおいて、シスコはこれまで同様これからも常にリーダーであり続けます。このセキュリティ機能ではオンプレミス(自社設置)およびクラウドにあるアプライアンスにスパム スキャンを実行できますが、管理者の視点からはまったく違いがなく、1 つのシステムであるかのように使用できます。それが将来に向けて正しいアーキテクチャであると信じています。ほとんどのお客様にとって、問題はソリューションがクラウドベースかオンプレミスかではありません。重要なのは、より適切なのはどれかということです。たとえば、機密性の高い E メール メッセージのフィルタリングと暗号化を行う場合、オンプレミスで実行したいと考えるでしょう。しかし、ウイルスおよびスパムのスキャンはキャパシティを要するため、クラウドで実行したいと考えるかもしれません。つまり、この部分はシスコが引き受けることになります。管理がより容易なため、市場の多くがクラウドベースの E メール セキュリティ サービスを選択しており、これは E メール セキュリティを CapEx(資本支出)モデルから OpEx(運用支出)モデルへと転換させます。ハイブリッド式のアプローチは、E メールだけに限ったものではなく、シスコのセキュリティ サービスすべてに共通するものです。

Web ゲートウェイのカテゴリでも、シスコは市場を大幅にリードしています。Web ゲートウェイは、スパイウェア、ターゲット攻撃、その他 Web で広がる悪意のあるソフトウェアに対する保護を提供すると同時に、ビジネスで Web 2.0 機能の利点を生かすことを可能にします。より多くの主要アプリケーションがインターフェイスとしての Web に移行するにつれて、セキュリティ デバイスで特定のサイトをブロックするだけでは十分でなくなっています。我々は、お客様によりきめ細かなコントロールを提供し、たとえばマーケティング部門が YouTube ビデオにアクセスできるようにしつつ、帯域幅の影響を受けやすいその他のアプリケーションのパフォーマンスを低下させない方法で、技術部門にもアクセスさせる、といったことを可能にしなければなりません。Facebook へのアクセスはブロックする必要はありませんが、クレジットカード番号が記されているスプレッドシートをうっかり Facebook サイトに掲載してしまうことが絶対にないようにする必要はあります。インターネットに面したトラフィックに対する、より繊細でよりインテリジェントなポリシーが必要なのです。

また、SaaS アクセス コントロールと名付けられた非常に革新的な機能の提供も開始しました。この機能によって Salesforce.com や Cisco Webex などクラウドベースのアプリケーションをビジネスで利用できるようになり、同時にアプリケーションから完全に独立したアクセス コントロールを維持することができます。従業員が会社を辞めた場合、クラウドベースのデータに対する彼らのアクセスは即時にシャットオフされ、会社はクラウドベースのアプリケーションに対するその従業員のアクセスをリプレイするために使用できるコントロール ポイントを持つことになります。12 月の ScanSafe 買収によって、シスコはこれら高度な Web コントロールを取得し、クラウドから提供できるようになりました。ScanSafe と Cisco IronPort(シスコは 2007 年に IronPort を買収)を組み合わせることで、E メールの場合と同様に、高度な Web コントロールを、アプライアンスで、クラウドで、または両者を組み合わせたハイブリッド形式で、お客様に提供できるようになりました。

ユーザの身元、またはセキュリティ上の身分に基づいてネットワークへのアクセスを制限するネットワーク アドミッション コントロールの分野では、バーチャル プライベート ネットワーク クライアントの導入とユーザ認証にそれを利用することで、大きく前進しています。シスコは TrustSec というテクノロジー イニシアティブを擁しており、バーチャル プライベート ネットワークか、あるいは有線か無線かを問わず、ネットワークへのアクセスを識別、認証、コントロールすることができます。ネットワークにさらにインテリジェンスを投入することで、シスコは異なるメディア タイプすべてにわたってネットワークへの統合型アクセス コントロールを提供しています。

シスコのセキュリティ戦略を動かしている主なトレンドは何ですか。

トム・ギリス:主に 2 つの大きなトレンドがセキュリティ製品の再考を促しています。1 つはモビリティへと向かうトレンドです。これまでになく、より多くのユーザが、より多くのコンテンツに、より多様なデバイスからアクセスするようになっています。しかも、ユーザは従業員だけに限りません。企業はお客様や請負業者、パートナーなどの「部外者」にも、その企業が直接コントロールできないデバイスで機密性の高い情報にアクセスを許可する安全な方法を見つける必要があります。

また我々は、クラウド コンピューティングを通してもデータのモビリティに向けたトレンドを見て取っています。データは企業の構内でなく、クラウドに保存されており、それはサービスとしてのソフトウェア(SaaS)、サービスとしてのセキュリティ、サービスとしてのインフラストラクチャ、サービスとしてのプラットフォームを問わず共通です。どれでも変わりはありません。要は、ユーザやユーザが接続するデータがファイアウォールの内側にあるとは限らなくなってきているということです。

これらのトレンドは、セキュリティ ベンダーにどのような課題を突きつけますか。また、シスコはそれらにどう対応していますか。

トム・ギリス:これら 2 つのトレンドを組み合わせたとき、大きなセキュリティの課題に直面します。我々は「ボーダレス」なビジネスの世界へと向かっており、そこでは従業員とその他の世界の区分が曖昧になりつつあります。セールスのエグゼクティブが、近所のスターバックスで、自分のスマートフォンを使い、Salesforce.com で会社の売上予測を確認しているとします。これはセキュリティの観点からすれば最悪のケースです。その接続には、ファイアウォールも従来のセキュリティ デバイスもないからです。では、誰がいつどんなデータにアクセスするかについて、セキュリティ担当者はどのように基本的なコントロールを獲得できるでしょうか。このような単純なことも急に複雑になります。

総体的にこの問題に対処するには、お客様がこれらの変化を受け入れられるようなセキュリティ ツールが必要です。「どうぞ、スマートフォンを使ってください。請負業者にも会社のデータにアクセスさせてください。我々には情報への彼らのアクセスを制限するポリシーと一連のツールがあるので大丈夫です」――こう言えるようになるためには、ネットワークの力を活用できなければなりません。ユーザが誰であるか、どのアプリケーションにアクセスしているか、さらにはコンテンツが何かを知ることができるツールを構築する必要があります。また、世界中の 1 つや 2 つ、あるいは 5 つの場所ではなく、10、100、1000 の場所にそのポリシーを配布し、適用できることが要求されます。これに対処するには、ネットワーク内にそのツールを構築する必要があります。ほかのアプローチでは手に負えなくなります。そしてこれがシスコの優位性です。

セキュリティのあり方について完全な再考を引き起こしているもう 1 つの分野が仮想化、つまり、1 台のコンピュータでの複数のオペレーティング システムの使用です。お客様が仮想化の価値に気づき始めていることはすばらしいことですが、そこには重大なセキュリティの課題があります。この分野でもシスコは業界をリードしており、仮想世界でどのようにセキュリティを再定義するかについて数々の取り組みが進められています。

セキュリティの舞台で、シスコを独創的にしているもの、あるいは少なくとも競合他社と差別化しているものは何ですか。

トム・ギリス:それはシスコの製品ラインの多様さです。シスコが非常に重視していることの 1 つが、セキュリティ脅威の全体像を提示することです。E メール トラフィックまたは Web トラフィック、あるいは IPS トラフィック、ファイアウォール トラフィックの 1 つだけを見ているわけではありません。すべてを見ているのです。これら領域を超えて全体を視野に入れることで、競合他社と比較にならないほど正確かつ迅速にトラフィックを識別し、阻止することができます。ほかにも非常に優れた企業がありますが、それらはたとえば E メールだけを対象としています。しかし、E メールと Web はボニーとクライドのようなものです。共同で犯罪を行うのです。E メールだけを見ていては、全体像の半分以上を見ていないことになります。

シスコは、ウイルスのシグニチャがリリースされるより、平均で 14 時間も前にウイルスをブロックすることができます。メール サーバの挙動を見るだけで、受信されるスパムの 90% をブロックすることができます。この全体的なアプローチによって、侵入防御システムの有効性を 3 倍高めています。私はシスコがこれらのすべての領域において強力で、かつ最も広く導入されている製品ポートフォリオを持っていると思っています。インターネットにおけるコラボレーション、ビデオ利用、仮想化、モバイル化が進み、エクスペリエンス ベースなものになっていくにつれて、ネットワークもそれと共に進化する必要があるため、これは非常に重要です。

シスコのコア ネットワーク ビジネスは、ジョン チェンバーズが語るビデオ、コラボレーションや仮想化などの市場の変化すべてに密接に結びついています。これらは単に、次世代ネットワークがサポートしなければならない次のインターネットの現れなのです。シスコはこのネットワークをお客様に提供できる絶好の位置にあり、このため、幅広いセキュリティ製品ポートフォリオはシスコのファブリックの一部として高い親和性を持っています。シスコ製品を導入すれば、シスコの中核ビジネス、新たな革新的テクノロジー、そしてすべてをサポートするセキュリティによって、次世代のインターネットが姿を現したときに十分に生かすことができるようになります。

「セキュアなボーダレス ネットワーク」とよく言われますが、何を意味しているのですか。

トム・ギリス:それは先ほどトレンドについてお話したことに関係があります。シスコは「ボーダレス ネットワーク」とよく言いますが、これは非常にパワフルな概念です。5 〜 10 年前、従業員とその他の世界の間には明確な区分がありました。従業員は出勤して、イーサネット スイッチにケーブル接続されたデスクトップ マシンで作業し、そこからすべてのアプリケーションおよび情報にアクセスしていました。その明確な区分はなくなっています。今、組織内外の人々があちこちに移動するデバイスからこの情報にアクセスしています。セキュアなボーダレス ネットワークとは、パートナー、請負業者、従業員など利用者が誰であっても、どこにいても、どんなデバイスを使用していても、安全に保護された状態で確実に情報にアクセスできるようにするネットワークです。

シスコは一企業としてこのボーダレス モデルの最先端にいます。シスコは 30,000 を超える請負業者、パートナー、ベンダーと、非常に大規模で従来とは異なる従業員のコミュニティを擁しており、彼らにシスコの情報へのアクセスを許可しています。内部ではこれまでにお話した数々の高度なセキュリティ製品をすでに使用しており、シスコのセキュア モビリティ ソリューションを積極的に展開しています。また、シスコは異種デバイスのサポート許可に関するポリシーの面でもとても先進的な考えを持っています。さまざまな形状とサイズの Mac や PC をサポートしており、サポート対象のモバイル デバイスも増加しています。さらに、Web 2.0 も非常に積極的に取り入れており、Facebook および YouTube の使用を認めています。実際、我々は確実にポリシーに沿った安全な形で使用できる独自のツールを使用しているため、これらの新しいツールおよびテクニックを採用しています。

今後 3 年間または 5 年間で物事はどう変わると見込まれていますか。

トム・ギリス:ハンドヘルド インターネットの開始はすべての組織におけるコンピューティングのあり方を変えると信じています。iPhone はその進化における重要な前進の 1 つです。数年で忘れ去られてしまうような、格好いいだけの装置ではありません。5 年後、組織はオペレーティング システムの面でずっと異種化が進むと思います。より独自仕様で、クローズドな、カスタムビルト型のオペレーティング システムを搭載した多様なデバイスが出てくるでしょう。セキュリティの観点からは、今日よく知られていて好んで使用されている従来型のウイルス対策スイートを使ってセキュリティを実行しなくなるという意味で、より「軽い」デバイスになるでしょう。たとえば、大きいアンチウイルス スイートをスマートフォンで実行したりはしません。

シスコのボーダレス セキュリティ アーキテクチャには、これら多種多様なすべてのデバイスで非常に軽いエージェントを動作させます。このエージェントは、それらデバイスへ、またはデバイスからのあらゆる接続が確実にクラウド内のスキャナに接続されるようにします。マルチコア シリコンによって駆動されるこれらのスキャナは、非常に高速で強力、かつ正確になりつつあります。5 つのレイヤのアンチウイルスを処理し、高度なデータ アルゴリズムを実行すると同時に、高度な脅威に対する防御と許可される使用のポリシー適用を実行することができます。エンドポイント デバイスで実行しようとしても不可能な、これらポリシー適用ツールのすべてをネットワークで実行可能です。重いエンドポイント デバイスから、高度なネットワーク コンポーネントを搭載した軽いエンドポイント デバイスへの劇的な転換を目にすることになるでしょう。

シスコシステムズ合同会社について

シスコシステムズ合同会社は、米国シスコ(NASDAQ:CSCO)の日本法人です。シスコは、ビジネスの基盤となるインテリジェントなネットワーキングソリューションから、音声、映像、データ、ストレージ、セキュリティ、エンターテイメントをはじめとする新しい分野、そして、人々の仕事や生活、娯楽、学習のあり方を一変させることのできるネットワーク プラットフォームの提案を目指しています。 シスコの会社概要・詳細は以下のWebサイトでご参照頂けます。
<http://www.cisco.com/jp>

# # #

*Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語の使用はCisco と他社との間のパートナーシップ関係を意味するものではありません。(0905R)

お問い合わせ