 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
「DBセキュリティとWebアプリケーションファイアウォールはベストマッチング」-米Imperva CTO |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
米Impervaは、データセキュリティアプライアンス「SecureSphere」を提供するセキュリティベンダ。同社の特徴は、Webアプリケーションファイアウォール(WAF)とデータベースセキュリティ製品という、ほかにない組み合わせのソリューションを提供していることで、セキュリティ業界では非常に注目されている企業の1つである。今回は同社のアミカイ・シャルマンCTOと、アジア太平洋地域 セールス担当副社長のミハエル・リュー氏に、同社の製品が提供する価値について話を聞いた。
シャルマンCTO WAF製品では、アーキテクチャが優位点です。プロキシではなく透過型で導入できますし、競合する製品と比べて、パフォーマンスははるかに優れています。また、セキュリティモデルを自動で作成するダイナミックプロファイリング機能もあります。 データベースセキュリティでは、パフォーマンスとスケーラビリティで圧倒的な優位性がありますし、監査情報の蓄積においても明らかに上の性能を持ちます。速度の面では、正しい通信かどうかを判断するプロファイルに含まれるものは除外し、詳細な検査は残ったものにのみ行うことで、高速化を実現しています。 そしていずれの製品でも、当社の研究機関であるADC(アプリケーション・ディフェンス・センター)が提供するサービスでさらに差別化できるでしょう。新たな脆弱性に関して製品をすぐに更新したり、ソフトウェアを迅速にアップデートしたりすることが可能です。 イスラエルにあるこのセンターでは、6名の研究員が、新しい脆弱性やインシデントといったセキュリティ情報の収集と研究を行うほか、製品に追加する機能のプロトタイプの開発も行います。また、自分たちでソフトのハッキングを行って、商用パッケージの脆弱性を探し、見つけた脆弱性をベンダに報告するようなこともしているんですよ。
シャルマンCTO データの流れ全体を可視化できる点がメリットといえます。例えば、Webのリクエストとデータベースのアクセスとを相関分析することで、SQLインジェクションが誤検知なしで発見できます。またどのWebモジュールがデータベースアクセスで一番厳重に保護されるべきなのかを発見するのにも役立ちます。 今後も機能の拡張は図っていきます。たとえば、アプリケーション検査において、Webからデータベースへ送られるSQLコマンドをチェックすることで、脆弱性がどこにあるのかを発見できるようにしたいと考えているのです。こうした機能によって、管理者がどのURLを修正しないといけないのか、あるいは保護しなくはいけないのかがわかるようになれば、セキュリティをより効率化できるでしょう。 人員やコストといったリソースを効率化できるということで、当社製品を選んでいただけるようにしたいですね。セキュリティ製品がセキュリティ対策のコストを下げるものでなければ、それは使われないでしょうから。 ―一方で、アプリケーション配信ネットワークという流れの中でWAFを提供するベンダも増えていますが、これをどう見ていますか? シャルマンCTO 3年前、アナリストは「WAFはアプリケーションのロードバランサーに入るべきだ」と言っており、またすべてのアナリストが「Impervaがやろうとしていること(データベースセキュリティとあわせて提供すること)はできない」と言っていましたが、当社はまだ存在しています(笑)。機能をあわせて提供する場合、ロードバランサーとともに提供するという選択肢は確かにあるでしょうが、ネットワークアクセス制御とWAFは使われる場所が違いますから、そういうアプローチはどうでしょうか。 ―近年では、データベースベンダ自体が自社製品にセキュリティ面での強化を行う流れもあります。そうした機能だけでなく、Impervaのようなサードパーティ製のデータベースセキュリティ製品を導入するメリットはどこにあるのでしょうか? シャルマンCTO 一番いい例は監査機能ですね。データベース内部の機能で監査を行っている場合、データベース管理者(DBA)にはそれをだますことができます。また、攻撃者がDBAになりすました場合も同様でしょう。データベースの上にいろいろな機能をつけても、その点に関しては改善できません。 それから、ソフト自体に脆弱性がある場合にも外部製品は有効です。ソフト自体が問題を持っているのに、その上で動く機能でカバーしようとするには本質的に無理があると思いませんか?加えるならば、人の問題もあります。セキュリティの管理者は通常、データベース自体をコントロールできません。データベースとセキュリティの管理者が別れているのであれば、そのためのツールも別々であるべきと考えます。 リュー氏 顧客の環境内で異なった種類のデータベースを使っている場合のメリットもあるでしょう。データベース自体のセキュリティ機能を使うとしても、別々のデータベースであれば別々の機能を使うことになり、管理コストは高くなります。当社の製品などを使ってもらえれば、異種データベース環境でも一元管理できるのです。 ―最近のアップデートとしては、どういった試みをしていますか? シャルマンCTO データベースセキュリティ製品に、データベースの変更管理機能を搭載しました。これによって、テーブルに格納されたデータの変更や、テーブル自体を新しくつくるといったデータベース構造の変化を検知できるようになります。また、監視・通知の両機能に加えて、何が許可されて、何が許可されない、というルールの設定ができ、例えば、DBAはデータベースの構造を変えられてもデータの変更を許さない、というような運用を行えます。こうした機能を利用する際、データベースサーバーには何か変更を加える必要はありませんし、基本的に機能追加は無償で提供しています。 さらに、データベース自身だけでなく、その周辺部が保護できる点も特徴といえるでしょう。例えばOracle Databaseでは、ローカルパスワードを保存するファイルが存在しますし、SybaseではそのPC上で利用できるデータベースサービスを記したファイルがあります。こうしたファイルを変更されると、データベースセキュリティに影響を与えますから、あわせて保護をしてあげることが重要になるのです。 このような機能は、データベースにアドオンするソフトベースのソリューションでは提供されている場合もありますが、アプライアンスベースでは当社がはじめてになります。 ―米国の流行が3年遅れて現れると日本ではよく言われていますが、日本でも、コンプライアンス強化が各企業の必要事項とされるようになってきました。セキュリティベンダとして、こうした流れをどう思われますか? シャルマンCTO 規制強化によって、さまざまな会社のエグゼクティブがデータベースセキュリティの可視化の重要性に気付いたのを感じています。コンプライアンスビジネスのブームは落ち着くだろうと思っていますが、一度監査の重要性を感じていますので、それは今後も引き継がれていくでしょう。データべースセキュリティがどの国でも必要なのは間違いありません。 リュー氏 いよいよ日本版SOX法も施行されますが、市場が急速に立ち上がっているのは感じています。案件の4割がデータベースに関連するところまで来ているのです。当社でもこうした状況に対応するために、今月日本法人を立ち上げました。ワールドワイドで、今年は昨年の3倍を目標にしていますが、日本でも同様の成長を期待しています。 ■ URL 米Imperva http://www.imperva.com/ ■ 関連記事 ・ 東京エレクトロン、米ImpervaのWeb/DBセキュリティアプライアンスを発売(2006/07/04)
( 石井 一志 )
|
