McAfeeとAdobeが実現、DRMを組み合わせて発揮する「DLPの真価」とは？

McAfee Executive Vice President, Corporate Strategy＆Business Developmentのゲルハード・ワッツィンガー氏

　外部からの脅威のみに気を払えばよい時代は終わりを告げた。今、セキュリティで重要なのは、「情報をいかに保護するか」という視点だ。多くのセキュリティベンダーがこの「情報中心型セキュリティ」に注力する中、米McAfeeはどんな戦略を抱くのか。米国で主にDLP（情報漏えい防止）製品やM＆A戦略を担当する、Executive Vice President, Corporate Strategy＆Business Developmentのゲルハード・ワッツィンガー氏に話を聞いた。


―ワッツィンガー氏のミッションは？

ワッツィンガー氏
　ワールドワイドでDLPを担当すると同時に、企業戦略としてDLPを超えた提携、買収、製品セグメントの方向性などを決めている。もともとはSafebootのCEOで、2007年にMcAfeeに買収されて以来、データ保護の責任者を務めている。


―2009年はどんな1年だったか？

ワッツィンガー氏
　一言でいえば「アップダウンの年」。上半期に経済が悪化し、下半期に少しずつ回復傾向となったが、当社にとっては逆に、前半が好調、後半がチャレンジな時期となった。

　なぜなら、景気が悪くなればなるほどサイバー犯罪は増えるからだ。2009年上半期に発見された未知のマルウェアの数は6000～7000種/日で、前年同期比のおよそ倍。結果として2009年通年では、前の9年間を合わせた数より多くのマルウェアが発生する結果となった。

　その分、企業がセキュリティに関心を持ち、McAfeeに関心を持ってくれた。景気が悪いため、企業はセキュリティベンダーを1社に絞ったが、その1社に選ばれることが多かったのも、前半に好調だった理由だ。

　経済がやや回復しはじめた下半期は、チャレンジの時期となった。トピックとしてはオーロラ（Googleなどを襲った複合型攻撃）があったが、これを最初に見つけたのは当社のリサーチラボ。この時期は、オーロラに関するタスクフォースを社内に設立し、マイクロソフトを初めとするお客様にさまざまな提案をしていた。


―2010年のデータ保護戦略は？

ワッツィンガー氏
　2010年に向けては、オーロラが非常に参考になった。当初の脅威は「破壊」を目的としていた。これを第1世代とすると、第2世代はクレジットカード番号や口座からの振り込みなど「金銭」が狙いとなった。

　ところが、Google/Juniper/Intel/Adobeなどを襲ったオーロラ攻撃では、ソースコードや価格情報、製造の青写真、物流情報などの「知的財産」が盗まれた。将来的には、こうした知財が攻撃の対象になると見られる。

　わたしたちが今後考えなければいけないことは、知財をいかに守るか、ということだ。間違った人の手にこうした情報が渡らないようにしなければならない。


―具体的にどう実現する？

ワッツィンガー氏
　「暗号化」「DLP」「DRM（デジタル著作権管理）」の統合を考えている。これらを一緒に活用することで、巧妙で複合的なオーロラ攻撃のような脅威にも対抗可能となる。

　知財の窃取を防ぐには、外部とインサイダー両方の脅威に備える必要がある。現在、知財の窃取の50％はインサイダーによるものといわれる。この不況下で、部門単位のレイオフを行う企業もあり、失業者が増加している。職探しの市場は依然として厳しいため、再就職の際には前職で得た新技術の情報などを、次の会社に持っていく動機が生まれている。

　では、こうした脅威に技術はどう対応するか。

　まず、DLPの目標は社内すべてのデータの移動をモニタリングし、ポリシーにより漏えいを防ぐことだ。細かいレベルで「このデータは送信して良いのか否か」を管理できるが、オーロラのような巧妙な攻撃には、DLP単独では防ぎきれない可能性がある。

　そこで重要なのが暗号化技術だ。万が一、情報が盗まれても暗号化しておけば悪用されることがない。

　ただし、内部関係者に社内から機密情報が持ち出されると、もしかしたら復号も可能かもしれない。それを外部の不適切な者に渡されてしまえば、暗号化も意味を成さなくなる。

　そこで考えたのが、DRM技術の活用だ。DLPとDRMを連携させることで、漏えいしたあとのデータ保護が可能となる。当社では2009年9月にAdobeとの協業を発表した。DLPにAdobeのDRMを連携させることが狙いだ。DRMで文書に権利を付与できるようになり、有効期限を設けて、ある日が過ぎたり、ある用途が終わったりしたら文書を読めないようにできる。

　DLPでデータの動きを監視し、暗号化で漏えいを防止し、DRMでインサイダーによる持ち出し対策とするといった具合に、3段階の防御が実現するわけだ。


―具体的にMcAfeeのDLPとAdobeのDRMはどう連携するのか？

連携イメージ

ワッツィンガー氏
　AdobeのDRMサーバーには「ライフサイクルマネージャ」という管理コンソールが搭載されている。これでDRMのポリシー設定、認証を行い、コピー禁止、有効期限、透かしなどを実現する。このポリシーをDLPに取り込むのが協業の目的。DLPでは「どのファイルが機密情報か」を設定できる。例えば、「Enterprise Watch」という文字列が含まれた文書を「機密」と定義し、その文書に対する具体的なルールをDRMで設定することが可能だ。

　すなわち、DLPで情報漏えいを防止し、従業員にどれが機密データか認識させる。その上で、DRMにより正しい人に情報が渡ること、そのあとも不適切な人の手に渡らないことを担保するわけだ。


―DLPで重要なのは、エンドポイントやネットワークなど包括的に保護できるか否か。McAfee製品はこの点はどうか？

ワッツィンガー氏
　重要なのは、まさにその通りだ。DLPは監視カメラのようなもので、たくさんあればあるほど十分な監視が可能となる。当然、当社の製品でもエンドポイントやネットワークの挙動を一元監視できる。

　当社ではさらに次のステップとして、ファイアウォール・IPS・ゲートウェイなどにDLPテクノロジの断片を組み込むことを考えている。現在、これらのネットワーク・セキュリティ機器は、あらかじめ定義されたルールに従って、データをフィルタリングしているに過ぎない。DLP技術が入れば、FWなどもコンテンツに感度を持ち、より柔軟に制御できるようになる。これはMcAfee独自の考え方だ。


―実際に開発が始まっているのか？

ワッツィンガー氏
　すでにファイアウォールとIPSへの開発に着手している。はっきりとは言えないが、おそらくファイアウォールについては2010年の後半に、IPSとゲートウェイについては2011年に発表できるだろう。


―少し話は変わるが、クラウドや仮想化によりセキュリティにも変化は生じるのか？

ワッツィンガー氏
　明らかに変化はある。2つのトレンドがあると考えられる。現状、情報はエンドポイントに存在し、そこにはウイルス対策、フィッシング対策、スパム対策の技術が搭載されている。企業内のネットワーク上には悪性のデータもあるかもしれないが、それでもすべてのデータが一度エンドポイントに入ってくる。

　クラウドでは企業の外でウイルス対策、フィッシング対策、スパム対策を実施するため、企業内にデータが入ってきたときには、すでにクリーンな状態になっている。社内のエンドポイントにはクラウドからほんの一部の正規データしか入ってこなくなる。

　この影響は大きいだろう。しかし、USBメモリなどをPCにつなぐ以上、エンドポイントにも引き続き対策が必要だ。このため、セキュリティは企業内とクラウドのハイブリッドに移行していくだろう。


―そうなった場合、貴社のようなセキュリティベンダーに何か影響はあるか？

　クラウド基盤を用意するのはISPなどになる。我々セキュリティベンダーは、ISPがクラウドからきちんとデータを送信でき、従量課金で利用できるように製品を開発しなければならない。それが重要な責務となる。


―2010年の抱負は？

　ここ数年、市場において大規模な企業統合が可能だと実証された。わたし自身としては今後も買収を検討し、包括的にすべての領域をカバーできるよう技術の開発を進めていく。

　一方、セキュリティの脅威は巧妙に複合化され、複数の技術を連携させることが重要になっている。Adobeとの協業はその一例だが、今後も脅威の実体に合わせて、対策技術を洗練させていくつもりだ。