【エンタープライズモバイルセキュリティソリューション　第2回】（日本エフ・セキュア）

　前回急激に変化するネットワーク、モバイル環境において各企業がさらされている現状と危機について説明をしてきたが、それを受けて今回は、弊社
F-Secureの提供するセキュリティソリューションを解説する。

5.F-Secureのソリューション

　企業においては、セキュリティというと、それがないと何か被害を受ける可能性が高くなるだけというような考え方が多いのが現状である。しかし、反対にインターネット、モバイル環境用にセキュリティを確保すれば、想像を絶する程の大きなビジネスチャンスが訪れることを忘れてはならない。例えば、SCM、SFA、CALS等を実現するためにインターネットを使用した仮想エクストラネット、仮想イントラネット等を安価に利用できれば、ビジネスの広がりは著しい。また、オンラインバンキング、電子商取引等もセキュリティさえ確保できれば、インターネットを利用して大きなマーケットを手に入れることができる。

　但し、セキュリティと一言に言っても、考慮しなければならない要件として、機密性、データの保全性、マシンの可用性、一貫性、制御性、監査性等、複数種の事柄があるのは周知のことである。F-Secureのソリューションは、企業における以下のセキュリティ要件に対応し、全てソフトウェアで提供される。（現状、一社の製品で全てのセキュリティ要件を満たすことは考えがたい。そこで、セキュリティ製品をどう統合するかが問題となる。F-Secureの場合ポリシーマネージャとF-Secure SDKによって他社製品との統合を図ることもできるが、その説明は紙面の関係上、別の機会にまわし今回はF-Secure製品の説明のみを進める。）

- セキュリティポリシーの強化
- 転送中のデータの保護
- 保存したデータの保護
- システムの一貫性の保護
- システムの可用性の保護
- システム管理の安全性・簡易性の向上

　F-Secureのセキュリティ対応方法としては、大きく分けて2段階になっている。第一に、F-Secureフレームワークと呼ばれるセキュリティ対策用アーキテクチャを用意し、フレームワークとして分散したコンピュータ資源の一元集中管理機能、システム拡張性、フレキシビリティ等を持たせている。次に、セキュリティ要件ごとに最適のアプリケーションを作成し、フレームワークにプラグインすることにより、エンタープライズセキュリティシステムを形成している。これにより、将来における機能拡張、変更等が容易に行える。

(1)データセキュリティポリシーの実施-F-Secureポリシーマネージャを
　使用

　企業の従業員は、自宅、出張先、外出先、または移動中に、絶えず知的財産を使用および作成する。F-Secure ポリシーマネージャは、F-Secureフレームワークの重要な構成要素の一つで、前述の物理的に分散している情報及びコンピュータ全てにグローバルなセキュリティゾーンを作成して企業の知的財産を保護する。このセキュリティゾーンは、時間に感応するダイナミックな
ゾーンで、時間指定をしてセキュリティの設定を変更できるうえに、対象業務により様々であるセキュリティ要件レベルに合わせてユーザーごとに細かい設定が簡単に定義できる。

　F-Secureポリシーマネージャを使用することによって各企業が定めたセ
キュリティポリシーをたった1台のアドミニストレータ端末からネットワークに接続されている全てのコンピュータ上に導入、定義、実行、管理できる。定義されたセキュリティポリシーをもとに、マルチプラットフォーム環境に自動的に必要なセキュリティ製品をインストールし、あらゆるデバイス (ワークステーション、サーバー、ゲートウェイ、ノートブック、PDA、または WAP 電話) に存在しているポリシーエージェントを通じてリアルタイムで設定、実施される。ポリシーの変更情報及びメンテナンスに必要な情報 (新しいウィルス定義や、アップグレード情報など)は、自動的にローカルユーザーとリモートユーザーに送信される。その時点でネットワークに参加していないユー
ザーもログインするやいなやその情報が反映される。F-Secureポリシーマ
ネージャの機能概要を以下に示す。

- リモートユーザーへの企業のセキュリティポリシーの展開
- ソフトウェアアプリケーションとアップデート版(新しいウィルス定義な　ど)の配布
- ポリシーが実施されていることの確認
- セキュリティのアクティビティの監視
- ポリシーのアップデート版の自動的な配布

(2)転送中のデータの保護 - F-Secure VPN+ 製品ファミリーを使用

　F-Secure VPN+ ファミリーを使用することで、1個所から分散環境下に仮想プライベートネットワーク全体を実装し、それを中央集中管理できる。そのことにより、機密データをセキュリティゾーンとして定義されている世界中のどこへでも安全に転送できるようになる。F-Secure VPN+ は、転送中のデータに自動的に強力な暗号化を施し、"途中の第三者 (man in the middle)" による攻撃からデータを保護する。この製品の特徴として、IPSec準拠のVPN機能を個々のコンピュータに実装できるので、モバイルユーザもインターネットアクセスさえ可能であれば、どこの場所からでも社内と同一の安全なデータアクセスが可能となる。個々のユーザーマシン、サーバー等も同一LAN内からの内部攻撃から保護される。また、暗号化アルゴリズムもBlowfish、Cast128、3DES、DES等複数個実装しているので万が一定義中のアルゴリズムがいつか解読されて安全性が保障されなくなっても、アドミニストレータ端末からアルゴリズム定義を変更するだけで全体の安全性を維持できる。F-Secure VPN+ 製品の機能概要を以下に示す。

- ネットワーク上のデータに対する機密性の保護
- エクストラネット経由の通信に対する安全性の確保
- 転送中のデータへの権限のないアクセスの防止
- LAN - LAN、インターネット - LAN、終端間での暗号化
- IPSec 暗号化機能

(3)保存したデータの保護 - F-Secureファイルクリプト製品ファミリーを
　使用

　企業にとって最も価値のある従業員は、時間や場所にとらわれずに働いている。新しい考えや革新的なアイデアには素早く対応することが求められ、もっとも機密性の高い情報は通常リモートのモバイルデバイスに入っている。このため、ノートブックが盗まれたり、それを置き忘れたりすると、部外者が簡単に企業秘密にアクセスできることになる。

　F-Secureファイルクリプトを使用することで、そのような機密性の高い情報に対する自動的で透過的な保護を、各リモートユーザーに即時に提供できるようになる。F-Secureファイルクリプトは、集中的に管理されたポリシーに基づいて、各リモートデバイス上の情報に強力な暗号化を施すことができる。また、自動キー復元機構によって復号化することで、エンドユーザーの生産性に影響を与えない。F-Secureファイルクリプト製品の機能概要を以下に示す。

- 有用データの機密性の保護
- 企業のセキュリティポリシーの自動的な実施
- ハードディスク上のファイルの暗号化
- エンドユーザーに対する処理内容の隠蔽
- 保存された情報のリモート保護

詳しくは、Scan本誌をご覧ください。
http://www.vagabond.co.jp/scan/