【Black Hat 2014 レポート】Imperva が提唱する包括的なデータセキュリティ（Impreva）

2014 年初頭、Tomium、Incapsula、Skyfence を買収したことでも話題となった Imperva。その社名を聞いたとき、日本では真っ先に WAF 製品を思い浮かべる方が多いだろう。

しかし、買収後のサービス展開から感じる同社の動きは、ウェブアプリケーションの安全化より、むしろデータのセキュリティを重視しているように見える。

先日ラスベガスで開催された Black Hat USA 2014 の Imperva ブースでは、VP Global Security Engineering の Terry Ray 氏にお会いすることができた。Scan 編集部は、その慌しいブースエリアから少し離れた Imperva の会議室で、Terry 氏に話を聞いた。

● Terry 氏へのインタビュー

──Imperva の製品といえば、日本では WAF に人気が集中しているようですが

「そうですね、国ごとに需要が異なります。日本やタイでは、WAF が良く売れますが、シンガポールやオーストラリアでは DAM が人気です。しかし WAF、DAM、FAM は 3 つ同時に利用されて真価を発揮します」

──御社の DAM について教えてください

「現在、大量のデータベースを持つ企業の多くは、どこに機密情報があるのか、誰が機密情報にアクセスしているのかを把握していません。たとえ把握していても、それを正しく監視、監査できない。私たちの DAM は『どこに機密情報があるのか』を自動的にスキャンし検出します。たとえばカードデータは、数学的な手法でどこにあるのかを見つけます」

──そのシステムは日本語にも対応しますか

「DAM は情報により検出のマトリクスを変えます。カード情報ならデータそのものを探しますが、氏名ならテーブルのタイトルが『First Name』等であるケースを考慮して働きます。項目の分析、抽出方法はカスタマイズも可能です。管理したい情報を検知する体系の構築は、私たちがお助けします。

自動的にデータを抽出したユーザーは、『スキャンして監査』の繰り返しを常に最新の状態で行うことになる。それはストレスのないシステムで、人によるメンテナンスも減り、負荷を軽減します」

──ファイルセキュリティのFAM は

「FAM は DAM と同じことをファイルサーバで行います。ユーザーはファイルサーバからも機密情報にアクセスする必要がありますので、こちらも非常に大事です」

●3 つを同時に導入する意義

──WAF、DAM、FAM の一つだけを使うのは効率が悪いですか？

「面白い話ですが、WAF だけを求めるお客様のほとんどが『やはりデータベースの可視化も必要だった』『FAM も必要だった』と後からおっしゃいます。実際のところ、ウェブアプリケーションはデータを入手する方法でしかないからです。

現在 80 ％のカスタマーが SharePoint を導入しようとしていますが、多くの場合、何のセキュリティも考慮せず、機密情報がどこにあるのかも知りません。WAF、DAM、FAM の 3 つを合わせると、SharePoint のあらゆるレイヤーが安全化され、誰が何を制御しているのか総合的に把握し、管理することができます。

SharePoint は組織の内部の様々なアプリケーションで、また外部の様々なアプリケーションでも利用され、それは外のユーザーと繋がります。闇雲に利用すれば、あなたの SharePoint は世界に開示されます。

内部ポータルのみで SharePoint を利用する場合でも、内部犯行の脅威があります。明日退職する職員が、あらゆるデータを SharePoint からごっそりダウンロードするかもしれません。ビジネスパートナーによる不適切な利用も危惧されます。

SharePoint の利用で最も困難なのは、その安全化です。データが大きくなるにつれてセキュリティの問題も大きくなる。『これほど大規模な問題を解決して安全化を計るのは大変だろう、もう蓋を閉めたままにしておきたい』と考えられがちになるのです」

●Imperva Incapsula

──では御社のクラウド型サービスについて教えてください。

「私たちは今年、クラウド型サービスの『Imperva Incapsula』を開始しました。これは私たちのクラウドベースの WAF、CDN、DDoS 攻撃対策が統合されたサービスです。トラフィックがフィルタリングされることでウェブアプリケーションの脅威から身を守り、さらに DDoS 攻撃も退けることができます。Imperva Incapsula は 1.5 TB に対応するので、それをダウンさせることは容易ではありません。

●Skyfence

「そして最後のソリューションは Skyfence です。これは現在、私たちが扱う最も新しいサービスですね。

現在、非常に多くの企業が Dropbox や Salesforce、Office 365 などのクラウドや SaaS を利用しています。組織内にクラウドを利用する職員がいれば、個人情報や機密情報はそこに蓄積されていきます。そこで Skyfence はクラウドベースの実装と、リバースプロキシを行います。

さらに Skyfence は、様々な情報から従業員の PC を識別します。その利点の一つは、正規端末が使われているかを確認できることです。『いまアクセスしているのは確実に社員の PC だ、パスワードが盗まれたのではない』と判断できます。

そしてもう一つの利点は、『その企業がどんな形でクラウドを使っているのか』を把握し、その制御を構築できることです。ビジネスデータ、個人情報がどこにあるのかを知り、不適切な個人情報へのアクセスはないか、誰が機密情報にアクセスしているのかを確認できます」

──DAM や FAM をクラウドベースで利用するのに似ていますね。

「そうです、それはとても重要です。ますます多くの企業が、重要なデータへの統制を失いつつあるからです。

私たちは現在、このサービスをフリーで提供しています。それはあなたのネットワークをスキャンし、すべてのクラウドや SaaS 製品を探し、そのリストを渡します。『当社は Office 365 しか使っていない』と考える方も、その長いリストを見れば、どれほど様々なクラウド、SaaS を利用しているユーザーがいるのかを知って驚くはずです。

それは、いかにあなたの組織が統制を失っているのか、いかに我が社の製品が必要であるかを伝えるでしょう。

私たちの将来的なアイディアは DCAP に基づいています。あなたはあなたのデータを統制しなければならない。あなたのネットワークの中にも外にも存在する、あなたのデータをどう統制するのか。世界には、たくさんの IT ガバナンスと規則がある。企業は『統制できない』とは言えない。あなたは、誰があなたのクラウドデータにアクセスするのかを統制し、守らなければならない。

私たちの製品は、それを実現します。私たちが今年、3 つの企業を買収した理由はここにあるのです」

──なるほど、本日は大変ありがとうございました。

「どういたしまして」