【インタビュー】ポリシーベースでシステムの変化を監視・管理し、コンプライアンス維持をサポート

Tripwire International Sales Vice President Robert Kidd氏

　Tripwireという会社をご存じだろうか。調査会社のガートナーによれば「コンフィギュレーション・コントロール」の市場におけるトップと評価されている企業である。2009年3月現在、世界中で6500社以上の企業が、同社のソリューションを導入しているという。日本でも、コンプライアンスの証明およびセキュリティ強化を目的に、官公庁や金融業界を中心に多くの企業・団体が同社のソリューションを導入している。

　では、「コンフィギュレーション・コントロール」とは何か？ それは、企業のITシステム全体で発生するあらゆる変更を監視・管理することである。その目的は、コンプライアンス遵守を証明し、セキュリティを強化し、ITシステムの可用性を向上させることにある。Tripwireが提供しているのは、まさにそのためのソリューションである。

　同社のソリューションが多くの企業に受け入れられている背景について、International Sales Vice PresidentのRobert Kidd氏は、次のように説明する。

「我々のソリューションが受け入れられている背景は、大きく2つあります。1つは、企業がさまざまな法令や規制への対応を迫られている点です。たとえば、米国におけるSOX法、クレジット業界のセキュリティ基準であるPCI DSS（※）などに対応するため、多くの企業が我々のソリューションを導入しました。もう1つは、セキュリティポリシー遵守の測定ツールとして価値です。我々のソリューションを利用すれば、ポリシーがどの程度守られているのか、守られていないとすれば、どこに問題があるのか、どのように対処すればよいのか……等々がわかります。これらの処理は自動化されていますので、マニュアルでの作業に比べて、費用対効果が圧倒的に高いという点も大きな理由の1つです」（Robert Kidd氏）

　もちろん、事情は日本も同じである。同社は、2004年4月、日本法人となるトリップワイヤ・ジャパンを設立している。設立後の活動について、同社の代表取締役社長 杉山富治郎氏は次のように説明する。

「まず、2001年にTripwire for Serverを出しました。これは、Webの改ざんを検知してアラートを出すシンプルな製品でした。2006年の8月にはTripwire Enterprise 5.5をリリースしました。これは、いつ、誰が、何を変更したかをデータベースに登録できる製品です。弊社にとっては、コンプライアンス市場へ大きく舵を切るきっかけとなった製品です。2008年の1月には7.0を出しました。ポリシー機能を搭載し、ポリシーテンプレートをベースにコンプライアンスの状態をチェックできるようになりました」（杉山氏）

　そして、そのTripwire Enterpriseの最新バージョンが、今回発表されたTripwire Enterprise 7.6なのである。

※PCI DSS（Payment Card Industry Data Security Standard）
加盟店・決済代行事業者が取り扱うカード会員のクレジットカード情報・取引情報を守るため、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準。2004年12月に策定された。

Tripwire Technical Director of International Gavin Millard氏

　Tripwire Enterprise 7.6の強化ポイントは大きく3つある。第一はポリシーベースの変更検知・評価機能の強化。第二は仮想環境への対応。第三が対応プラットフォームの拡充である。3つのポイントについて、Robert Kidd氏は次のように説明する。

「Tripwire Enterprise 7.6には、PCI DSSを含む180個以上のポリシーテンプレートと15000個以上のテストが用意されています。これにより、さらに広範囲な業界のセキュリティ基準に基づいて、システムのコンプライアンス維持をサポートできるようになりました。2つ目のポイントは仮想化への対応です。近年、企業システムの仮想化が急速に進んでいますが、Tripwire Enterprise 7.6では、仮想環境に対しても、物理環境とまったく同じレベルのセキュリティを提供しています。3つ目がサポートするプラットフォームの拡充です。具体的には、Windows Server 2008、AIX 6.1、RedHat Linux 5.3を新たにサポートしました」（Robert Kidd氏）

　ポリシーには前バージョンの7.0から対応していたが、今回の7.6では、その数が大幅に拡充されたのが大きなポイントだ。PCI DSSを初めとするさまざまな基準に対応するポリシーテンプレートが用意されているので、企業は自社に必要なテンプレートをベースにシステムの状態をモニターし、コンプライアンス維持に役立てることができる。

　仮想化への対応については、Technical Director of InternationalのGavin Millard氏は次のように説明する。

「仮想化によって同一のハードウェア上で複数のシステムが稼働できるようになり、マシンを2つ、3つと簡単に立ち上げられるようになりました。非常に便利になった反面、1つの変更が他のすべてのプラットフォームに影響を与えるなど、リスクも高まっています。システムの仮想化をすすめるには、仮想環境を含むシステム全体をしっかりと監視・制御して、リスクを担保する仕組みが必要になるのです」（Gavin Millard氏）

　Tripwire Enterpriseの基本的な機能は、ITシステムの状態をリアルタイム監視し、ポリシーとの差異を検知・評価して、不適切な変化が発生したとき、何らかのアクションを起こし、ポリシーに合致した状態にシステムを引き戻すことにある。新バージョンの7.6は、仮想化という最新のテクノロジートレンドを取り入れつつ、その基本機能を強化したと言えるだろう。

トリップワイヤ・ジャパン 代表取締役社長 杉山富治郎氏

　日本法人の代表取締役社長 杉山氏によれば、「日本市場にはTripwireと競合するソリューションはほとんどない」という。このため、「コンフィギュレーション・コントロール」と聞いても、ピンのこない人が多いかもしれない。ログ管理ツールの一種だと誤解する人も多いのではないかと思い、その違いを確認すると、Gavin Millard氏から次のような回答が返ってきた。

「ログ管理ツールとの最も大きな違いは、システムの中で見渡せる範囲という意味での可視性（Visibility）です。我々のソリューションは、システムの変更点をピンポイントでスポットできますが、ログ管理ツールはそこまではできません。精度の高いレポートの作成も困難です。もう1つの大きな違いは、ログ管理ツールは現象を突き止めることはできても、システム全体のリスクを下げることはできないということです。我々のソリューションは、システムの変化を検知・評価し、問題が起きる前にアラートを出しますので、トラブルを未然に防ぎ、システム全体のリスクを下げることができるのです」（Gavin Millard氏）

　また、Tripwireのソリューションとログ管理ツールは競合するものではなく、補完関係にあるともギャビン モラード氏は強調する。たとえば、PCI DSSでは、満たすべき要件として218の項目（コントロール）が定義されているが、Tripwireのソリューションでは、そのうちの104項目を提供できるという。その他の項目は、ログ管理ツールなどの他のソリューションを利用してクリアする必要があるため、それぞれを組み合わせて利用するのが一般的ということだ。



　ある調査会社のレポートによれば、2008年度、世界中で2億8千500万件のカード情報の漏えいがあったという。しかも、その75％が、漏えいを探知するまでに数週間から数カ月もかかったという。Tripwireのソリューションが導入されていれば、仮に漏えいが発生したとしても、すぐに検知し、対策を打つことができたはずである。

　日本でも、2009年の4月、クレジットカード情報の保護を推進する「日本カード情報セキュリティ協議会（Japan Card Data Security Consortium（略称JCDSC）」が設立されたばかりである。その設立にあたって中心的な役割を果たしたNTTデータ・セキュリティは、Tripwireのソリューションを販売するパートナーでもある。

　もちろん、コンプライアンス遵守はクレジット業界にかぎった話ではない。すでに施行されているJ-SOX法は、すべての上場企業およびその連結子会社が対象となるし、そもそも法令遵守や情報漏えい対策、セキュリティの確保は、上場・未上場に関わらずすべての企業にとっての課題である。

　IDC Japanのデータによれば、2009年の国内のコンプライアンス市場規模は1兆1518億円に達し、2013年には2兆378億円規模に拡大すると予測されている。市場の拡大とともに、Tripwireの存在感が大きくなることは、間違いなさそうである。