独自の仮想空間アプリで情報漏えいを防止、チェック・ポイントが新製品

　チェック・ポイント・ソフトウェア・テクノロジーズは2010年3月9日、外出先のノートPC上で安全に仕事ができるようにするUSBメモリー型セキュリティ・ソフト「Check Point Abra」を発表した。ファイル・アクセス制限などにより情報漏えいを防ぐ。3月31日に販売開始/出荷する。価格は、容量4Gバイトで2万2000円（税別）、容量8Gバイトで3万2000円（税別）。

　Check Point Abraは、情報漏えいの防止を主な目的に、従業員のクライアント環境を統制するセキュリティ・ソフトである。実態は、ファイル・アクセス制御などの機能を提供する独自の仮想空間アプリケーションであり、これを暗号化機能を備えた米SanDiskのUSBメモリーに格納した製品である。

独自の仮想空間上でシェル起動、ファイル操作APIをインターセプト

　ノートPCのWindows OS（ホストOS空間）上で独自の仮想空間アプリケーションを実行すると、アプリケーションへのログイン認証を経た後に、仮想空間上で新たなWindowsシェル（explorer.exe）が起動する。これ以降に起動するすべてのプロセスは、この仮想空間上のシェルの子プロセスとして動作する。

　仮想空間上で新たに立ち上げたシェル（デスクトップGUI）からは、ショートカット・アイコンを通じてホストOS空間の業務アプリケーションを実行し、仮想空間のデスクトップGUI上に実行画面を表示できる。あらかじめシステム管理者によって実行が許可されたアプリケーションに限って実行する、といったポリシー制御が可能である。

　ファイルを介した情報漏えい防止策として、仮想空間のシェルからホストOSへのファイル・アクセスを制御する機能を備える。ホストOS空間のファイル・システムに対するファイル操作API（CreateFile関数）をインターセプトして、USBメモリー内のファイル・システムに対するファイル操作に置き換える。ここで、USBメモリーへのデータ格納は暗号化されるため、ホストOS空間（Windows OS）と仮想空間（Abraアプリケーション配下）との間のデータ漏えいを防止できる。

ポリシーを管理サーバーで集中管理

　利用可能アプリケーションやネットワーク・アクセス制御といった各種の制御を、ポリシー・ベースで実施できる。このための仕組みとして、別途、Abraアプリケーションに対する管理サーバー・ソフト「SmartCenter管理サーバー」を利用する（稼働環境として必須となる）。

　Arbaアプリケーションへのログイン認証後、ネットワークがつながっている場合はArbaアプリケーションと管理サーバーが通信し、管理サーバーがポリシーをArbaアプリケーションに配信する。管理サーバー・ソフトの稼働OSはWindows Server/Red Hat Enterprise Linux/Solaris。

　Check Point Abraには、会社のVPNルーターに遠隔アクセスするためのVPNクライアント・ソフトも含まれる。通常は、VPNアクセスを介してSmartCenter管理サーバーに接続することになる。管理サーバーからネットワーク・アクセス制御ポリシーを配信することで、ネットワークの利用もポリシー制御できる。また、社内ネットワークの作り込みによっては、Abraを介さないVPNアクセスを遮断するといった運用も可能になる。

写真1　Check Point Abraの外観

写真2　Abraアプリケーション上のデスクトップGUI