| エンタープライズ:ニュース | 2003/10/11 18:24:00 更新 |
ワーム騒動を防ぐには「多層的なセキュリティが必要」とWatchGuard
米WatchGuardのマーク・スティーブン氏は、MSBlast後の対策として「ユーザーを信用しない」「アプリケーションレベルのセキュリティを実践する」ことが必要だと述べている。
「社内のユーザーも、外部のインターネットと同じように信用しないという考え方が現れ始めている」――中小企業やSOHO向けのファイアウォール/VPNアプライアンス「Firebox IIIシリーズ」や「Firebox VClass」を提供する米WatchGuardのネットワークセキュリティ担当副社長、マーク・スティーブン氏は、ポストMSBlastのセキュリティ対策のあり方について、このようにコメントした。
今年8月に発生し、内外に大きな影響を与えたMSBlast(Blaster)をはじめとする最近のウイルス/ワームについて、スティーブン氏はいくつかの傾向を指摘した。1つは、ウイルス自体がますます高度化し、あっという間に世界中に広まるようになっていることだ。攻撃の手法も洗練され、より悪質化している。
これにともない、ユーザー側の問題もあぶりだされてきた。「MSBlastは、ファイアウォールの設定を適切に行い、各ユーザーがパッチを適用していればまん延することはなかった。しかし現実には、1カ月前に提供されていたにもかかわらず、パッチは適用されていなかった。かつて大きな被害を与えたCode RedとCode Red IIのときと同じだ」(スティーブン氏)。
もう1つの問題は、自宅でワームに感染したユーザーがそのPCを持ち込んだ結果、MSBlastが社内で広まったケースが多いと見られることだ。「インターネット側には防御を施していても、自宅からのリモートアクセスに対しファイアウォール機能を設けているケースは少ない」と同氏は述べ、適切なセキュリティポリシーを定め、実行していれば被害は防げたはずだと指摘した。
こうした問題点を踏まえた現実的な対策として、スティーブン氏は2つの事柄を挙げる。1つは冒頭に述べたとおり、基本的にユーザーのことを信用しないというスタンスに立つことだ。ゲートウェイの部分だけでなく社内に複数のファイアウォールを設置したり、セグメントを分離するといったアプローチである。
同時に、ネットワークレベルのシンプルな防御にとどまらず、アプリケーションレベルのセキュリティが必要という。それも、企業ゲートウェイのファイアウォール、サーバ、個々のクライアントや接続経路のISPなど、各レベルごとに必要な要素――ウイルス対策やスパム対策、不正侵入検知(IDS)/防御(IDP)、VPNといったセキュリティ機能を、場所ごとにふさわしい形で実装することが重要だとした。
スティーブン氏は、中小企業向けにセキュリティ上のアドバイスも残している。「まずは常に最新のパッチを当てておくこと。これでウイルスの99%は防げるはずだ。次に、ウイルス対策ソフトを導入し、稼動させておくこと。そして、“社内にはウイルススキャンをかけてから持ち込む”といった簡単なものでもかまわないので、企業としてPCの利用に関するポリシーを定めておくこと。これはとても重要だ」(同氏)。
同氏はさらに、最後の項目としてファイアウォールの導入を挙げた。普及しているように見えて、中小企業のうちファイアウォールを導入しているのはまだ46%程度という。「中小企業では、よもや自社がターゲットになるとは思わないことが多い。しかし攻撃者は自動化されたツールを用いて、脆弱性のあるマシンならばどこでも無差別に攻撃してくる」(スティーブン氏)。
厚みのある「アプリケーションレベルの防御」を
WatchGuardでは引き続き従来からの市場にフォーカスしながら、こうした多層的なセキュリティをできる限りシンプルな形で提供できるように機能の強化を進めていくとスティーブン氏は述べている。既にファイアウォールおよびIPSec-VPN、IDSといった機能は実装済みだが、今後、ウイルス対策機能やIDPのサポートを予定しているということだ。
ただその際には、ユーザーの使い勝手やパフォーマンスを損なわないように留意していくという。例えば独自に開発を進めているというIDP機能では、誤検知の割合を減らし、本当に危険なものについて警告を発するような仕組みを目指す。同時に、攻撃検出の目安の1つになるシグネチャなどのアップデートを容易に行えるようにしていくという。
また、同社では今後6〜9カ月のうちにウイルス対策機能を搭載する予定だ。だが一方で、同社のアプライアンスとサーバ型のウイルス対策ソフトウェアとの組み合わせも有効とという。Firebox側で基本的なパケットフィルタリングやプロキシベースの異常検知を行い、それをクリアしたトラフィックに対しウイルススキャンを行うことで、サーバにかかる負担を減らせるからだ。つまり、パフォーマンスを損なうことなく、アプリケーションレベルのセキュリティを実現するという。
スティーブン氏はさらに、スパム対策機能の強化や無線LAN向けの機能追加を進める一方で、もう1つユニークな取り組みも進めていくという。同社で「コーポラティブエンフォースメント(協調的強制)と呼んでいるもので、リモートユーザーが企業ネットワークにアクセスしてくる際のセキュリティ設定をチェックし、ポリシーを強制的に適用させる仕組みだ。
Firebox IIIシリーズをはじめ同社の製品では、現時点でも、クライアントがVPNを適切に設定し、利用しているかどうかをチェックする機能を備えている。今後は、パーソナルファイアウォール機能が有効か、またウイルス対策ソフトが導入され、最新の状態になっているかといった項目を検査できるよう、いくつかのパーソナルファイアウォールベンダーと協力していく計画だ。その候補としてはZoneLabやCygateなどが挙がっているという。
「われわれは引き続き、ローエンド市場向けにアプリケーションレベルのセキュリティを低コストで提供していく。価格を抑えながら、より強力なプラットフォームを提供していく予定だ」(スティーブン氏)。
関連リンク
ウォッチガード・テクノロジーズ[ITmedia]
