インタビュー
2004/01/16 20:50:00 更新


Interview:「アプリケーションレベルの攻撃に備えよ」とNetScreen

ASICベースのファイアウォール/VPNアプライアンスで知られる米NetScreen Technologies。同社CEOのロバート・トーマス氏によると、今後はアプリケーションレベルでの対処が求められるという。

 1月15日、中小企業向けのセキュリティアプライアンス提供に関してトレンドマイクロとの提携の成果を発表したネットスクリーン・テクノロジーズ。同社が従来強みとしてきたファイアウォールやIPSec-VPN機能に加え、トレンドマイクロのウイルス対策技術を統合することにより、総合的なセキュリティを実現するという。一連の動きの背景について、米NetScreen TechnologiesのCEO、ロバート・トーマス氏に聞いた。

ITmedia 今回の発表は、市場のどういったニーズを踏まえてなされたものなのでしょう? どのような脅威への対処を念頭に置いた戦略なのでしょうか?

トーマス われわれにはさまざまな顧客がありますが、中でも大規模企業では、従来の私設網だけでなく、ブロードバンドおよび公衆網を用いて支社や営業所、工場などを結び、ビジネスを進めようとしています。企業本社だけでなくエッジ(末端)までもが接続されるようになっているのです。こうなると、従来のVPNセキュリティだけでは不十分です。

 また、より多くの社員が自宅にラップトップPCを持ち帰り、仕事をするようになりました。その結果、気付かないうちに自宅でウイルスに感染したPCが再び企業ネットワークに持ち込まれ、そこでウイルスが感染を広めるという事態が生じています。こうした事情から大企業では、より強力なセキュリティ機能を、本社だけでなく支社や営業所レベルでも求めるようになっているのです。

 その1つとして、ゲートウェイでウイルス対策を行い、企業内へのウイルス侵入を防ぐ機能が挙げられます。この分野で最も強力な企業がトレンドマイクロです。トレンドマイクロとわれわれの強みをベスト・オブ・ブリードの形で組み合わせ、遠隔地のオフィスでも利用できるようにすることが、一連の提携の目的です。

ITmedia 脅威の質にも変化が見えますね。

トーマス 以前のハッカーは、ネットワークレベルで攻撃を仕掛け、Web改ざんやサーバのダウンなどを試みてきました。この場合、攻撃方法は25〜30種類程度と限られており、しかも手口は周知のものですから対応も可能です。しかし最近は、攻撃がより高度化しています。具体的にはアプリケーションレベルでの攻撃です。こうしたより危険な攻撃に対応するには、IDP(不正侵入防御)やウイルス対策など、さまざまな技術を組み合わせて対処していく必要があります。

ITmedia 地方の支社や営業所など、防御すべきポイントが増えれば増えるほど、運用/管理が問題になります。

トーマス そのとおりです。何千もの事業所が1つのネットワークに接続するとなると、デバイスの管理が問題になってきます。解決策は、管理コンソールや管理ツールを活用することです。中央から一元的に監視を行い、どこか1カ所でウイルス発生などのセキュリティ侵害が発生すればアラートを出して、即座に対応を取る体制を整えておけば、各サイトにITやセキュリティに詳しい人間を配置する必要はありません。

 またこうした一元的な管理体制があれば、問題が発生したら即座にポリシーを変更し、その新しいポリシーを配布したり、機器や端末のソフトウェアやネットワーク設定をチェックし、自動的に最新のものに変更するといったことも可能です。NetScreenではこれを「NetScreen-Security Manager」というツールで実現しています。これにより、人的リソースが足りない場合の問題を解決できます。

 もう1つ、ブロードバンドで拠点を接続している場合、ISP側の問題で接続ができなくなることもあります。このようにリンクが落ちたときに自動的にダイヤルアップ接続を行ったり、バックアップ回線に切り替える機能も重要です。われわれの製品は、こうした接続性の問題に対応する機能も内蔵しています。ユーザーは、問題があったことにすら気付かずに利用できます。

ITmedia 先ほど、アプリケーションレベルでの攻撃が増えているという指摘がありました。これに対処するには、さらに高度で高速な処理が必要になりますね。

トーマス ネットワークレベルの攻撃に対処するだけならば、パケットのヘッダーだけをチェックすれば済みます。しかしアプリケーションレベルの攻撃を検出するには、流れてくるパケットをいったんストリームとして組み上げ、検査を行った後にまたばらばらのパケットに戻すという作業が必要で、非常に多くのコンピューティング能力を必要とします。

 NetScreenの強みはまさにここにあります。他にはない専用ASICを用いることで、Pentium 4でも不可能な高い処理能力を実現しているからです。われわれはちょうど第4世代ASICの開発を終えて、その能力の検証に入ったところなのですが、このASICは1個で、20個から24個分のPentium 4と同等の処理能力を発揮します。ディープ・インスペクションや不正侵入の検出に十分な処理能力であり、これがわれわれにとって強力なアドバンテージになっています。

 ファイアウォール技術は、単純なパケットフィルタリングからステートフル・インスペクションへと発展してきました。そしてわれわれは、レイヤ7レベルで保護・検出や侵入防止を行うディープ・インスペクションという、ファイアウォールの新しいカテゴリを作り出したと思っています。競合の中には同等の機能を実現しているところもありますが、そのほとんどはソフトウェアベースの製品であり、パフォーマンス上の問題があります。その意味でわれわれは、競合他社の1年半から2年は先を行っていると思います。

ITmedia 2004年のロードマップを教えてください。

トーマス 今後18カ月のうちに、まず、従来のステートフルインスペクション型ファイアウォールや侵入防止といった機能と、アプリケーションレベルのセキュリティのさらなる統合を図っていきたいと考えています。今のところアプリケーションレベルの攻撃はWebベースのものが多いのですが、今後は他のアプリケーションもターゲットになるでしょう。そうした他のアプリケーションについても保護する機能を統合していくつもりです。

 パフォーマンスは引き続きポイントになるでしょうし、大規模ネットワークでは管理機能もますます重要になります。管理機能を改善し、より使いやすく、インテリジェントなものにしていく計画です。

ITmedia 買収によってSSL-VPN機能もラインナップに加えましたが。

トーマス SSL-VPNは、今後ますます重要になっていくでしょう。IPSec-VPNに比べると、SSL-VPNには使いやすく、管理が容易でアクセスしやすいといったメリットがあります。リモートアクセスについていえば、今後1〜2年のうちにSSL-VPNが90〜95%を占め、標準的な手法になると予測しています。われわれは昨年、Neoterisを買収しました。同社の製品は機能や品質、安定性や実績などの面で優れた製品です。日本の顧客とも話をしていますが、多くがSSL-VPNに高い関心を示しています。NetScreenではSSL-VPNにも注力していきます。

ITmedia 今年のもう1つの傾向として、エンドポイント(端末)のセキュリティがより重視されるのではないでしょうか?

トーマス エンドポイントセキュリティについては、Cygateと提携を結んでいます。協力してよりよいエンドポイントセキュリティの実現に取り組み、リモートアクセスの強化を進める方針です。

ITmedia これからの1年間のうちに、どういった脅威が登場すると予測しますか?

トーマス われわれは既に、ネットワークレベルの脅威からWebアプリケーションレベルの脅威へという変化を体験しました。次は、Webアプリケーション以外のさまざまなアプリケーションが対象になると考えています。しかもハッカー側の手口は、ハイブリッド化し、さらに洗練されたものになっています。

 残念ながら、これらに対する完全な対策を期待することはできません。ですが、可能な限り脅威を抑えていくべきでしょう。それにはファイアウォールによって、ネットワークレベルのみならずアプリケーションレベルの攻撃に対処していくことです。それも、既知の攻撃だけでなく、未知の攻撃についても防止できる技術が求められます。これが今後の課題の1つでしょう。より深いレベルのインスペクションを実現し、次の行動を予測しながら、未知のアプリケーションレベルの攻撃を阻止できるような技術が必要でしょう。

ITmedia セキュリティに対する認識はずいぶん高まりましたが、それでも問題はなくなりませんね。

トーマス 今の状況は、いちセキュリティ企業としてはある意味ありがたいことですが、ユーザーにとっては惨憺たる状態だと言えます。ユーザー側の意識は高まり、対策が取られるようになっていますが、完全な解決はありえないでしょう。この状況は当面続くでしょうね。攻撃側の手法もまた高度化しており、ツールをダウンロードするだけで、子供ですら洗練された攻撃を仕掛けることが可能になっていますから。PCやネットワークというものが存在する限り、この問題はなくならないと思います。



関連記事
▼ブラウザ用セキュリティ技術SSLがVPNを加速する
▼トレンドマイクロ、ウイルス対策とファイアウォール/VPNを統合したセキュリティアプライアンス発表
▼NetScreen、SSL-VPN企業を買収完了

関連リンク
▼NetScreen Technologies

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.