ニュース
2004/05/14 20:38 更新


SonicWALLが語る、ファイアウォールがあってもウイルス被害に遭った理由

われわれはなぜこの1年も、ウイルスの襲来と対策に追われたのだろう? SonicWALLのマービン・アラムギア氏が、従来のセキュリティ技術に欠けていた点について語った。

 「この数年ほど、ファイアウォールの向こう側にあるOSやアプリケーションそのものがターゲットにされる傾向が高まっている。SlammerやBlasterがその例で、これらはOSやアプリケーションを直接狙ってきた。しかも、これらはマイクロソフト製品だけの問題ではない。ICQやAOL IM、Ciscoのルータなど、さまざまなベンダーの脆弱性が公表されつつある。IMやP2P型ファイル共有アプリケーションの脆弱性が狙われようとする今、問題はさらに深刻化しているといえるだろう」

 ファイアウォール/VPNアプライアンスベンダーとして知られてきたSonicWALLのプロダクトライン・マネージャ、マービン・アラムギア氏はこのように述べる。「ファイアウォールのところで管理するだけでは不十分。アプリケーションレイヤーでトラフィックを管理、コントロールしなければならない」(同氏)。

アラムギア氏

IDP機能やクライアントソフトウェアの強化などについて語ったSonicWALLのアラムギア氏

 この1〜2年ほどの間にたびたび来襲したウイルスやワームによって、多くはファイアウォールを導入していたにもかかわらず、企業は大きな被害をこうむった。その理由として同氏は、実装されていた技術の多くが、ネットワークレベルでのアクセスコントロールを主とするステートフルインスペクションだったこと、外部からの攻撃に備えてはいても、内部からの攻撃に対する備えが欠けていたことの2つを挙げる。

 「ステートフルインスペクションだけでなく、ペイロードの中身をチェックするディープパケットインスペクションや不正侵入検知、不正侵入防御といった多層型セキュリティを実装することが重要だ。それも、ネットワークの境界部分だけでなく、社内やリモート環境など、すべてにまたがって保護を提供することが大事だ」(アラムギア氏)。

規模にかかわらず導入できるIDPを

 こういった状況を踏まえ、SonicWALLは6月中にも、新たに侵入検知/防御機能を提供する計画だ。ディープパケットインスペクション技術に加え、TCPリアセンブル/デフラグメンテーション技術を実装し、トラフィック全体に対して1700個のシグネチャに基づく検査を実行。これにより、アプリケーションレベルの攻撃をブロックする。

 「これまでのIDS/IDP製品の大半は、企業のコア部分に配備されてきた。だがわれわれが提供する機能は、ネットワークの規模を問わず、VPNで接続されているリモートオフィスやリモートユーザーにも導入できる。しかもこれは、企業内に入ってくるトラフィックだけでなく、外に出ていくものについてもコントロールできる」とアラムギア氏は言う。

 この機能では、セグメントや部門ごとにセキュリティゾーン/ポリシーを設定できる。MSBlast(Blaster)蔓延の際には、ネットワーク内部に持ち込まれた従業員のPCからのワーム感染が問題になった。社内をいくつかの「ゾーン」に分け、ゾーン間でIDP機能を利用すれば、ウイルスの蔓延や機密情報へのアクセスなどをブロックできる。こうした悪意ある攻撃や挙動をログとして記録する監査機能もサポートする。

 最近導入が広まっているIMやファイル共有アプリケーションに対応していることも特徴の1つになるという。「たとえば、チャットは許可しながらも、ファイルの送受信はブロックするといったきめ細かい管理が可能だ」(アラムギア氏)。今後は同様に、電子メールのフィルタリングにも取り組んでいく方針だ。

 同氏によると、現在のIDS/IDPシステムにはもう1つ課題がある。検出の正確性に欠けることだ。これも「ターゲットを絞って管理を行うことで解決できる。たとえば社内にOracleデータベースがないのならば、Oracle用の攻撃は無視するといった具合に、シグネチャの中からその企業に関係するものだけを取り出して適用できる」という。

エンドポイントのセキュリティ管理

 一連の機能を効果的に利用するため、SonicWALLではクライアントソフト「Global Security Client」の新バージョンもリリースする予定だ。この新ソフトはVPN設定に加え、ポート開閉のコントロールといったパーソナルファイアウォールとしての機能も搭載し、端末そのものを保護する。

 このクライアントソフトの設定は、管理者側から、セキュリティポリシーに基づいて一括してコントロールできる。クライアントに導入されているウイルス対策ソフトの更新状況もチェック可能で、将来的には「OSのパッチの適用状況までを確認できるような方向で開発していく」とアラムギア氏は述べている。

 最後の、そして常に付いて回る課題が、管理コストだ。セキュリティ管理に要するコストを抑えるため、SonicWALLでは管理ツールのインタフェースを簡素化。必要なシグネチャにチェックを入れるだけで機能をオンにできるようにした。さらに、複数のセキュリティ機能を1カ所から管理できるような、Webベースのコンソールを提供する計画だ。

 「インターネットに接続しなければ一番安全だが、それでは仕事にならなくなってしまう。セキュリティと生産性のバランスをどこでとるか、リスクとインパクトを考慮しながら企業ごとに見出していく必要がある」(アラムギア氏)。そのための統合管理コンソールを提供していきたいとしている。

 「われわれは、単なるファイアウォール/VPNのベンダーではない。これまでの概念を脱皮し、モビリティや生産性、ワイヤレスに関する機能も含めたトータルセキュリティを提供する会社へと変わろうとしている」(同氏)

関連記事
▼SonicWALL、6月より不正侵入防御サービスを提供
▼SonicWALL、2種類のOSで「シンプルさ」と「多機能性」の両方をカバー

関連リンク
▼SonicWALL

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.