Web環境全体を守るConnectra――セキュリティマネジメントセミナーより

チェック・ポイントの西野謙一氏は、「セキュリティマネジメントセミナー」の中で同社のSSL VPNアプライアンス「Connectra」について説明した。

[ITmedia]

　ソフトバンク・パブリッシングは10月7日、8日の2日間にわたって、第5回目となる「セキュリティマネジメントセミナー」を開催した。

　この中のセッションに、チェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ技術部部長代理を務める西野謙一氏が登場し、通信経路だけでなく、エンドポイントやバックエンドの企業内システムも含めたWeb環境全体を保護することの重要性を強調した。

　自宅や空港、あるいはコーヒーショップなど、たとえどこにいようと必要なときに、企業のリソースに安全にアクセスしたいというニーズはますます高まりつつある。その解決策として提示されてきたのが、使いやすく、導入／運用が容易なSSL VPNだ。

　しかし西野氏によると、このSSL VPN自体がまだ、いくつかのリスクに取り囲まれているという。まずSSL VPNゲートウェイそのものを攻撃から守る手段が必要だし、SSL VPN経由で接続を試みるユーザーの端末に悪意あるプログラムが仕込まれている可能性も否定できない。SSL越しに企業内部へのアクセスが許可される以上、端末に仕込まれたワームや不正プログラムが直接、重要なサーバを狙ったり、アプリケーションレベルの攻撃を仕掛ける恐れもある。その意味で、接続経路だけでなく端末（エンドポイント）やバックエンドシステムも含めたセキュリティが必要だというわけだ。

チェック・ポイントのセキュリティ技術部部長代理、西野謙一氏

　チェック・ポイントではそうした考え方に立って、SSL VPNアプライアンス「Connectra」をこの5月にリリースした。Connectraの特徴は、SSL VPNのトンネルを通じて送られるトラフィックをアプリケーションレベルで監視し、さまざまな攻撃からSSL VPNゲートウェイとバックエンドのサーバを保護できること。そして、接続を試みるクライアント端末側についてもセキュリティチェックを行い、重要なデータの漏洩を防ぐことだ。

　1つめの特徴を可能にしているのが、同社が独自に開発した「Web Inteligence」技術である。ネットワークトラフィックを解析し、その中に含まれたバッファオーバーフローをはじめとする悪意あるコードを監視、補足する「Malicious Code Protecor」技術を通じて、サーバに対する攻撃をブロックすることができる。また文字列に対する検査も可能なため、クロスサイトスクリプティング、SQLインジェクションといったアプリケーションレベルの攻撃にも対処が可能だ。

　一方クライアント側については、同社が買収したZone Labsの技術などを統合して、接続前から接続中、さらにはセッション終了後のセキュリティを確保するという。

　Connectra経由で社内に接続する際には、まず端末内をスキャンしてトロイの木馬をはじめとする不正なプログラムが存在しないかどうかをチェックする。ここで安全と判明したあとで初めてポータルサイトで認証を行い、システムへのアクセスが許可される仕組みだ。認証の強度に応じて、接続を許すリソースを柔軟に変更することも可能だ。

　こうして仕事を終えてセッションを終了させた後、端末内に残されたデータやセッションIDを第三者に盗み見られることのないよう、SSL VPNゲートウェイ側でCookieを捕捉するほか、キャッシュの制御も行われるという。

　西野氏は最後に、「チェック・ポイントでは境界セキュリティとWebセキュリティ、内部セキュリティという3つのエリアに注力していく」と述べ、ConnectraのほかVPN-1やInterSpect、さらにはZone Labのエンドポイントセキュリティ製品群を通じて包括的な対策を提供していく方針を強調した。