問題発生「前」にプロアクティブな防御を実現するInterSpect

内部セキュリティを実現する「InterSpect」は、ACLやパッチ適用では防ぎきれない脅威から、企業システムを保護してくれるという。

[ITmedia]

　チェック・ポイント・ソフトウェア・テクノロジーズは10月27日、都内にて「Check Point Technology Tour 2004」を開催し、同社のセキュリティ技術と今後のロードマップについて紹介した。

　この中で、イスラエル本社のテクノロジリーダーを務めるニッサン・チェスラー氏は、前日新バージョンをリリースしたばかりの内部セキュリティゲートウェイ「InterSpect」に関する説明を行った。

IPSを越えたInterSpect

　Yankee Groupの調査によれば、企業の80％がワームやウイルスの被害を受けており、しかもその少なからぬ割合が外部ではなく内部からの攻撃であると推測されるという。にもかかわらず、Meta Groupによると、効果のある内部セキュリティ対策を実現している組織は10〜20％にとどまっている。

　もちろん、何も手立てがないというわけではない。アクセスコントロールリスト（ACL）や認証、デスクトップでのウイルス対策ソフト導入、パッチ管理など、リスクを削減するためさまざまなアプローチが試みられてきた。しかし「これら既存の手段には問題がある」とチェスラー氏は言う。

　たとえばACLはポート単位で通信をブロックし、脅威の侵入を防ぐ方法だが、これだと「本来正しいサービスまでがブロックされ、利用できなくなってしまう」（同氏）。アンチウイルスやIDSは基本的にリアクティブな対処方法であり、最新の脅威に対処することは困難だし、パッチを適用するといっても前者に浸透させるまでには時間がかかり、悪意あるコードに付け入る隙を与えかねない。

　こういった問題を踏まえてCheck Pointが開発したソリューションが、InterSpectだ。LANプロトコルを深いレベルでチェックし、業務への影響を最小限に抑えながら危険なトラフィックだけをブロックするほか、LAN内をセグメント分けして脅威の封じ込めを図ることができる。

　またステートフル・インスペクションやIntelligent Worm Defender、プロトコル適合検査といったさまざまな技術の組み合わせにより、「悪用コードが作成される前、実際に影響が生じる前に、攻撃を未然に防止できる」（チェスラー氏）。

　「InterSpectはIPSを越える防御を提供し、境界からネットワーク内部、デスクトップレベルにまで至るマルチレイヤの階層型セキュリティアーキテクチャを補完するものだ」（同氏）。

クライアントセキュリティを統合

　そのInterSpectは、10月26日に新バージョンの2.0が発表されたばかりだ。

　今回のバージョンアップでは、InterSpectがチェック・ポイントの管理アーキテクチャに組み込まれ、「SmartCenter」コンソールから一元的に管理を行えるようになった。また、Application Intelligence機能が、POP3やIMAP4といった、広く利用されながら「攻撃に対して弱い」とされてきたメールプロトコルに適用され、電子メールの保護も加わっている。

　さらに、Zone Labsの買収によってラインナップに加わったエンドポイントセキュリティ製品「Integrity」「Integrityサーバ」との統合によって、「文字通り『クライアントコントロール』が可能になり、問題のある端末を隔離して社内での蔓延を防げるようになった」とチェスラー氏は述べている。

　「セキュリティパッチはリアクティブな対応であり、適用されるまでの時間差や副作用、検証の必要性といった問題点がある」（同氏）。せっかく適用したパッチも、攻撃者がリバースエンジニアリングを行い、攻撃コードに小さな改変を加えることにより、無効化される可能性もあるという。

　チェスラー氏は、パッチが抱えるこうした問題に対する最良の解決策が、InterSpectとIntegrityとの連携だとした。「この組み合わせによって、企業セキュリティポリシーへの準拠を可能にし、問題が発生する前にプロアクティブに防御を提供できる」（同氏）。

「他社には数年先行」

　最近では、競合他社の中にも「内部セキュリティ」にフォーカスした製品を提供するところが登場してきた。しかしチェスラー氏は、プロアクティブな防御や統合された管理機能といった面で、InterSpectは他社の追随を許さないと述べている。

「引き続き緊密に統合されたソリューションを提供していくし、高度なプロトコルのサポートに取り組む」と述べたチェスラー氏

　「われわれは（内部セキュリティという）市場にいち早く参入しており、多くのリソースと時間を新機能のために費やしてきた。新バージョンで実現したIntegrityの統合やデスクトップ上の脅威の検出機能にしても、数年分は他社に先行している」（同氏）。

　デスクトップの検査／検疫機能という意味では、Cisco Systemsの「NAC」やMicrosoftの「NAP」が注目を集めているが、「安全なネットワークを構築しようという意味では似ているが、彼らの構想はまだ『アイデア』段階に過ぎない。これに対しわれわれは、高いレベルで統合されたソリューションを、すぐ利用できる形で提供できる」という。

　だからといって、InterSpectさえ導入すればすべてのセキュリティ問題が解消されるとは考えていないという。「大事なのは、セキュリティに対する認識を高めてもらうこと」（チェスラー氏）。

　Check Pointでは、Application Intelligence機能をはじめ、さまざまな先進的な機能や技術を提供することにより、「より高いレベルのセキュリティの実装を支援していく」（同氏）。

　「大事なことは、企業としてのセキュリティ理念を打ち立てること。セキュリティポリシーなしに、企業のセキュリティは確立できない」と同氏は述べ、そのセキュリティポリシーの実装を手助けしていきたいと述べている。