大規模感染からインフラを守る「逆」ファイアウォール

三井物産セキュアディレクション（MBSD）は、米Mirage Networksのセキュリティアプライアンス製品「Mirage Inverted Firewall」の国内販売を開始した。

[高橋睦美，ITmedia]

　三井物産セキュアディレクション（MBSD）は11月16日、米Mirage Networksと販売契約を結び、同社のセキュリティアプライアンス製品「Mirage Inverted Firewall」の国内販売を開始した。

　Mirage Inverted Firewallは“逆ファイアウォール”という名称が示すとおり、伝統的なセキュリティ製品とはちょっと異なるアプローチに基づいて、システムをワームなどの脅威から保護する製品だ。かつてIntelやCompaqといった企業でITマネージャを務めた経験があるというMirage NetworksのCTO、マーク・ウィルキンソン氏は、「自分が欲しいと思う製品が市場に存在しなかった」ことから、Mirage Inverted Firewallを開発したという。

　「アンチウイルスソフトやファイアウォール、不正侵入検知システム（IDS）などさまざまなセキュリティ機器を試してみたが、それぞれに欠けている部分があった。そこで、まったく異なるアイデアに基づき、インフラ自体を保護する製品を作った」（ウィルキンソン氏）。

攻撃元をだまして防御

　Mirage Inverted Firewallが目的としているのは、高い感染力を備え、ネットワークに侵入したとたん急速に拡散するワームに代表される「大規模攻撃」を食い止め、ネットワーク全体が麻痺に陥るような事態を防ぐことだ。そこで、ウイルス／ワームといった悪意あるコードの拡散パターンを踏まえた防御機能を搭載している。

　こうしたワームは次なる感染先を求め、一定範囲のIPアドレスをスキャンすることが多い。そこでMirage Inverted Firewallは、社内で利用されていないIPアドレスの一覧表を作成しておき、そうした未使用IPアドレスに対する不審な通信の有無によって、攻撃を検出する。

　いわゆるIDSとは異なりシグネチャに頼る必要がないため、新種の脅威にも迅速に対応できること、時間軸およびターゲットに対するパケット数などに基づいて分析を下すため、誤検出の確率が低いことなどが特徴だ。「世の中に誤検出のない製品など存在しない。けれど、Mirage Inverted Firewallの誤検出率は他製品に比べても非常に低く、かなり正確に攻撃を検出できる」（ウィルキンソン氏）。

Mirage NetworksのCEO、トニー・ジェニングス氏（左）とCTOのマーク・ウィルキンソン氏いわく、「Inverted Firewallは、ファイアウォールでもあり、IDSでもあり、ハニーポットでもある」という

　また場合によっては、Mirage Inverted Firewallはターゲットを装い、攻撃元にカモフラージュのパケットを送り返す。あるいは、攻撃元に返すARPレスポンスを「偽造」し、本来のターゲットではなくMirage Inverted FirewallのMACアドレスを教え込む。この結果、攻撃元マシンはMirage Inverted Firewall以外のホストと通信を行えなくなり、ネットワークから実質的に隔離されることになる。

　いうなれば「ハッカーによる攻撃を待ち受ける『ハニーポット』というよりも、アグレッシブに脅威を検出する『ハニーネット』的な性質を備えている」とウィルキンソン氏は述べる。こうした機能は、ワームが吐き出す大量のトラフィックによってネットワーク帯域が占拠され、DoS状態に陥るといった事態を防ぐことにもつながるという。

　これを逆手にとって、MACアドレスやIPアドレスを偽造して攻撃を仕掛けるワームが登場する可能性もないとはいえないだろう。だが、レイヤ2でのパケット／フレーム偽装は困難なうえ、Mirage Inverted Firewallはスプーフィング検出機能を備えているという。そして、人によるハッキングならばともかく、大規模感染型の脅威がMirage Inverted Firewallによるジャミング行為を見破るのは困難だ、という見方だ。

ビジネス継続性の確保に向けて

　Mirage Inverted Firewallはスイッチのミラーポートに接続して利用する。ほかにエージェントソフトなどの導入は必要なく、ネットワーク構成に大きな影響を与えることなく導入できる点も特徴という。

　したがって、単なるセキュリティ機器としてだけでなく、「ネットワークにどのようなトラフィックが流れ、どの程度負荷がかかっているのかを可視化できるため、サービスレベルの監視やインフラ増強にかかわる意思決定支援にも利用できる」（ウィルキンソン氏）。

　同社もMBSDも、この製品はファイアウォールやIDSといった既存のセキュリティ製品を入れ替えるものというより、補完するものと位置付けており、中〜大規模の企業向けに販売していく。

　また、「いくつかの通信企業やサービスプロバイダーとの間で、Mirage Inverted Firewallを用いたマネージドサービスの提供について話し合いを行っている」（MirageのCEOを務めるトニー・ジェニングス氏）。国内でもMBSDが、同様のサービス提供に向けて検討を進めているということだ。

Mirage Inverted Firewallの本体

　Mirage Inverted Firewallはスループットによって2モデル用意されており、価格は400Mbps対応の「Model 145」が270万円、1Gbps対応の「Model 245」は365万円となる。

　いつ登場するか分からない大規模感染型ワームへの備えとして、この投資が妥当かどうかの判断は分かれるところだろう。しかし、これだけネットワークが普及した今、ネットワークインフラを保護することが、ビジネスの継続性につながるとジェニングス氏は述べる。「一度でもこうした脅威による被害を受ければ、その影響は甚大だ」（同氏）。

　ネットワークの普及にともない、企業の内と外とを隔てる境界はあいまいなものになっている。それは同時に、脅威の質の変化ももたらした。ファイアウォールなど境界部の防御で食い止めるべき外部からの脅威に代わり、内部で急速に感染を広める脅威が増加している。

　その上今後は、「拡散手法はそう変わらないだろうが、PCに直接的な被害を及ぼす悪質なペイロードを持った脅威が登場する可能性がある」（ウィルキンソン氏）、「個人レベルでのいたずらを超え、組織的犯罪と結びつく傾向が高い。テロリストグループなど悪意ある集団がスポンサーとなり、大きな金銭的損害を与える可能性がある」（ジェニングス氏）。そうした脅威からインフラを保護していくことが、大きな課題になるだろうと述べている。