「今、ネットワークで何が起きているか」を把握できるチェック・ポイントの新製品

チェック・ポイントは、同社のファイアウォール／VPN製品やさまざまな機器からログを収集し、ネットワーク全体で何が起きているのかを把握するツールを発表した。

[ITmedia]

　チェック・ポイント・ソフトウェア・テクノロジーズは2月8日、同社のファイアウォール／VPN製品「Firewall-1／VPN-1」のほか、他ベンダーのネットワーク機器や不正侵入検知システム（IDS）からログを収集、分析し、ネットワーク全体で何が起きているのかを把握できるよう支援する「Eventia Analyzer」を発表した。

　企業ネットワークを取り巻くさまざまな脅威に的確に対応するには、どのような攻撃がどういった頻度で、どこを狙って行われているかを把握することが大前提となる。しかしその分析を行うには、ファイアウォールやルータ／スイッチ、Webサーバなどが吐き出す大量のログを収集し、その中からノイズを取り除いて関連するものを結び付け、深刻ではないものと明らかに脅威となり得るものを見分けるという作業が必要だ。

　中には、こういった作業を自前のツールやスクリプトで自動化し、精度の高いアラートを実現しているサービスプロバイダーや大手企業もあるが、それでも経験とノウハウを備えた担当者が不可欠だし、相当の手間と時間がかかる。だからといってせっかくのログやアラートを無視したままでは、脅威を見逃したり、逆に無駄なところにセキュリティ投資を重ねることにもなりかねない。

　チェック・ポイントのEventia Analyzerは、そういった問題を解決するための製品だ。「さまざまなところからログが取れるけれども、情報過多に陥り、扱いきれていない。こうした情報を整理し、うまくセキュリティ強化に生かしたいという顧客の声を元に開発された製品」（同社技術部長の卯城大士氏）だという。

Eventia Analyzerの管理インタフェース。既に米国、ドイツには評価を進めている顧客企業もあるという

　もともと、同社の管理ツール「Check Point SmartCenter」やパートナーのツールを組み合わせることでも、ログやアラートを確認できた。しかし「従来はファイアウォールならばファイアウォール、WebならばWebと、個々の製品での分析にとどまっていた。これに対しEventia Analyzerでは、1つのパケットがネットワークに入ってから目的地にたどり着くまでの流れを把握し、各々のポイントにおける意見を聞いた上で総合的に安全性を判断できる」（卯城氏）。

　Eventia Analyzerは、ログ情報の正規化、相関分析といった処理を行う本体のほか、ログを収集する「Log Server」、管理／レポート確認などを行う「Eventia Server」などから構成されている。

　ログの収集対象は同社製品のほか、シスコシステムズのルータ／スイッチやインターネット セキュリティ システムズのIDS製品、シスコおよびジュニパーネットワークスのファイアウォール製品などだ。さらに、ApacheやSnortといったオープンソースのソフトをサポートするほか、標準のSyslogに対応した。ログ収集に当たってこれら製品に専用エージェントなどを導入する必要はない。

　既に市場には、シマンテックの「Symantec Incident Manager」やArcSightの「ArcSight ESM」など、同じようにイベント情報を収集し、相関分析を行ったうえでリアルタイムに警告を発する製品が登場している。

　しかし、同社のファイアウォール／VPN製品に加え、脆弱性情報提供サービス「SmartDefense」と連動でき、ダイナミックに対応できることが特徴の1つだと卯城氏。さらに、「一般にこうしたツールは環境に応じたチューニングが必要で、導入やイベント抽出のポリシー設定などに手間がかかるが、われわれわれはいくつか『事前定義』を提供し、容易に導入できるようにする」（同氏）。

　Eventia Analyzerの対応プラットフォームはWindows 2000 ServerとSolaris、RedHat Linuxで、3月より出荷が開始される予定だ。価格はログ収集の対象となるデバイス数によって異なるが、最小構成で288万円からとなる。

　「Eventia Analyzerによって、システム全体が1つの大きなIDSになる。これにより、一歩進んだ積極的なセキュリティ管理を実現できる」（卯城氏）。

エンドユーザーに「判断」させない仕組み

　チェック・ポイントは同時に、クライアント端末をさまざまな脅威から保護するエンドポイントセキュリティ製品「Check Point Integrity」の新バージョンも発表した。

　Check Point Integrityは、Zone Labsの買収に伴いラインナップに加わったパーソナルファイアウォール製品だ。新バージョンの6.0では、パーソナルファイアウォール最大の問題点の解決を試みる機能が搭載された。

　というのも、実際にこの手のエンドポイントセキュリティ製品を導入すると分かるが、何か新しいプログラムをインストールしようとしたり立ち上げようとするたびに、「警告」のポップアップウィンドウが表示され、「本当に動かしてもいいですか？」とユーザーに選択を迫ってくる。これが、コンピュータにあまり関心のないユーザーにとっては混乱の種となり、問い合わせに応じる管理者の負担を増やす結果になっていたと同社は説明する。

　そこでCheck Point Integrity 6.0では、SmartDefenseサービスと連携し、チェック・ポイント側で、プログラムの種類とその挙動に関するポリシーをデータベース化しておくようにした。PC内でプログラムが立ち上がったりネットワークへのアクセスを試みようとすると、バックエンドでデータベースへの問い合わせが行われ、その結果に沿って挙動を制御する仕組みだ。これにより、エンドユーザーの関与を極力抑えることができる。

　当該プログラムがデータベースに登録されていない場合の挙動は不明だが、管理サーバを通じて、ユーザーの判断の自由度を広げるなどのカスタマイズも可能ということだ。

　新バージョンではほかに、バッファオーバーフローの脆弱性を狙った攻撃を防止する「Malicious Code Protector」技術が実装されたほか、対応プラットフォームの拡大なども図られる。価格は従来と変わらず、25クライアントで40万円程度から。SmartDefenseサービスは、同じく25クライアントで年額7〜8万円程度を予定している。