「今後は融合された脅威に対応する」――CAが提案するウイルス／スパイウェアの統合対策

CAが発表したセキュリティ統合対策ソフト「Integrated Threat Management r8」は、ウイルス対策、スパイウェア対策それぞれの専門性を生かす製品だ。プロダクト担当のフレミング氏は、その重要性を説明した。

[堀見誠司，ITmedia]

　コンピュータ・アソシエイツ（CA）が2月1日に発表した、ウイルス対策とスパイウェア対策の両方の機能を兼ね備える企業向けセキュリティ統合対策ソフト「CA Integrated Threat Management r8日本語版」（ITM r8）は、企業クライアント向けの外的脅威対策について、同社の1つの考え方を示す製品だ。

　ITM r8では、同社のウイルス対策専用ソフト「eTrust Antivirus r8 日本語版」（eTrust Antivirus r8）のアーキテクチャをベースに、CAが買収したPestPatrol社のスパイウェア対策ソフト「eTrust PestPatrol Anti-Spyware Corporate Edition r8日本語版」（eTrust PestPatrol r8）の機能を追加して1つにまとめた。

　もともと別個にあった製品を合わせたものだが、「スイート製品ではなく、技術面ではエンジンがそれぞれの専門性を生かしつつ、管理面では統合されたツールを提供する」と、CAのeTrustセキュリティマネジメント製品群のプロダクト・マネジメント担当ディレクターのスー・フレミング氏は説明する。管理者はWebベースの共通の管理コンソール上から、ポリシー管理、クライアントのステータス管理、スキャンのスケジュール、リポーティングなどの各種作業を行う。管理権限を持たないユーザーでも、検出されたウイルスやスパイウェアの最新のリポートを手元のWebブラウザから閲覧できるようになっている。

eTrustプロダクト・マネジメント担当ディレクターのスー・フレミング氏。買収前のPestPatrolでグループ・プロダクト・マネジャーを務めた

　エンジンやシグネチャを統合すべきかどうかの議論はCA社内でもあるが、「ウイルスのシグネチャの更新頻度のほうがかなり高いこと、同じエンジンで2つの処理を行うと端末のメモリ消費が大きくなることが独立して持たせる理由」だという。

　またITM r8では、万単位の大規模なユーザーサイトに対応するため、ITMのメインサーバ（ITMサーバ）、シグネチャをクライアントに配布する再配布サーバ、そしてクライアントという、階層構造のシステム構成を取っている。ITMサーバがCAのサイトからダウンロードしたスキャンエンジンやシグネチャを基にクライアントソフトを更新する。その際、再配布サーバを中継ポイントとして機能させることで、ネットワークの帯域消費を抑える仕組みだ。また、再配布サーバはポリシープロキシサーバとしても利用できる。

スパイウェア侵入を防ぐ企業側の環境作りも必要

　今回、クライアント端末側のエージェントに新たに追加された「Phone Home」機能も、ネットワークトラフィックを配慮したものだ。

　「設定されたスケジュールに従って、端末が起動時などにステータスに関する情報をITMサーバにアップ（call）し、最新のポリシーが適用されていない場合は、サーバからその端末に対して自動的にポリシーの更新処理を行う。また、端末の検出機能も兼ねており、callしてきた端末をサーバ側のDBに追加するようになっている」（フレミング氏）

　コンソールを使ってサーバ側から端末の一斉検出を行おうとすると、ネットワークの帯域をかなり消費するが、端末からの“自己申告”であれば、小さいトラフィックで済む。

　フレミング氏はMM総研の調査データを引用して、日本でも91％の企業がスパイウェアの問題を認識しているが、実際に何らかのソリューションを導入しているのは8％にとどまることを指摘。一方で、ウイルス対策ソフトの導入はほぼすべての企業で実施されている。さらに、従業員の44％が業務と関係のない、危険性のある不適切なWebサイトにアクセスし、39％が何らかのダメージを受けているという。ソニーのrootkitのような一見合法に見えるツールがその領域を超えて違法的な活動を行ったり、ボットネットがスパイウェアをリレーさせたりして、ユーザーの情報を収集するケースもある。

　「スパイウェアのダメージは単体によるものではない。ワームやトロイの木馬が端末に感染する際に何らかのスパイウェアをもたらし、ウイルス対策でワームが駆除されてもスパイウェアが検出されずに依然端末上に残ってしまい、フィッシングやハッキングなどのダメージを与える。つまり、最近のウイルスとスパイウェアは別々に被害をもたらすわけではなく、融合した脅威として大きな被害を与えている」（同氏）。rootkit以外にも、その振る舞いを監視するだけでは検出が難しい高度なプログラムもあるが、ITMでは専用のエンジンで検出・駆除が可能だ。

　フレミング氏は、企業のスパイウェア対策として、まず（被害時のほとんどを占める）Windowsクライアント向けのソリューションを導入することが先決だという。だが予算上、ウイルス対策とは別に導入することが難しいこともある。そのような場合は、「従業員を教育したり、無償版のWinZipや、KaZaAのようなP2Pファイル共有ソフトなどを使わずに済むよう業務に必要なツールはちゃんと提供すること」。また、サイズの大きなファイルをメールで送れるようなポリシー設定や必要な帯域を与えることも検討すべきだとした。