ネットワーク自体をセキュリティソリューションに連載:そのセキュリティで満足ですか?〜第3回

過剰なセキュリティ対策はエンドユーザーの生産性を低下させるため、今後はユーザーの利便性や運用管理の生産性の考慮も求められる。そこでは「ネットワークそのものをセキュリティソリューションにしてしまう」という発想の転換が有効になる。

» 2006年08月05日 08時00分 公開
[山本篤志,ITmedia]

  山本篤志 (AT&Tグローバル・サービス)

 前回は主に、「既存のセキュリティソリューションはほとんどが個別ソリューションであり、セキュリティ対策の総合的な課題対策にはなりにくい」ことを説明した。製品ベンダー側もこの課題に対応するため、従来からのスレットマネジメント(外部脅威対策)ソリューションをさらに発展させ、現在はIAM(Identity & Access Management)もしくはSIM(Security Information Management)といった統合ソリューションへと進化させようとしている。

既存のセキュリティ対策は「後手」に

 IAMとは文字どおり、システムごとにユーザー個人を管理・識別し、そのユーザーの権限に従ってシステムを開放する機能を持つ。現在は単一ベンダーでのソリューションが大半であるが、今後はベンダーフリーで相互連携するIAMソリューションが求められる。

 一方SIMは、ファイアウォールやウイルスゲートウェイ、IPS/IDSといった各セキュリティツールからログを取得して相関分析をし、脅威やリスクの早期発見を可能にする仕組みのことだ。類似するソリューションとしてSEM(Security Event Management)も存在する。これはSIMがログという過去の事象に対する分析手段を提供するのに対し、現時点で起こっているリアルタイムの現象に対する解析手段を提供するものである。従って、SIMによる対策よりも早い段階で対応が可能というメリットがある反面、「深夜など通常業務時間外のリアルタイム・アラートにどう対処するか」などの運用面での考慮・対応が求められることになる。

先手必勝型のセキュリティ対策をネットワークで実現

 ではCIO(最高情報責任者)はどう対処すべきか。「先手、統合型のセキュリティ対策」を実行すればいい。「統合型」については前述の通り幾つかの手段が登場しつつあるが、問題は「先手型」のセキュリティ対策の実現方法である。

 現在のセキュリティ対策ソリューションは、ウイルス感染など、実際に起こってしまった事象に対する「事後の防御策・対応策」が大半である。SIMに代表されるように、ログ分析のような事後の対応も非常に重要であるが、「危うさの兆しを検知する」というような事前対応はいかに実現すべきか。

 1つの解決策が「ネットワークのインテリジェント化」である。ネットワーク自体が攻撃パターンを熟知し、事前にリスクを察知する。そして外部に開かれたサーバ類にアタックがある前に、ネットワークの中で攻撃を遮断してしまえば、被害はずっと少なくて済む。

 このような「インテリジェント」なネットワークこそ、抜本的なセキュリティ対策として検討すべき事項といえるだろう。例えば、われわれが2004年からサービスを開始している「AT&T Internet Protect」はそれを意識している。これは「全世界のインターネット通信の20%は、AT&Tの網を経由する」という強みを生かし、AT&Tの網内を流れるインターネット・トラフィックを分析、不正なパケットをいち早く検出し、ポータルサイトでリスクやアラート、具体策を通知するサービスだ。

 最大のメリットは、何といってもネットワークそのものがリスクを検出し、その対応策を提示するため、先手のセキュリティ対策を実現できることにある。例えば、2004年5月に世間を騒がせたSasserというワームがある。これはマイクロソフト社のOSの脆弱性を狙うワームであり、特に欧米で大きな被害を出したが、Internet Protectはこの予兆をいち早く検知し、「Sasserが狙うポートを閉じること」というアラートを、マイクロソフトの修正パッチの発表よりも早くユーザーに提供した。ネットワーク全体を監視することにより、特定のポートのみに異常な通信が行われていることを発見できたためだ。

 このアラートを聞いた企業は、被害を蒙(こうむ)ることなくSasserワームの脅威から脱することができたという。ウイルスパターンに基づき危険性を検出するアンチウイルスソフトとは異なる手法を併用することで、よりセキュアな環境が構築できるのだ。

ネットワークのセキュリティ化がもたらす3つのメリット

 ネットワークそのものがインテリジェントになり、セキュリティ対策をすることで企業にもたらされるメリットは3つある。まず、ウイルスやDDoS攻撃の前には、通常とは異なるパケット通信パターンが兆しとして現れるので、こうした明らかに不正なパケットを検出し、先んじて対策を打てること。

 次に、ネットワークそのものがセキュリティ対策を行うので、企業内には最低限のセキュリティ設備を持つだけで済み、TCOを大幅に削減できること。最後に、エンドユーザーの業務を滞らせることなく、継続的なビジネスを可能にすることが挙げられる。

 もちろんネットワークそのものをセキュリティソリューションにすることは、一般的に考えれば非常に困難な話だろう。だがAT&Tのネットワークは世界規模のインフラであり、そこに音声分析やパケット分析で培った技術を組み合わせることで、ネットワークそのものをインテリジェントなセキュリティソリューションにすることに成功したといえる。実際、DoS攻撃に悩んでいた大手金融機関は、テスト運用の段階から「導入したい」と表明したそうだ。

 そしてさらに、ネットワークだけでなく、エンドユーザーのPC1台1台のセキュリティ対策を強化する「マネージド・パーソナル・ファイアウォール」と専用クライアント「ネットワーク・クライアント」なども提供する予定だ。これはエンドユーザーのPCがネットワークに接続される際に、パーソナル・ファイアウォールとVPNクライアントが協調動作し、ウイルスや不正パケットを自動防御するというソリューションである。

 それ以外のネットワーク構成の変更や新たな機器の導入は一切なく、使っていることを意識させないので、第1回で述べたように、適切なセキュリティ対策とエンドユーザーの生産性向上とを両立させることができるというメリットがある。

 ネットワークそのものをセキュリティソリューションにしてしまう、CIOのそんな発想こそがセキュリティ対策を強固なものにする。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ