「名は体を表す」を地で行く2つのベンチャー企業：RSA Conference 2007 Report

大手ベンダーへの統合が進むセキュリティ業界だが、元気なスタートアップ企業も健在だ。RSA Conferece会場からのレポート。

[ITmedia]

　スパイウェアやトロイの木馬、ボットといったマルウェアの感染予防法は、最新のパッチの適用とウイルス対策ソフトの更新だ。そしてもう1つ大事なのが、「信頼できないURLを不用意にクリックしないこと」「怪しげなWebサイトにほいほいアクセスしないこと」だ。

　だが、大きな問題が残っている。これからアクセスしようとしているWebサイトが信頼できるのかできないのかを、どうやって判断すればいいのだろうか？　悪意あるサイトというのは、いかにも無害そうな普通のサイトを装うことが多いし、URLだけで判断を下すのは難しい。

　この問題を解決するツールの1つに、McAfeeの「SiteAdvisor」がある。Webブラウザのプラグインとして動作し、これからアクセスしようとするサイトが安全か、それとも危険なのかを、信号機のように緑や赤の色で表示し、警告する。サーチエンジンで検索を行った際に同種の警告を表示してくれる機能も備えている。

スーパーボウル・ハッキングも防げた？

　米Exploit Prevention LabsはRSA Conference 2007の会場で、SiteAdvisorと似たようなアプローチを取るツール「LinkScanner Pro」を紹介した。同社は、ベンチャー企業が集う「Innovation Station」のエリアに陣取ったベンチャー企業の1社だ。

　SiteAdvisorがブラウザのプラグインとして動作するのに対し、LinkScanner Proは、クライアントPC向けのアプリケーションとして動作する。Webブラウザ上のリンクを右クリックすると、ジャンプ先の情報が安全か危険かを示し、ユーザーに注意を促す仕組みだ。SiteAdvisor同様、検索結果に安全性に関する情報を加えて表示することもできる。

　LinkScanner Proはさらに、Webサイトの安全性に関する情報を表示するだけでなく、シグネチャに基づいて攻撃コード（Exploit）そのものをブロックする機能も備えている。先日、スーパーボウル会場のWebサイトに不正なスクリプトが仕掛けられる事件が発生したばかりだが、この機能によって、こうしたWeb経由の攻撃を防ぐことができるという。

　「Webにアクセスする以上、ファイアウォールがあっても80番ポートは開けておかなければならない。WebベースのExploitはそこを通り抜けてやってくる」（同社）

　防御用のシグネチャは、ネットワーク上に設置したハニーポットやプローブ、レピュテーション（評判）フィルタなどを通じて収集された情報を基に作成され、15分おきに更新される。

　攻撃者の動きは常に迅速だ。怪しいWebが発見され、通報されたころには別のWebサイトに移動し、攻撃が続けられるケースは珍しくない。このようにダイナミックな攻撃者の動きにほぼリアルタイムに対応できることが、LinkScannerの特徴の1つという。いわゆるゼロデイ攻撃やターゲット型攻撃についても、実際に攻撃につながるものについては、100％ではないにせよ広範に広がる前にブロックできると同社は説明した。

　LinkScanner ProはWindows 2000／XPとVistaで動作し、米国での価格は29.95ドル。将来的にはWeb上のリンクだけでなく、電子メールやインスタントメッセンジャーに含まれるURLへの対応も計画しているという。

日本市場進出に意欲的な脆弱性アプライアンス

　同じくInnovation Stationで製品を紹介していた企業に、NetClarityがある。同社の主力製品は、脆弱性評価アプライアンス「NetClarity Auditor」で、日本市場への進出を積極的に模索しているという。

最近リリースされた、地方拠点向けの「NetClarity Auditor Branch」

　NetClarity Auditorは、企業ネットワーク内の資産情報とそれらに存在する脆弱性情報を収集、管理するアプライアンス製品だ。各リソースのIPアドレスやOS、アプリケーション、開いているポートといった情報を収集するとともに、Common Vulnerabilities and Exposures（CVE）の情報を基に、脆弱性情報をまとめる。中でも特に「弱い」部分を隔離することも可能だ。

　特徴の1つは、こうして収集した自社ネットワークの脆弱性情報と相関付けながら、攻撃を検出し、必要に応じて無効化できることだ。ビヘイビア（振る舞い）分析に加え、攻撃ではなく脆弱性のシグネチャを用いて検出、対処することにより、「脅威に対しプロアクティブに対処することができる」と同社は説明した。主要なレイヤ3スイッチやファイアウォール製品と連動し、Network Admission Contorl（NAC）に基づく検疫、脆弱性の修復といった作業を行えるという。

　もう1つの特徴は、製品名が示すとおり、充実したレポート機能によって監査およびコンプライアンスを支援すること。米SOX法やGBA、カード業界向けのセキュリティ標準「PCI」といった規制／仕様に対応したひな形が用意されており、追って日本版SOX法もサポートする計画という。「ある特定の時点だけでなく、前後の比較を行うことでどの程度改善が図られたかを示し、継続的な取り組みにつなげることもできる」（同社）

　NetClarity Auditorには、数千デバイスをサポートできる大企業向けの「Enterprise」と、中小規模／地方拠点向けの「Branch」の2モデルがある。価格はそれぞれ5万ドルから、3000ドルからとなっており、日本市場での販売に向けいくつかの代理店と話し合いを進めている最中だ。