ブラウザのセキュリティを再考する：揺らぐ技術の積み重ね（2/2 ページ）

[Andrew Garcia，eWEEK]

^最新技術も根本が揺らぐ

　最近では、WebレピュテーションバリデーションやインラインのWebトラフィックスキャニング、スクリプトブロッキング技術といった比較的新しい技術がブラウザに拡張機能として追加されているが、アンチウイルスベンダーは自社のプラットフォームに、より総合的な行動分析型機能を組み込む方向で議論している。

　従来、こうしたブラウザのアドオン技術は「ならず者の天国」、すなわちMicrosoft WindowsベースのコンシューマPC市場を直接のターゲットとしてきた。大企業では、専任の管理者がネットワークベースやホストベースの重装備セキュリティソリューションを導入し、あらゆるタイプの脅威に備えてきたため、社内ユーザーはまだそれほどWebの脅威に苦しめられてはいない。

　例えば、侵入防止アプリケーションやインラインWebゲートウェイアプライアンスは、ボットネットのアウトバウンドトラフィックとマルウェアに汚染されたインバウンドWebトラフィックの両方を検出し、ブロックできる。しかし、ネットワークベースのソリューションは、ユーザーがモバイルデバイスを携帯してコーポレートネットワークの外に出てしまうと、保護することはできない。

　そうしたことから、企業向けの製品を開発するセキュリティソリューションベンダーは、不審なトラフィックをキャッチしてシステムに不正なコードが入り込まないようブロックしたり、これまでのファイルシステム侵入事件を参考にして同様の脅威を特定するビルトイン検出機能やWebネットワークトラフィック分析機能を強化しつつある。

　そのほかにも、企業の管理者が導入を検討すべき製品はいくつかある。例えばブラウザにプラグインする製品では、ActiveXやJavaScriptなどの動作を検証するツール、総合的なHTTPスキャンを実行してWebリクエストがブラウザのものか電子メールアプリケーションのものか、あるいはその他のソースによるものかを判断する製品などだ。その他のソリューションも続々と企業向けセキュリティプラットフォームに組み込まれている。

　また、一部のセキュリティベンダーはマルウェア対策に向けて大規模なモデルチェンジを進めている。例えばTrend Microは、ネットワーク経由で定期的にシグネチャを更新するプッシュモデルから、インターネットで脅威情報をチェックするリクエスト時プルモデルに転換しようとしている。

　後者の手法は、Webリクエストがあったとき、Trend Microのソフトウェア（ネットワークアプライアンスに組み込まれるか、OfficeScanエンドポイントになる）が同社の脅威アセスメントネットワークのリアルタイムデータベースを参照し、リクエストや検出したトラフィックを最新の脅威情報と比較検討する仕組みだ。Trend Microは、SLA（Service Level Agreement）契約で15分以内の応答時間を保証している。

　多くの企業のIT部門では、コンシューマー向けのツールを徹底的に調査し、最も脅威にさらされているリモートワーカーのセキュリティを強化したいと考えているに違いない。しかし、そうした試みは容易ではない。というのも、それらの製品のほとんどが一元的な管理コンポーネントを搭載しておらず、個々のインスタンスはワンオフベースで管理、更新されているからだ。また製品ごとにサポートするブラウザが異なり、ミッションクリティカルなWebアプリケーションの運用に支障をきたす場合もある。

　一般に、Webの脅威を避けるためのベンダーニュートラルでベストプラクティス的なアドバイスは、アプリケーションはもちろんのこと、OSやブラウザ、アドオンに至るまで、ベンダーから提供されるパッチの適用を決して怠らないことだ。

　とは言うものの、ブラウザのアップデートはしばしばレガシーWebアプリケーションとの非互換性を引き起こすので注意が必要だ。

　セキュリティソフトウェア自体も、すべてがアップデートされるわけではなく、裏切られることがある。例えば、Webサイトバリデーションおよびスキャニングツールとして人気のAVG LinkScanner Proのスタンドアロンバージョンは、まだFirefox 3.0をサポートしていない。すでにMozillaが最新バージョンをリリースして1カ月以上になるにもかかわらずだ。AVGでは、インターネットセキュリティスイートに含まれるLinkScannerでFirefox 3.0をサポートするとしているが、LinkScanner Proのスタンドアロンバージョンではまだサポートしていない。

　このようなケースの場合、管理者はセキュリティプログラムを利用するメリットと、アプリケーションの利用によって得られる生産性を天秤にかけなければならない（そして一般的には生産性が勝つ）。しかし、ブラウザの機能強化に対するセキュリティ会社の対応の遅さを知っていれば、そうした会社のセキュリティソリューションが企業ユースに向かないことは明らかだ。

　興味深いことではあるが、Webレピュテーションシステム――Trend MicroやMcAfee、AVGが提供する製品――に注がれた各社の努力は、このほどセキュリティ研究者のダン・カミンスキー氏が発見し、ほとんどのDNSサーバプロバイダが緊急対応せざるを得なかった脆弱性を突くDNSキャッシュポイズニング攻撃によって、水泡に帰してしまう可能性がある。

　Trend MicroのWebセキュリティビジネス担当部長であるケン・ビア氏は、DNSキャッシュポイズニング攻撃を「アルマゲドン」と呼ぶ。一般にバリデーションサービスは、ドメイン登録者が提供する詳細とドメイン名を照合し、実際のドメインにあるWebサイトのレピュテーションスコアをベースにしているためだ。

　「われわれは（IPアドレス範囲とドメイン名の）一定レベルの関連付けを急いでいるが、決められた時間内に特定のIPアドレスから特定のドメインを直接マップするのは、まるで自分の尻尾を追いかけるようなものだ」とビア氏は語る。

　DNSルックアップの正確さを維持するために、管理者は直ちにDNSサーバにパッチが適用されているかどうかを確認し、ISPにDNSサーバを可能な限り早急にアップデートするよう圧力をかけるべきだ。また、エンドポイントのセキュリティソリューションやアンチウイルスプラットフォームのローカルホストファイルをロックダウンする機能がオプションになっているなら、迅速にその機能をオンにすべきである。

原文へのリンク