社内ネットワークのセキュリティをどのようにして確保するか

ウイルスやワームから企業内のネットワークを守るためには、ファイアウォールなど従来の手法だけでは万全とは言えない。では、これらの脅威から社内ネットワークを守る、効果的で効率的な手法はあるのだろうか。

　ネットワーク管理者は従来、企業の内側に張り巡らせたネットワークと外部のネットワークの境界を、ファイアウォールなどによって守ることでセキュリティを確保することに専念してきた。しかし、今やファイアウォールだけで企業内ネットワークのセキュリティを確保できる状況ではない。

　ファイアウォールで確保できるセキュリティとは、魑魅魍魎が跋扈する外部ネットワークから、まさに「塀」によって内部ネットワークを保護するものだ。必要な情報のみ通過させることで外部からの攻撃を防ぐといった、制限型のセキュリティ対策である。つまり、狭き門を設け、限定された情報のみを通過させることによって、有害あるいは機密上問題がある情報を出入りさせないというソリューションだ。

　ところが、この方法だけでは内部ネットワークの安全が保てないことが明らかになっている。例えば「Blaster」と呼ばれたワームによって、数多くの企業内ネットワークが機能停止に追いやられたことは記憶に新しい。

　Blasterのようなワームによる被害は、外部からやってくるのではなく、すでに感染していた内部のクライアントから広がったことも明らかになっている。こうした内部からのワームの被害はゲートウェイを経由しないがために、ファイアウォールでは防ぐことができない。

　特にノートパソコンなどの場合、社内に固定しておくという利用ケースは稀であり、持ち運んで使用するのが前提だろう。公衆無線LANやホテルでのインターネット接続など、外出先でネットワークに接続することも今や当たり前となっている。

　こうした公衆ネットワークは、一般的に企業内のネットワークと比較して、セキュリティ対策は低いレベルにとどまっている。このように無防備なネットワークに接続したノートパソコンを社内ネットワークに持ち込んだらどうなるだろうか。

　セキュリティというのは、何重もの対策を施さなければならないものだ。個々のノートパソコン（クライアント）にウイルス対策が施されていて、かつ、社内ネットワークが外部から守られているだけでは十分とは言えない。クライアントと社内ネットワークの両方に対して、同時に施さなければならないセキュリティ対策がほかにもある。

社内ネットワークをセキュアに保つセキュリティ・ゲートウェイ

　こうした危険なクライアントによって社内ネットワークが危機にさらされたときは、ワームに感染したクライアントが撒き散らす有害なパケット防止するために、感染が疑われるクライアントを隔離してほかのクライアントやサーバを守らなければならない。また、予防という観点から見れば、例えば、ウイルス対策ソフトのパターンファイルが最新でないクライアントは隔離するといった対処がとれることが望ましい。

　最近では、内部セキュリティ・ゲートウェイと呼ばれる、セキュリティボックスの利用が注目されている。例えば、アズジェントが販売するチェック・ポイント社の「InterSpect」（写真1）という製品も、内部セキュリティ・ゲートウェイの一例だ。

　InterSpectは、社内ネットワークをいくつかのセグメントに分割し、互いのセグメント間を流れるパケットを監視、不正なパケットや危険なパケットを遮断、あるいは、疑いのあるクライアントが属するセグメントを社内ネットワークから切り離すという動作を行う。

　動作としてはファイアウォールに似ているように見えるかもしれないが、大きな違いがある。まず、ファイアウォールは許可型である。HTTPプロトコルは通すがFTPプロトコルは通さないといった、あらかじめ許可されたタイプの通信のみを通過させる仕組みだからだ。

　ところが、社内ネットワークは多種多様なシステムで構成されており、データベースへのアクセスやRPC（Remote Procedure Call）などのように、どのようなパケットがどのように流れているのかを完全に把握しづらいため、内部セキュリティ・ゲートウェイでは、禁止型の設定をされるのが通常だ。つまり、ワームなどの危険なパケットの特徴を持つもののみを禁止するという設定を行う。

　さらに、ファイアウォールが設置される外部ネットワークと内部ネットワークの境界点では、外部ネットワークの回線速度が限られることが多いため、そのスループットも高速なものが要求されることは少ない。しかし、内部ネットワークの主要な位置に設置されるセキュリティ・ゲートウェイの場合は、内部ネットワークの帯域が広いために、ボトルネックとならないよう高いスループットが要求される。InterSpectは200Mbps〜1000Mbpsという高いスループットを実現しているため、社内ネットワークのパフォーマンスを落とすことなく、セキュリティを高めることが可能な製品だ。

　InterSpectの設置は、既存の社内ネットワークのバックボーンとの接続部などの主要部分に、ブリッジのように挟み込む方法が取れる（図1）。これだけで、社内ネットワークをセグメント化し、流れるパケットを監視できるようになる。特に、ワームなどによる危険なパケットをインテリジェントに判断し、発生源となっているクライアントを隔離する点は魅力的だ。さらに、パケット内をアプリケーションレベルで検査し、ワームなどの特徴を持つパケットのみを排除することも可能だ。これにはウイルス対策ソフトのようなシグネチャと呼ばれるパターンを定期的に更新しなければならないが、「SmartDefense」と呼ばれる購読型のサービスに加入することで、定期的なアップデートができる（画面1）。

クライアントをセキュアに保つパーソナルファイアウォール

　ワームに対しては、個々のクライアントにも対策が必要だ。ウイルス対策ソフトでは、OSなどのセキュリティホールを突いてくるワームの攻撃を防ぐことはできない。これには、パーソナルファイアウォールと呼ばれる、クライアントごとのファイアウォールの導入が効果的だろう。パーソナルファイアウォールは、外出時に公衆無線LANなどを利用して直接インターネットに接続するような場合に、クライアントを守ってくれるばかりでなく、社内ネットワーク接続時にも、ワームの感染や拡大を防ぐといった面で威力を発揮する。

　InterSpectの開発元であるチェック・ポイントでは、「Integrity」というパーソナルファイアウォール製品をリリースしている（画面2）。Integrityは、Windows XPが標準で備えるファイアウォールが行うポートを閉じるだけの方法と異なり、設定されたセキュリティポリシーに基づく防御や、パケット内容による事前予防型の防御を提供する。また、バッファオーバーフローなどを検知する機能を備えるため、外部からの攻撃を阻止できるようになっている。

　一般に、数百台におよぶクライアントのセキュリティポリシーの設定作業は、管理者の負担を増やし、TCOを押し上げる要因になっている。Integrityでは、管理者が一括してポリシーを設定できるソリューションを用意している（画面3）。

　さらにIntegrityでは、クライアントの情報を収集し、グラフィカルにレポートを作成する機能を持つ。内部ネットワーク上のどこにどのような問題があるのかをいち早く把握し対処するといった、管理者の労力を減らすことが可能だ。

　クライアントごとに導入されるIntegurityと、社内ネットワークの主要ポイントに設置されるInterSpectとの併用で、セキュリティをより強固なものにできるのは言うまでもない。

　社内ネットワークでワームが広がると、システム停止といった企業活動そのものに多大な損害を与える状況になりかねない。さらに外部への情報流出などが起こると、企業イメージに対する大きな損害となってしまう。今や社内ネットワークやクライアントのセキュリティ対策は必須であり、かつ、企業活動に致命傷を与えかねない重要な問題だ。これを機会に、セキュリティ対策の見直しを検討してみてはどうだろうか。

[ITmedia]

提供：株式会社アズジェント
企画：アイティメディア 営業局／制作：ITmediaエンタープライズ 編集部／掲載内容有効期限：2005年12月31日