| エンタープライズ:ニュース | 2003/05/13 22:59:00 更新 |
アプリレベルの防御を実現、チェック・ポイントの「Application Intelligence」
チェック・ポイントが、ほぼ2年ぶりに大幅な機能強化を行い、アプリケーションレベルでの防御を実現するApplication Intelligence技術を発表した。
ファイアウォール/VPN製品「VPN-1/Firewall-1 Next Generation(NG)」で知られるチェック・ポイント・ソフトウェア・テクノロジーズ(チェック・ポイント)が、ほぼ2年ぶりに大幅な機能強化を行った。
チェック・ポイントは米国時間の5月12日、アプリケーションレベルでの攻撃をチェックし、遮断する機能を実現する「Application Intelligence」技術を発表した。バッファオーバーフローやワームに代表される、アプリケーションレイヤでの攻撃をブロックするもので、最新バージョンである「Check Point NG with Application Intelligence」に統合された形で提供される。
従来型ファイアウォールの限界
ファイアウォールとは基本的に、外部の信頼できないネットワークと企業システムとを分かち、その間を行き来するパケットを見張って、一定のルールの下で制御する仕組みだ。ポート番号や宛先/送信元IPアドレスなどを基にパケットの通過・破棄を制御するパケットフィルタリング型やそれを高度化したステートフル・インスペクション型のほか、プロキシの拡張ともいえるアプリケーション・ゲートウェイ型など、複数の方式がある。
国内でも、中規模以上の企業では比較的高い割合で導入されているファイアウォールだが、同時に、その限界もたびたび指摘されてきた。ファイアウォールで許可されたポートを通じて行き来するトラフィックまでは監視が及ばないことだ。
HTTPで利用されるTCP/80ポートが代表例だが、許可されたポートを通るパケットに仕掛けを施すことで、バッファオーバーフローやサービス妨害(DoS)攻撃を引き起こすことが可能だ。また、許可されたポートは、SlammerやCodeRedといったワームの拡散にも利用されることがある。その上、アプリケーションレベルに対する入力パラメータの未チェックやクロスサイトスクリプティングといった問題も存在する。
こうした問題に対処し、セキュリティを保つには、不要なポートをファイアウォールでふさぐとともに、適切なWebアプリケーションプログラミングを行い、しかもOSやサードパーティ製アプリケーションには常に最新のパッチを適用しておくしか根本的な対策はない。しかしながら、「パッチがリリースされても、運用・作業上の問題などからすぐには適用されず、ほったらかしのまま運用されている場合も多い」と、チェック・ポイント日本法人で技術部長を務める卯城大士氏は指摘する。
ふさぐことのできないポート、パッチを適用できないアプリケーションがある以上、それらを攻撃から守り、ひいてはビジネス上の損害を未然に防ぐ統合的な保護が必要だという。「アプリケーションレベルの脆弱性を狙った攻撃は、今後も増加するだろう。脆弱性のあるアプリケーションを守り、内部リソースへの侵害を防ぐには、ネットワークレベルにとどまらず、アプリケーションレベルでの防御が必要だ」(卯城氏)。
パケットを深くチェック
こうした背景から開発されたApplication Intelligence技術は、同社がFirewall-1の強みとしてきたステートフル・インスペクション技術を下敷きとしたものだ。同時に、以前のバージョンで搭載された「SmartDefense」エンジンも活用している。SmartDefenseは、システムを攻撃から防御するとともに、それに必要な情報や回避策もともに提供する仕組みで、その後の追跡・監査も可能となっている。
「これまでのバージョンでも、ある程度パケットのデータ部分を監視し、アプリケーションのステイタスは見ていたが、Application Intelligenceではプロトコルおよびデータ部分をさらに細かくチェックする」(卯城氏)。
こうしたアプリケーションレイヤでの防御機能は、既存のファイアウォール製品となると難しいが、一部のIDS製品のほか、サンクタムの「AppShield」やカバドゥの「InterDo」などでも実現されている。しかし卯城氏は、Check Point NG with Application Intelligenceの場合、「ネットワークも含めてマルチレイヤで防御でき、しかも単一のコンソールを通じてログなどをまとめて管理・把握できる統合的なセキュリティソリューションである」点に差別化要因があると述べた。
また、今後のWebサービスの普及もにらんで、XMLおよびSOAP、UDDIなどもサポートされている。あらかじめ、自社で利用するSOAPメソッドの動きをCheck Point NG with Application Intelligenceに登録することによって、それから外れた振る舞いをブロックする機能が搭載されているということだ。
こうしてゲートウェイ部分でのセキュリティを固めるとともに、ポリシーサーバと連携したパーソナルファイアウォール機能も展開することで、エンドツーエンドでのセキュリティも確保していきたいと同氏は述べている。
課題はスループットと言えそうだ。卯城氏によると、「現行のCPUで100Mbps程度は出る」というが、ギガビットクラスのバックボーンを構築していたり、そうでなくともADSL、FTTHといったブロードバンド接続サービスを利用している場合には、ボトルネックとなる可能性がある。同氏はそれを踏まえたうえで、「パフォーマンスと、アプリケーションレベルでの防御を実現するだけの機能や柔軟性をいかに両立させるかが最大の課題」という。
Application Intelligenceは、新バージョンのCheck Point NG with Application Intelligenceの一部として提供される。Firewall-1のライセンス価格は、25ノード版で29万円から、無制限版で300万円など。既に同社の保守契約に加入している場合は、特別なライセンスなしに利用できる。ただしSmartDefenseでリアルタイム情報を受け取る場合は、1ゲートウェイあたり年額16万円の加入料金が必要だ。
また、いくら製品だけがあっても十分ではない。「システムを導入してから適切に運用し、監視し、そのログなどを分析したうえでポリシーを再設定し、適用するといったメンテナンス、一連のセキュリティサイクルが必要なのだか、実際にはなかなかそうなっていない」(同氏)。この姿勢を変えるとともに、「セキュリティを予算のマイナス要素としてとらえるのではなく、システムを停止させず、生産性を向上させるための積極的な投資として取り組んでほしい」と同氏は言う。
関連記事
Check Point、新セキュリティツール発表関連リンク
チェック・ポイント・ソフトウェア・テクノロジーズ[高橋睦美,ITmedia]
