ニュース
2004/02/23 10:27:00 更新


新しい脅威には「脆弱性の本質に基づいた防御を」とISS

シグネチャに基づいた検出では、新しいタイプの脆弱性に対処することができないと米ISSの社長兼CEO、トーマス・ヌーナン氏は主張する。これから必要なのは、脆弱性の分析をベースとしたインテリジェントな防御だという。

 「新しいタイプの脅威は、大半の企業が導入しているファイアウォールやウイルス対策システムを通り抜けてしまう。というのも、こういった技術は基本的にリアクティブなモデルに基づく対策だからだ」――米Internet Security Systems(ISS)の創業者にして社長兼CEOのトーマス・ヌーナン氏は、いっこうにセキュリティインシデントが減らない現状を踏まえ、このように指摘する。

 昨年登場したSlammerが代表的だが、最近のウイルス/ワームは感染力を強め、発生後あっという間に世界中に広まるようになった。細部が異なる亜種が次々と登場するのも傾向の1つだ。こういった状況下では、「シグネチャをベースとするウイルス対策システムやパケット分析を行うファイアウォールでは、脅威を防ぐことができない」(ヌーナン氏)。

 では、どうやったら対処が可能になるのだろう? ISSは、その答えは「深いレベルでパケットを精査するディープパケット分析」(ヌーナン氏)にあるという。シグネチャを利用したIDS「RealSecure」で知られる同社だが、むしろその特徴は、脆弱性の本質を理解したうえで、ダイナミックに脅威をブロックできる点にあるという。それゆえに「脅威に対してシグネチャがなくても、プロアクティブに防御できる」(同氏)。

ヌーナン氏

脆弱性そのものを把握した上で本質的な対処ができる、というヌーナン氏

 ワームなどのインシデントが発生してから広く蔓延するまでの時間が短縮ていること、またアプリケーションレベルでの脅威が増していることから、セキュリティ企業の間では「ディープパケット分析」「ディープインスペクション」といった技術が一種の流行になっているようだ。ただ、とヌーナン氏は言う。「脅威そのものに注目する限り、シグネチャを基にしたリアクティブな対処しか取れない。これに対しISSは、脅威の原因となる脆弱性そのものに注目し、それに基づいて対策を取っている。現にBlaster(MSBlast)が発生したときも、われわれはシグネチャは発行しなかった。その前の段階で脆弱性そのものへの対処を取っていたからだ」(同氏)。

 ある脆弱性が存在するからといって、それを悪用する手段まで1つとは限らず、むしろ複数あるほうが一般的だ。その手段それぞれに対処していては、時間がかかって非効率的である。ISSのアプローチでは、脆弱性の本質を分析した上で対処を取るため、「たとえMyDoomが“HisDoom”や“TomDoom”になろうとも検出し、防御することができる。われわれの世界では、ゼロデイ状態での攻撃はありえない」(ヌーナン氏)という。

 一連の脆弱性情報収集・分析に一役買っているのが、同社のセキュリティ研究部隊、X-Forceの存在だ。さらに同社独自のインテリジェントな防御によって、日々変化する脅威に対処し、被害を未然に防ぐという。

 「たとえば金融機関の警備員は、来訪者が怪しい服装をしていないかどうかを確認するする。たとえ悪意を持った人物でも、きちんとネクタイを締めていれば通してくれるだろう。しかしわれわれは、服装だけでなくその挙動や持ち物までをチェックするようなものだ。レイヤーごとに分析を行うことにより、本当に危険なものを排除する」(ヌーナン氏)。

相次いで新製品を投入

 ISSでは先日、ファイアウォールやVPN、IDS、ウイルス対策といった機能を1台にまとめたセキュリティアプライアンスの新製品「Proventia Mシリーズ」を発表した。1つのエンジンで、複数の脅威を効率的に分析できる点が特徴だ。

 現在リリースされているのは、中規模企業をターゲットとしたM-50だが、ヌーナン氏によると同社はさらに、より低価格な「M-30」や小規模ネットワークを対象としたローエンド製品「M-10」の投入を計画しているという。一方、IDSに特化したアプライアンス「Gシリーズ」では、マルチギガビットの環境に対応した高性能機「G-1000」をリリースする予定だ。

 1月に買収したコンテンツセキュリティ企業、Cobionの技術も組み入れていく。第1四半期中には、Proventiaの中にスパムメール対策やWebフィルタリング機能を搭載した製品をリリースする方針だ。他の製品同様に、「高度なインテリジェンスを備えるだけでなく、サポートするURLデータベースも桁違いに大きい。第三世代のコンテンツセキュリティを実現するものになる」(ヌーナン氏)という。

 パーソナルファイアウォールソフト「BlackICE」の統合もいっそう推し進める。ワームまん延のルートとして懸念される、自宅に持ち帰られるノートPCを保護するため、より強力な機能を搭載する方針という。

 米国土安全保障省は先ごろ、インターネットの脅威となりそうな情報を国民に知らせる警報システムを発表している。ISSもそのシステムに協力しているが、「脅威を知ることは重要だが、ただ知るだけで止められないのでは意味がない。きちんと対応できるインテリジェントなシステムが必要だ」(ヌーナン氏)。ナレッジと、それに基づいて効果的に防御するためのシステムの両方を備えることが大事だと述べている。

関連記事
▼ISS、ファイアウォール・VPN・IPS・ウイルス対策の統合アプライアンスを発表
▼ISS、スパム対策ソフトメーカーを買収
▼「ICEpac Security Suite」,ISSブランドで改めて発売

関連リンク
▼インターネット セキュリティ システムズ

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.