ニュース
2004/02/25 20:30:00 更新
内部特有の問題にフォーカスしたチェック・ポイントの「InterSpect」
ファイアウォールというと、外部の脅威からシステムを守るもの、という印象が強い。そのファイアウォールの草分け的な存在が、内部の脅威に対処するユニークな製品をリリースしている。
多くの企業では“システム内部が危ない”ということを認識しながらも手をこまねいている。内部セキュリティを実現するための統合ソリューションが求められている――。
チェック・ポイント・ソフトウェア・テクノロジーズは今年1月、新たなセキュリティゲートウェイ「Check Point InterSpect」をリリースした。同社初の「内部セキュリティに特化したアプライアンス」という位置付けだ。こういった製品をリリースした理由について、同社技術部長の卯城大士氏はこのように語っている。
「これまでのセキュリティ対策は、本社や各支店にファイアウォールに代表される境界型セキュリティ対策を施し、それらの間をVPNで接続する、というモデルだった。だがそれでは、社員が持ち込む脆弱なPCやリモートアクセスを通じて拡散するワームを防ぐことはできない」(卯城氏)。また、HTTPやSMTPといった、内外で用いられるプロトコル/アプリケーションのほかに、主にシステム内部で利用されるLANプロトコルや独自の業務アプリケーションにも脆弱性は存在する。
「こういった内部の脅威について理解はしていても、これまでは結局ポイントごとのソリューションしか存在しなかった」(同氏)。それを解決し、アベイラビリティやコネクティビティと両立させるのがCheck Point InterSpectだという。
LAN特有のプロトコルもチェック
最近では、パケットフィルタリング型のファイアウォールではセキュリティは不十分だ、と言われるようになった。今、セキュリティ各社が取り組んでいるのは、ステートフルインスペクションをさらに掘り下げたアプリケーションレベルのセキュリティで、「ディープパケットインスペクション」「ディープパケット分析」といった表現が用いられている。
ステートフルインスペクション技術の先駆けだったチェック・ポイントだが、昨年「Application Intelligence」や「Smart Defense」をリリースしてアプリケーションレベルのセキュリティを実現した。Check Point InterSpectは、これらの両方の技術を下敷きにして、内部セキュリティに特化した機能を加えたものだという。
この製品では、傘下のネットワークを複数の「ゾーン」に区分けし、ゾーンごとに不必要なアクセスをブロックしたうえで、それぞれネットワークが正常に動作しているかどうかをチェックする。ワームや不正アクセスに起因すると思しき不審な挙動が見つかれば、その端末を隔離することも可能だ。このとき、一定時間だけ端末を隔離して様子を見たり、特定のWebページにアクセスをリダイレクトさせ、ウイルス駆除やパッチの適用といった対処を促すといった運用も行えるという。
TCP/IPやHTTPといったインターネットの標準的なプロトコルだけでなく、RPCやCIFS、DCOM、MS SQLといったネットワーク内部で利用されるプロトコルに対応していることも特徴だ。これらのプロトコルに対しても、奥深い分析によって挙動が正しいかどうかをチェックし、不審な動きをブロックできる。それも既知の不正アクセスだけでなく、未知の攻撃についても検出が可能だ。逆に、手動で「例外リスト」に不審な動作を追加し、ブロックすることもできる。
同社はかつて、内部ネットワークを保護する方策として、社内に複数のファイアウォールを設置するというアプローチを提唱したこともあった。ただその場合、内部ネットワークを複数のセグメントに分け、運用する必要が生じていた。Check Point InterSpectの「ゾーン」はそれとは異なり、既存の環境にシームレスに導入できるという。
ちなみに同製品を導入する際には、既存のバックボーンスイッチと入れ替える形で導入する「スイッチモード」、ブリッジとして透過的に動作する「インラインモード」、レイヤ3デバイスとして動作する「ルータモード」の3種類があり、現在の環境からの移行のしやすさをにらんで選択できるという。
チェック・ポイントでは、既存のネットワークレベルのファイアウォールにこの製品を組み合わせることにより、「トラフィックの内容を深くチェックし、マルチレイヤのセキュリティを実現できる」(卯城氏)としている。さらに、同社が買収したパーソナルファイアウォールソフトウェア「ZoneLabs」を組み合わせることによって、デスクトップの保護も含めた統合的なセキュリティが可能になるとし、その連携に向けて取り組んでいくという。
関連記事
Check Point、社内LAN保護のセキュリティゲートウェイ関連リンク
チェック・ポイント・ソフトウェア・テクノロジーズ[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
