世の中には多くのセキュリティ製品があふれている。今回は、それらがどんな目的で導入され、どんな役割を果たしているかを簡単に説明していこう。
セキュリティデバイスの設置の考え方は、実は非常に簡単なものだ。すなわち「Perimeter Defense(境界線防御)」もしくはその延長概念である「Defense in Depth(階層的防御)がその基本となっている。要は守るべき資産を決め、攻撃者がそれに到達する前に超えなければならない「セキュリティ的なギャップ」を敷設すればよいということだ。
簡単な例を示そう。例えば図1にある、インターネットとの接続点に設置してあるファイアウォールは、第一の「セキュリティ的なギャップ」を形成している。このファイアウォールを越えてくる不正なアクセスに対しては、ファイアウォールに直列に接続されている侵入予防システム(IPS)が第二の「ギャップ」を形成するという構成になる(図1)。守るべき資産が重要なものであればあるほど、このギャップを高くすればよい。
概念的な部分はこれでよいとして、では、現在の情報システムのセキュリティを維持するため、つまりギャップを形成するために、実際にどのようなセキュリティプロダクトが導入されているのだろうか?
図2をご覧いただきたい。この図は、インターネットに接続される前提で、ある情報システムのセキュリティを維持するために導入される現在のセキュリティプロダクトとその典型的な配置を、簡単にまとめたものである。中には、既に名前を聞いたことがあったり、自社で導入済みのプロダクトもあるかもしれない。
もっとも実際には、この図に記載されているセキュリティプロダクトやシステムをすべて導入しているケースは非常に稀だろう。それでも、実にさまざまなセキュリティプロダクトが存在していることが理解できると思う。
それでは図2を参照しながら、主なセキュリティプロダクトとその役割を簡単に紹介していこう。
・ファイアウォール/パーソナルファイアウォール(FW/PFW:Firewall/Personal Firewall)
最も基本的な境界線防御デバイス。ネットワークレベルでパケットの通過、遮断機能を持つ。ネットワークレベルでの基本的なアクセスコントロールを目的として導入される。現在では、後述する侵入予防システム(IPS)の機能やVPN機能を内包する製品も存在する。
・侵入検知/予防システム(IDS/IDP:Intrusion Detection/Prevention System)
ネットワークパケットやシステムのログを照査することによって不正もしくは異常な行為を検知し、場合によっては遮断する機能を持つ。ファイアウォールでは遮断できない攻撃を検知/防御する目的で導入される。「ネットワーク型」「ホスト型」などいくつかの種類が存在する。
・ハニーポット(HP:Honey Pot)
脆弱性のあるサーバなどに故意に偽装する機能を持つシステム。いわゆる「囮サーバ」として設置され、侵入者の興味を引き付け、侵入手口の解析データなどを収集する目的を持つ。近年ではワームを隔離するシステムなどにも応用されている。
・コンテンツフィルタ(CF:Contents Filter)
企業ポリシーによって規制されているサイトや明らかに有害なサイトなどへのアクセスをコントロールする「Webコンテンツフィルタ」や電子メールのサブジェクトや本文を検査し、適切でないメールの通信をコントロールする「メールコンテンツフィルタ」などの種類がある。内部情報漏洩防止などの目的で導入される。
・脆弱性検査ツール(VS:Vulnerability Scanner)
防御しなければならないシステムなどが内包する脆弱性を検査する機能を持つ。ネットワーク経由で外部から検査するツール、検査するシステムにインストールし内部から検査するツールなどの種類が存在する。情報システムなどへの不正侵入を許しかねない脆弱性をあらかじめ発見し、予防することを目的に導入される。
・ウイルス/スパイウェア駆除ツール(AV:Anti-Virus/Anti-Spyware)
Webプロトコルやメールなどに含まれるウイルスやスパイウェアを駆除/隔離する機能を持つ。クライアント搭載型のソフトが一般的であるが、企業内ユーズやプロバイダサービスなどではゲートウェイ型のシステムが使用されることもある。
Copyright © ITmedia, Inc. All Rights Reserved.