ニュース
» 2005年02月17日 21時29分 公開

定義ファイル更新までの間を持たせるメッセージングセキュリティ技術

RSA Conference 2005の展示会場では、ワーム対策やコンプライアンスの観点から電子メールのセキュリティを支援する製品が目立った。

[高橋睦美,ITmedia]

 RSA Conference 2005に合わせてベンダー各社はいっせいに新製品をリリースしたが、中でも目立つのは、電子メール向けセキュリティ製品に関する展示だ。

 電子メールのセキュリティに注目が集まっているのには、2つの理由がある。1つは、今さら強調するまでもないことだが、ウイルスやワーム、スパムなど、電子メール経由で企業に侵入してくるさまざまな脅威をブロックするためだ。

 そしてもう1つは、法規制への準拠(コンプライアンス)を確実にしたいというニーズが高まっていること。日本では4月の個人情報保護法の全面施行を前に対応に追われる企業が多いが、米国でも同じように、米企業改革法のほかGLBA、HIPAAやカリフォルニア州が定めるプライバシー法への対応が求められており、その一環としてメールを制御したいという要望が増えているという。

 たとえばSendmailは、カンファレンスに合わせて「Mailstream Content Manager 2.0」をリリースした(関連記事)。この新バージョンでは、各種法規制への準拠を支援する機能が強調されている。

 従来より提供してきたウイルス/スパム対策の機能に加え、ユーザーのミスで、あるいは故意により機密情報が流出することのないよう、ポリシーに沿って配送を制御する機能が提供される。同社の説明によれば、「現在ローカライズを進めており、そう遠くない時期に日本でもリリースできる予定」という。

発生直後の封じ込めに着目

 いまやすっかり普及したウイルス/ワーム対策技術だが、残念ながら、定義ファイルをベースにした対策には限界があることも知られるようになった。ウイルス対策ベンダー各社は努力しているものの、新種のウイルスが発生してから対応する定義ファイルが作成され、行き渡るまでには数時間から十数時間を要する。はじめに誰かが犠牲にならない限り検体は浮上しないし、それを解析してのワクチンも提供されない。

 しかし、Slammerの事件が示すとおり、そのわずかなギャップが命取りになることもある。そこで、何とかしてウイルス/ワームの初期段階で不審な徴候を検知し、侵入を食い止めようとするテクノロジが登場してきた。

 Hewlett-Packardが紹介した「Virus Throttle」はその1つだ。この技術は、常にTCPコネクションを監視しておき、新規コネクションが異常に増加した場合にアラートを発する。SMTPトラップを送信して、コネクション切断などのアクションを取ることも可能だ。

Virus Throttle Virus Throttleのデモの様子。左側はVirus Throttleを利用しているのに対し、何も対処していない右側ではトラフィックにたびたびピークが生じている

 この技術は、既存のウイルス対策製品の置き換えを狙うものではなく、「補完的に動作し、ワーム発生の初期段階で感染の拡大を押さえ込むものだ」と、同社は説明した。考え方はDoS検出システムと似ているが、環境に応じてしきい値(Delay Queue)およびそのしきい値を超えるまでの時間を設定できる点が特徴という。

 また、IronPort Systemsの「Virus Outbreak Filters」は、同社が独自に構築しているメールトラフィック監視システム「SenderBase」の情報を活用して、ウイルスやワームが発したと思しき不審なトラフィックをブロックするものだ。

 配信者の「評価スコア」データベースおよび過去のトラフィック統計とを照らし合わせ、「過去にメールをやり取りしたことのないIPアドレスから大量のメールが届いた」「ほとんど添付ファイルをやり取りしない相手から添付ファイル付きのメールが届いた」といった「ありえない」ケースを検出する。これにより、「ウイルス定義ファイルが更新される前の段階で、新たな脅威を予防できる」(同社)という。

 ベンチャー企業のAvintiは、シグネチャや定義ファイルに頼らず、仮想マシン技術を用いて添付ファイルの内容を検証するセキュリティ製品「iSolation Server v1.2」を紹介した。

 この製品は、エンドユーザーにメールを配送する前の段階で添付ファイルの振る舞いを検証し、疑わしいものを検疫する。「定義ファイルが届く前に未知のウイルスを検出できる」(同社)。ただ、検証可能な添付ファイルは実行形式のファイルとZIP形式の圧縮ファイルで、それ以外の圧縮形式にはまだ対応していない。

 iSolation Serverはゲートウェイ部分で動作するため、パフォーマンスへの影響が気になるところだ。だがAvintiの説明によれば、まずフィルタでテキストのみのメールと添付ファイル付きのメールを振り分け、後者のみを仮想マシンで検証する仕組みを取って遅延を抑えている。また、マルチプロセッサ対応によりパフォーマンスの向上を図るv2.0の開発を進めているという。

 Avintiでは2005年後半に、日本向けに製品をリリースすべく、代理店の検討に入っている段階という。

 また、同じく新興企業のReflexionでは、アプライアンス型の製品「Reflexion」を紹介した。既存の1つのメールアドレスに対し、仮想的に複数のメールアドレスを紐付け、それぞれに送られてくるメールのプリファレンスを作成する。これに基づいてスパムをブロックするという製品だが、スパム/フィッシング対策だけでなく、新種のウイルス/ワーム対応にも活用できるという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ