Winny漏えいを止められるか？ UTMベンダーの取り組み：UTM――急成長する中堅企業の「門番」（1/2 ページ）

UTM（統合セキュリティ）は統合的なセキュリティ管理ソリューションである以上、IM（インスタントメッセージング）やP2P型ソフトのセキュリティ管理にも目を向けている。最近問題が表面化しているWinnyによる情報漏えい対策や、見落とされがちなIMのセキュリティ対策における、UTMの役割について取り上げる。

[井上猛雄，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「UTM――急成長する中堅企業の門番」でご覧になれます。

　最近、大きな社会問題となっている情報漏えい事件は、P2P型ファイル共有ソフトの利用が原因であることが多く、これらのセキュリティ対策が急務となっている。例えば、Winnyを介した情報漏えいは、交換ファイルに潜む「Antinny」というワームが関わっており、社内ポリシーに反して持ち出した機密ファイルが、個人のPCを経由して漏えいするケースが大半だ（画面1）。そのため、社内のセキュリティポリシーやルールの徹底が重要となる。

画面1●Winnyで配布されたファイルからAntinnyが検出されているところ

P2Pソフトの制御がセキュリティ対策の焦点に

　P2Pソフトを利用する際には、インターネットから社内に向けたインバウンドのアクセスを許可する必要があるため、通常はWinnyなどのソフトが企業内で使われるケースは想定しにくいかもしれない。大企業ではセキュリティ面の配慮から、P2Pソフトの使用を実際に禁止していることが多い。とはいえ、最近では「Skype」のようなP2Pソフトフォンを業務で使うケースもあり、これらを全面的に禁止できないこともある。

　このような事情もあり、P2Pソフトのセキュリティについては、UTMベンダー各社のスタンスもさまざまである。「P2Pソフトは業務に直接は必要ない」として、ゲートウェイレベルよりも個人での利用を想定したデスクトップ側でのセキュリティ対策に重点を置くベンダーもあれば、その一方で、外資系でありながら日本の特殊事情に対応するように、Winnyを含めたP2Pソフトのセキュリティ対策を積極的にUTMの機能に盛り込むベンダーもある。

　例えば、フォーティネットの「FortiGateシリーズ」に実装されるFortiOSは、2006年2月にバージョン3.0にアップし、Winnyに対してトラフィックの制御や遮断が可能になった（画面2）。これは「ワールドワイドにおいて2番目にシェアの高い日本市場の重要性から、海外のP2Pソフトだけでなく、国内でのみ利用されるWinnyへの対応も必須」（フォーティネット マーケティングマネージャの菅原継顕氏）という姿勢によるものだ。

画面2●IM／P2Pのメニューのログ＆リポートの画面（FortiGateシリーズ）。Winnyに対するアクションは「ブロック」に設定され通信を遮断。一方、Skypeは「パス」になっている

　もちろん、主要な海外産のP2Pソフトには従来から対応していたが、今回のバージョンからトラフィック遮断に加えて帯域制御も可能になった。通信のデータサイズ累計、平均使用帯域などのリポートも表示するため、P2Pソフト利用者の早期発見が可能である。

　一方、インターネットセキュリティシステムズ（ISS）も「我々にはX-Forceという脆弱性研究機関があり、今回のWinnyの問題に関しては、日本にいるリサーチャーが独自にアルゴリズムを書いてシグネチャに対応した」（ISS シニアプロダクトエンジニアの村田敏一氏）というように、その対応は早かった。

　同社では、IPS（不正侵入防御）製品に搭載されているプロトコル分析モジュール「PAM」（Protocol Analysis Module）のシグネチャとして「Winny_P2P_Detected」を用意し、ネットワークに流れるWinnyの通信トラフィックのコントロールを可能にした（画面3）。具体的には、「Winnyがノードに接続する初期段階でそれを検知して、セッションに対してリセットパケットを投げることでノードに接続させないようにする」（村田氏）という仕組みだ。

画面3●「M10シリーズ」のプロトコル分析モジュール「PAM」のシグネチャによって、Winnyの通信をブロック。画面では、ファイルがダウンロードできない状態を示している

　PAMはISSのアプライアンス「Proventia Mシリーズ」のIPS機能にも実装されており、UTMでもWinnyのブロックが可能になる。万が一、社内でWinnyが使用されたとしても、それを迅速に検知し、不正利用者に警告することができる。