「パッチの迅速な適用」と「システムの安定稼働」という二律背反を、仮想パッチによって解決するアプライアンス製品がリリースされた。
「『パッチがリリースされたら迅速に適用しなくてはならない』、これは正しい。『システムの可用性を保たなければならない』、これも正しい。しかし、この2つを両立させようとすると衝突が起こる」――。
米Blue Lane Technologiesの社長兼CEOを勤めるジェフ・パーマー氏は、企業システム管理者が抱えるこのような「二律背反」を解決したいと述べた。
同社の主力製品は、セキュリティパッチのエミュレータ「Patch Point」だ。企業サーバ群の手前にインラインで設置するアプライアンスとして提供される。Patch Pointではアプリケーションプロキシによってトラフィックをチェックし、脆弱性を狙う攻撃パケットを検出すると、パッチと同じように動作し、無害化処理を施す。
Blue Laneでは、MicrosoftやOracleといったベンダーやオープンソースコミュニティから提供されるパッチを解析(リバースエンジニアリング)し、パッチがどのように動作しているかを把握。これをPatch Point用の独自パッチ「Inline Patch」として実装する。サーバに直接パッチを適用する代わりに、Inline Patchがアプライアンス側で実質的にパッチの役割を果たす仕組みだ。
サーバをさまざまな攻撃から保護すると言った意味合いでは、IPS製品に似通う部分がある。しかし、IPS製品の多くが「攻撃」に着目し、シグネチャに基づいて検出を行っているのに対し、Patch Pointは脆弱性そのものに着目し、プロトコルベースで分析を加え、さらにトラフィックに応じて適切な対処をパッチと同様に実現できる点が特徴だとした。
「ただトラフィックを遮断するのではなく、例えばペイロードが大きすぎるのであれば、本物のパッチの動作と同じようにそのサイズを制限したり、場合によってはエラーメッセージを返すだけといった具合に、適切な処理が可能だ」(パーマー氏)
パーマー氏によると、すぐにパッチを当てなくてはならないと分かっていても、現実問題としてそれが不可能な環境はまだ多いという。
先日も、Windows Updateや自動更新に関して、CPUリソースが食いつぶされるといった問題が生じたばかりだ。
パーマー氏は、ベンダー側がパッチの品質向上に取り組んでいるのは承知しているとしながらも、こうした現状を考えると「特にサーバの場合、十分に検証しなくてはパッチは適用できない。また、検証した結果、アプリケーションに手を加えない限り適用できないと判明し、パッチを適用しない判断を下すケースもある」と述べた。
一方で、脆弱性の情報が明らかになってから、攻撃につながるまでの時間はどんどん短縮している。
「1990年代は、ベンダーは攻撃に対してリアクティブで、攻撃が仕掛けられてから不適なスケジュールでパッチを公開していた。そこでベンダー側は、パッチのリリースを定期化し、プロアクティブに対処しようと試み始めた。ユーザーがパッチを予測できるおゆにするためだ。だがこれは、ハッカーコミュニティ側に脆弱性の存在を知らせることにもなってしまった」とパーマー氏。
「最近では、脆弱性が公表されてからおおよそ2日間程度でExploit(攻撃コード)が出てくる。管理者が検証を行ってパッチを適用するのが早いか、攻撃者が仕掛けてくるのが早いかの競争だ」(同氏)
これに対しPatch Pointでは、サーバ本体に手を加えることなく、可用性に影響を与えずに保護を提供できるとした。現に、2006年にリリースされたMS06-040のパッチについては、24時間たらずでInline Patchを提供し、2日後に登場した最初の攻撃コードからシステムを保護できたという。つい先日悪用されたDNC PRCの脆弱性についても、同様に保護を提供したと同氏は述べた。
「迅速に防御を提供することにより、企業がパッチをテストし、変更管理のスケジュールを立てられるようにする。つまり、ユーザー自身がいつパッチを適用するかの判断を下せるようにする」(パーマー氏)
Patch Pointは、規模に応じて2種類用意されているパッチプロキシの「Patch Pointゲートウェイ」と、その設定や管理を行う「Patch Pointマネージャー」から構成されている。価格はそれぞれ、571万9000円から、142万2000円からとなっており、住商情報システムを通じて5月16日より販売していく。
Copyright © ITmedia, Inc. All Rights Reserved.