ファイアウォール製品の草分け「Firewall-1」で知られるチェック・ポイント・ソフトウェア・テクノロジーズ(チェック・ポイント)。だが同社社長の松下晃雄氏によると、従来型のファイアウォールだけでは対策は不十分という。
ITmedia 昨年のセキュリティ業界を振り返ってみて印象に残ることは何でしたか?
松下 2002年から2003年にかけては、Webを主体としたアプリケーションに対する攻撃が顕著に見られた1年だったと思います。主なところではSlammer、Blasterといったワームが登場しましたが、これらはいずれも、ネットワークの境界を越えてきて悪さをします。つまりアプリケーションに対する攻撃です。これに対し、しっかり対策をとる必要が明らかになってきました。
ITmedia 具体的には何が求められるのでしょう?
松下 ユーザーとしては、OSを常にアップデートし、アプリケーションもアップデートを行い、業務アプリケーションがあればそれもアップデートしていくことになります。というのも、コンピュータシステムというのはどうしてもバグやセキュリティホールがあるものだからです。
しかしここに問題が生じます。アプリケーション運用担当者としては、動作保証の問題などから、勝手にOSにパッチを当ててほしくはないのです。かといってパッチを適用しないまま放置していては危険です。システムを止めないためにパッチを当てず、そのまま運用するという選択肢もあるでしょうが、やはりそれは避けるべきでしょう。別の環境で検証を行ってから適切にパッチを当てるべきです。
われわれチェック・ポイントが提供するファイウォールでは、こうしたジレンマを解決することができます。悪さを働こうとするパケットをブロックし、OSに手を加えずとも、パッチを当てるまでの当面の間、問題を回避できるようにします。
ITmedia そのために新しい技術「Application Intelligence」を開発したのですか?
松下 いわゆる従来型のファイアウォールは、ある場所から社内に送られてきたパケットを止めるというものでした。これに対しわれわれが今取り組んでいるのは、そうした伝統的なファイアウォールの機能を超えた、アクセス制御や認証といった機能です。というのも、現に今、内部システムに入る資格を備えた人がやってきて何らかの悪さを働くという事件が起きているからです。われわれが昨年から提供を始めたApplication Intelligenceでは、パケットの動きを見て、本来とは異なる動きをしているものを止める役割を果たします。
ITmedia 最近では、ファイアウォールだけではセキュリティ対策は万全でないということがよく言われます。
松下 そうですね。われわれとしても、伝統的な境界を守るためのファイアウォールという言葉に代わり、内部を守るための機能やVPNなどを含んだ「セキュア・バーチャル・ネットワーク(SVN)」というアーキテクチャを提唱しています。ファイアウォールにとどまらない統合的なセキュリティが求められているのだと思います。
ITmedia アプリケーションレベルのセキュリティについて、より詳しい説明をお願いします。
松下 従来型のファイアウォールは、意図は何であれ、悪意を持ったハッカーが侵入を試みようとするのを入り口で止める役割を担ってきました。しかしそれでは、Web(HTTP)が用いる80番ポートまでを止めることはできません。ここに目を付けて、80番ポートを通じ、セキュリティホールを悪用してWebサーバに侵入し、いたずらを試みようとする攻撃が増えてきています。つまり、パケットの中身に、対象となるシステムのセキュリティホールを悪用して「内側に入って暴れろ」といった命令を書き込んでおくのです。
こうした攻撃をブロックするため、チェック・ポイントのファイアウォールでは、80番ポートを通るパケットの通過を許可しながら、かばんの中身も調べるということをやっています。例えば電車に乗るとき、持ち物の検査までは行いませんね。伝統的なファイアウォールがそうしたものだとすれば、今求められているのは飛行機に搭乗するときの手荷物チェックのようなものです。バーチャルなセキュリティの世界にもそこまで徹底したチェックが求められるようになったと思います。Application Intelligenceはそのための技術で、ワームの形を取る前の段階でも、不審なパケットをブロックすることができます。
ITmedia しかし攻撃手法も次々に新しいものが出てきます。
松下 セキュリティホールが指摘されてからパッチが出るまでには時間がかかります。一方でSlammerのように、非常に短時間のうちに真似んするワームが登場しており、それは昨年顕著な傾向でした。その間、攻撃を食い止めるための手立てが必要です。チェック・ポイントでは、スクリプトによってそれを食い止めることができる手段を提供しています。
たとえアクセスする資格を持ったユーザーでも疑うべき、と語る松下氏
こうした点が評価されてか、大手企業の中でもクライアントが増えてきています。中には、社員10万人のリモートアクセス環境を整え、うち3万人はモバイル環境でも接続を行うというような企業もあります。その背景には、ブロードバンド接続が普及していることがあるでしょう。
これまでは、企業本社と主な営業所、支店をVPNで結ぶという仕組みが整えられてきました。そして次に、安価で品質のよいブロードバンドが普及してきたことを背景に、より小規模な営業所や関連会社にまでこのVPN網が広がろうとしています。そして同時に、リモートオフィスやブランチオフィス向けのセキュリティのニーズも高まっているのです。
われわれが「Safe@Officeアプライアンス」や「VPN-1 Edge」といった小規模ネットワーク向けの製品をリリースしているのは、そうした理由からです。リモートオフィスやブランチオフィスでは、手軽で安価で、しかも大規模ネットワーク向けと同レベルのセキュリティが必要とされています。セキュリティというのは水と同じで、どこか1カ所が弱ければそこから破られてしまうものですから。
ITmedia Blasterのときには、自宅でワームに感染したノートPCが企業LAN内に持ち込まれ、被害を広めたケースも見られました。
松下 端末に対する攻撃を防ぐパーソナルファイアウォール機能も重要になるでしょう。無線LANを利用している自宅ではクライアントを外部の攻撃から守り、それを社内LANに持ってきたときには、セキュリティ機能をオンにしたままじゃないと接続させないというくらいのことをしないと危険でしょうね。チェック・ポイントでは既に「Secure Client Verification」という形で、たとえ認証をクリアしても、OSのアップデートを行っていなければ接続を拒否させる機能も提供しています。たとえそのユーザーに資格があっても疑う仕組みです。
ITmedia セキュリティに対する意識の面ではどうでしょう?
松下 チェック・ポイントは本社がイスラエルにあるだけのことはあって、非常にセキュリティ意識が高い企業です。間違えてアクセスを拒否することはあっても、間違えて受け入れることは決してない、という考え方をしています。もしここに、本社CEOのギル・シュエッドが来たとしても、怪しいと思ったら入室は拒否する、そういう仕組みができています。
こうした、限りなく安全なサイドを志向するイスラエルの思想と比べると、日本のセキュリティに対する考え方はまったく異なりますね。インターネットはこういうところが危ないですよ、と言っても、なかなか分かってもらえません。日本の文化には、そこまでセキュリティに対する意識がないのでしょう。その部分の啓蒙、啓発をどんどん進めていきたいと考えています。
ITmedia 今年はどういったセキュリティ対策が求められるでしょう?
松下 ブロードバンド環境が広まり、今やWebを使わないビジネスはありえません。今まで電話を介してあれこれやり取りしていた在庫情報などを、Webを介して確認できるようになるのですから、これは非常に大きな変化です。こうしたやり方を取らなければ、企業は競争に勝てなくなるでしょう。
そのWebを、従来のような境界型のセキュリティ対策で止めてしまうのでは仕事になりません。不特定多数のユーザーや社員がアクセスしてくることを前提に、アクセス制限を行うだけでなく、たとえ資格を持っていたとしてもその持ち物や意図を疑い、悪さをできないようにしていくことが必要です。それも、外から侵入されるケースだけでなく、内側から外に出て行くトラフィックについてもチェックする仕組みが必要でしょう。
2004年、今年のお正月は?
3月から11月までは草野球を楽しみ、時折ゴルフにも出かけるというが、年末年始はちょうどシーズンオフ。「のんびり骨休めをしました」という松下氏。とはいえ1月中に、アジア太平洋地域の社内キックオフミーティングが控えているため、その準備も進めなくてはと苦笑い。
2004年に求められる人材像とは?
やはり大事なのは英語だと松下氏は強調。もう1つ重要なのがスピードだという。「世の中にはこれだけ多くの情報があふれており、その中には有用なものがたくさん含まれている」。それらの情報を読み取り、すばやく吸収していくうえで、英語の学習は欠かせないという。
関連記事
新春インタビュースペシャル2004
関連リンク
チェック・ポイント・ソフトウェア・テクノロジーズ
[聞き手:高橋睦美,ITmedia]