Symantec Client Security パッケージ写真

　複雑化するネットワーク環境に対しては、ゲートウェイ型だけでなく、個々のクライアントへのセキュリティ対策が重要となる。その筆頭が、シマンテックのSymantec Client Security（SCS）である。

　「SCSは企業ユーザー向けに、個々のクライアントPCにアンチウイルスとファイアウォール、IDSを統合した製品です。インバウンドとアウトバウンド両方のトラフィックの監視や制御をクライアントPCごとに行うため、ネットワークに接続しているだけで感染するウイルスやワームはもちろん、不正な通信やハッキング、情報漏えいからも、個々のPCを守ることができます」（吉田氏）。

　SCSは個々のPCにインストールする形態のため、内部ネットワークで使っていたPCをモバイルで使用する場合も、こうした外部からの脅威を防ぎ、再び内部ネットワークに接続した場合にウイルスが蔓延するといったこともない。

　SCSの最大の特長は、アプリケーションレベルのブロッキングを行っている点にある。通常のファイアウォールはパケットレベルのブロッキングであり、PCに感染し、自身のSMTPエンジンを使ってファイルをばら撒くタイプのウイルスには通用しない。しかし、アプリケーションレベルのブロッキングは、あらかじめ指定したアプリケーション以外の使用を禁止する。通常の会社ではメーラーやWebブラウザしか使わないので、それを登録しておくと、ウイルスのような未登録のアプリケーションがメールを送ろうとしたらすぐに判明する。これによって、ウイルスによる情報漏えいや、不正にインストールされたアプリケーションによる情報漏えいは防ぐことができる。

　「SCSは外部からの攻撃はもちろんのこと、内部からの不正な情報の漏えい、内部同士の感染も防ぎます。例えば、ユーザーのクレジット番号や暗証番号をあらかじめ登録しておくと、その情報がネットワークに流れようとしたときにブロックします。これによって、スパイウェアのように、知らないうちに個人の情報を流出するという事故を防ぐことができます。また、個別のクライアントにファイアウォールが入っていますから、内部に持ち込まれたウイルスやワームの感染も防いでくれます」（吉田氏）。

　このほかSCSでは、特定のWebサイトのJavaアプレットやActiveXコントロールのダウンロードを遮断し、悪意のあるWebサイトから保護することもできる。ネットワークの外から中に向けた攻撃だけでなく、中から外への漏えい、中から中への内部感染もブロックする。

　SCSはシマンテックのコンシューマー用セキュリティ製品、Norton Internet Securityなどとの違いはどこにあるのだろうか？

　「Norton Internet Securityはコンシューマー用で、あくまで個人が家庭で利用することを前提にしていますので、複数のクライアントを管理する機能がありません。しかし企業では多くのクライアントが企業の定めたポリシーどおりにセキュリティ機能が実行されているか、システム管理者やセキュリティ担当者が確認する必要があります。SCSは、こうした管理機能を持たせた企業向けの製品ということがいえます。具体的には、ネットワーク上の一つのコンソールからクライアントPCのセキュリティ状況、きちんとアンチウイルスが稼働しているか、定義ファイルは最新のものか、あるいはファイアウォールは有効になっているかといった情報が一覧できます」（吉田氏）。

　クライアントに個別にセキュリティを導入するにしても、システム管理者やセキュリティ管理者がそれらを管理できなければ企業ユースには適さない。SCSは、複数のクライアントを一括して管理できる企業向けの製品なのである。

管理コンソール画面

管理者による一元管理とLiveUpdate

　SCSは統合型のセキュリティソフトウェアであるため、3つの機能を1つのコンソール画面で制御できる点も大きなメリットだろう。バラバラに導入するよりも導入コスト、運用コストともに抑えることができる。また、ウイルス定義やIDS/IPSのシグネチャなど、常に最新の状態が必要になるこれらの情報は、LiveUpdate機能によって、自動的に更新される。多数のクライアントを管理する場合でも、その手間を大幅に省くことができる。

　シマンテックの強みはセキュリティに関する情報を多く持っている点にある。セキュリティ分野では情報がとても大切となるからだ。

　「スパムメールもそうですし、ウイルスもそうです。脅威に関する情報や、脆弱性に関する情報なども必要です。シマンテックは世界中にセンサーを配置して、グローバルに研究する体制を持っています。研究者がそうした情報、定義ファイル、シグネチャ、URLなどのデータベースを構築し、それを短時間で製品に反映する体制ができています。これはおそらく他社さんにはまねのできないところだろうと思います。例えばスパムメールやウイルスを収集するため、世界中に約200万個のおとり用のメールボックスを設置しています。ここで受信されたスパムやウイルスは直ちに研究所に転送され、分析されるのです」（吉田氏）。

　日々進化し、増大するウイルスの分析には大変な労力が必要となる。例えばウイルスの定義ファイルについて、すべて人間がやっていたのではとても無理だ。そこで亜種や変種のウイルスについてはオートメーションで定義ファイルを作成し、新種についてだけ人間が見る、と切り分けている。

　「ウイルスの数はこのところ年々増加していますが、研究員の数はほとんど増加していません。にもかかわらず迅速、かつ質の高い対応ができているのはそういった効率的なシステム作りによるものです」（吉田氏）。

　さらに、個々のアンチウイルス製品も、ウイルスやスパムを監視するセンサーになっているという。

そのほか、アンチウイルス製品の中に、未定義のウイルスを自動的に送る機能を埋め込んである。それをデジタルイミューンシステム（デジタル検疫システム）と呼んでおり、お客様のPCで未定義のウイルスが見つかると、それを検疫サーバに転送して隔離し、検疫サーバからシマンテックに送られてくる。それがウイルスか、無害なプログラムかを解析して、ウイルスであったら定義ファイルを更新し、お客様に新しい定義ファイルを送信する。

　「ウイルスの発見方法には二通りあるんですね。一つはよく知られているように、定義ファイルをマッチングする方法。もう一つは不審な行動をしているかどうかを調べるもの。例えばシステムファイルを削除しようとしているとか、レジストリを書き換えようとしているとか、あるいは複数の不特定多数の宛先にメールを送ろうとしているかとか。そういった疑わしい振る舞いのプログラムを怪しいファイルとして検疫します。これを研究者が分析して、ウイルスなのか普通のプログラムなのかを解析するわけです。アンチウイルス製品のインストールベースを考えると、膨大なセンサーが世界中に配置されているということがいえるわけです」（吉田氏）。

　さらにシマンテックは、東京、シドニー、台北、サンフランシスコ、ダブリンなど、世界中に複数の拠点があり、24時間体制で、研究開発を行い、迅速に対応できる体制となっている。こうした体制が製品の強みとなっているわけである。