最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き~東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」~Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり~米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応~JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【レポート】

~セキュリティ製品大手チェック・ポイントに聞く

ファイアウォールは「マルチ・レイヤのセキュリティと事後対策」が要に

■URL
http://www.checkpoint.co.jp/pr/2003/20030513.html
http://www.checkpoint.co.jp/

 ファイアウォールは今や、企業など大規模ネットワーク環境を有する組織において、圧倒的な普及を見せるセキュリティ対策製品だ。今回は、ファイアウォールに必要とされる将来的な機能や、その方向性について、チェック・ポイント・ソフトウェア・テクノロジーズ技術部長の卯城(うしろ)大士氏に話を伺った。

■従来型ファイアウォールの機能

チェック・ポイント・ソフトウェア・テクノロジーズ技術部長
卯城 大士氏
 ファイアウォールは、各ネットワークのゲートウェイ部分でデータのやりとりを監視するセキュリティ対策の1つで、インターネット側から無差別に行なわれるポートスキャンや、悪意を持って送られる莫大な量のパケットなどを遮断する役目がある。チェック・ポイントは、そのファイアウォール製品開発・販売の中でも大手で、「FireWall-1」などで知られている。

 ただしファイアウォールもセキュリティ対策として万能ではない。一般的なファイアウォールは、ネットワークプロトコルを規定した「OSI階層モデル」のうち、「ネットワーク層」での攻撃を防ぐものだからだ。多発するOSやアプリケーションソフトの脆弱性をついた攻撃は、ネットワーク層の上位に当たる「アプリケーション層」で行なわれているため、基本的に無力となっている。

 例えば1月に発生したSlammerウイルスは、1434番ポートを通過して拡散する。しかしこの1434番ポートは、通常「Microsoft SQL Server 2000」が利用するため、ファイアウォールの機能でポートを閉じたのでは、本来SQL Serverが提供する機能をも停めることになってしまう。つまり、業務用途では、「1434番ポートの閉鎖」という選択肢は実質的に採れないことを意味する。

 また同じような例として挙げられるのが、80番ポートだ。80番はWebサイトのブラウジングなどに用いられるHTTPプロトコルの利用ポートであり、多くのネットワークで開放されているものだが、XML/SOAPといったWebサービスや一部のインスタントメッセンジャー、P2Pファイル共有ソフトなども利用する。また80番を利用するウイルスやワームもあるため、一律的な対処が難しい。

 これら、アプリケーションの脆弱性を解消するためには、結局のところ、メーカーが作成する修正パッチのリリースを待つしかない。ただし、このパッチが早急にリリースされたとしても、業務で利用するサーバーへの適用には、物理的なインストール作業のため、相応の時間が必要になる。

 卯城氏は「このアプリケーション脆弱性をついた攻撃を、いかにファイアウォールで対処するかが要求されている」と語った。

■アプリケーションの脆弱性からも保護

 この次世代ファイアウォールに期待されるアプリケーションレベルでの対策を、チェック・ポイントでは「マルチレイヤ・セキュリティ・ゲートウェイ」という概念でとらえ、「Application Intelligence」といった新技術で対応している。具体的には、「アクセス制御ポリシーで許可されたトラフィックに対して綿密な検査を実施し、アプリケーションやデータが危険にさらされることを防ぐ」というものだ。またこれは、「ウイルスやワームに感染したデータの拡散を防ぐ」といった事後の対策にも有効である。

 この概念の元として卯城氏が挙げたのは、「ネットワークレベルのセキュリティを通過する条件のトラフィックでも、アプリケーションレベルでの検出と防御をすることで、内部に潜む危険性を事前に防御できる。また仮に社内ネットワークがワームや、ウイルス等に感染してしまった場合でも、外部への流出・拡散を防げば、影響を最小限に抑えられる」ということ。

 ファイアウォール上を通過するパケットを監視し、正常なものだけを通過させるようにしておけば、サービス・ポートを閉じたり、脆弱性を持つサーバー自体を停止させる必要がないからだ。「根本的な治療はサーバーにパッチを適用することであるが、1台1台のサーバーに修正パッチを当てる時間を考えると、(ファイアウォールのある)ゲートウェイ部分で対処すれば、効率面で有利だろう。この条件で恒久的な対策(サーバーへのパッチ)を行なうことで、ビジネス・アプリケーションなどのサービスを停止することなくセキュリティの拡張が可能である」(卯城氏)。

 この「正常なパケットかどうか」を判断するための監視ルールは、同社が特許を持つステートフル・インスペクション技術とSecurityServerというエンジンで実施される。ステートフル・インスペクション技術の検査条件は、「INSPECT」と呼ばれるチェック・ポイント独自の簡易言語で記述されており、ユーザーが自分自身で設定できるのも特徴。プロトコルのヘッダ部分が必要以上に長い、ヘッダ部分にも関わらずバイナリデータが埋め込まれているかどうかなどの判断に加え、添付ファイルなども監視の対象にできる。もちろん影響度の高いウイルスやワームに対しては、チェック・ポイント自身が監視ルールを作成し配布しているとのことだ。さらに、SmartDefense機能の保守契約のユーザーは、これらの情報をオンラインでアップデートすることも可能だ。

 この概念に対応した機能はすでに製品に実装されているが、5月12日に発表された新バージョンである、「Check Point Next Generation with Application Intelligence」では、この機能がより推し進められているという。

 一見すると、このパケット監視をともなったセキュリティ施策は、IDS(Intruion Detection System)と似ている。この違いについて卯城氏は「通常のIDSは、ウイルスやワームのデータベースに適合するかどうかを判断し、内部の脅威、バックドア、ポリシー設定の誤りなどを検出し警告することで、セキュリティ・システムを拡張する。チェック・ポイントのApplication Intelligenceでは、アクセス制御と攻撃の保護を提供するマルチレイヤ・ゲートウェイ・ソリューションである」と述べた。

 卯城氏は「攻撃のテクニックは日々進化しており、特にアプリケーションやOSの脆弱性は今後も大きな課題だ。完全に防ぎきれないケースも残念ながらある。ファイアウォールにもネットワークレベルからアプリケーションレベルを含めた視点や、(侵入前の)事前防御だけでなく、『事後の防御』ができるような機能が重要だ」と、総合的なセキュリティの必要性について語った。

■ファイアウォール運用の理想型

 機能面での充実を見せるファイアウォールではあるが、その活用度はまだ低いのが現状だという。卯城氏によると「単一のポリシーで静的に運用されるケースがほとんど。問題が発生したときに集約効果を生かした適切な制御を行なうなどの動的な運用が理想的だ」という。

 ただしファイアウォールのポリシー操作には、一定のスキルが要求されるのも事実だ。これは企業にとどまらず、コンシューマ向けのファイアウォールソフトで考えた場合も同様で、「初心者が設定するのは、ほとんど無理ではないか」(卯城氏)としており、より容易な運用方法が必要だと見ている。

 また最後に卯城氏が今後より重要になるポイントとして例示したのが、「クライアントの保護」である。VPNやホットスポットの隆盛にともなって、社内ネットワークにリモートアクセスする機会が増えることは、同時にそのクライアント端末からウイルスやワームが侵入する可能性も増えるためだ。

 このようなケースに対処するため生まれたのが、パーソナル・ファイアウォール機能、クライアント・マシンの設定環境の事前チェックやクライアントの集中管理機能などを包括したチェック・ポイントのリモートアクセス・ソリューションである。だがユーザー個人がセキュリティ意識を向上させ、侵入そのものを未然に防ぐことが理想であるのは間違いない。今後は設備の充実だけではなく、その利用者側の行動にも、一層のスキルが要求されていくだろう。

◎関連記事
シマンテックに聞く「ウイルス被害の傾向と対策」
「パッチが当てきれない問題」を解決するには?

(2003/5/13)

[Reported by 森田秀一]

INTERNET Watchホームページ
INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.