いま求められるネットワーク・セキュリティとは？ 〜 ポイント・セキュリティからトータル・セキュリティへ 〜

　2001年から2002年にかけて、官公庁のWebサイトへの相次ぐクラッキング事件や、「Nimda」「CodeRed」に代表される強力なワームの出現などが続いた。それに伴い、一般の新聞やITとは直接縁のないような雑誌の紙・誌面においても、これらネットワーク・セキュリティに関するキーワードが飛び交っていた。

　これまで、セキュリティといえば、あくまで影の存在。利益を直接生み出さないという消極的な理由もあり、ほかの情報システム投資に比べ、人員や予算の点で不遇の扱いを受けていた面もある。だが、これら事件を教訓に、企業のセキュリティに対する認識は高まりつつあるといえる。

　ネットワークに対する攻撃手段は日々進化している。一方、セキュリティ・ホールに関する警告も、頻繁にアップデートされるようになった。セキュリティ対策とは、一度機器やソフトウェアを設置すれば完了するものではない。日々更新されるセキュリティ情報を定期的に収集し、自身のネットワークに反映していってこそ価値が出てくる。

　本記事では、「いま求められるネットワーク・セキュリティ」と題して、ネットワーク・セキュリティの最新事情を紹介していこう。

　冒頭で、企業のセキュリティに対する認識が高まりつつあると記したが、現状はどうだろうか？ まずは機器の設置状況から見てみよう。

　ネットワーク・セキュリティの第一歩ともいえる、ファイアウォールの導入状況だが、おおむねほとんどの企業が採用しているようだ。データはやや古いが、＠IT Security&Trustフォーラムで行った第1回 読者調査（2001年7月）によると、1年前の時点で8割近い企業がファイアウォールを導入していることが分かる。おそらく、ダイヤルアップ・ルータに含まれるような単純なポート・フィルタリング機能までをも含めると、さらに数が増えるだろう。最近では、Windows XPが標準でファイアウォール機能を備えるなど、クライアント・レベルでのファイアウォール実装も進んでいる。

　次に、最近になりキーワードとして、あちこちに頻出するようになったIDS（不正侵入検知システム）の導入状況だ。セキュリティ対策の一環として、一般に広く認知されるようになったのは、ここ1〜2年のことだが、その導入例は増えつつあるという。

「セキュリティ対策として、ほとんどの企業でファイアウォールの導入が行われています。IDSについても重要性が認識されるようになり、導入する企業が増えてきています」（シスコシステムズ マーケティング エマージングテクノロジー本部 エマージングテクノロジー部 マーケティングプログラムマネージャ 横田直人氏）

　企業ネットワークへのアタック手段も変化を続けている。シスコシステムズ システムズエンジニアリング ネットワークテクノロジー本部 ソリューションテクノロジー部 システムエンジニア 木村滋氏は、「ぜい弱性を突くアタック手段において、対象となるネットワーク・レイヤが拡大している」と指摘する。

「最近、攻撃対象となるネットワーク・レイヤが拡大してきています」（木村氏）

　従来より行われているアタック手段としては、WebサーバのCGIやアプリケーションなどの、比較的上位のレイヤを攻撃するものが多かった。中でも有名な「バッファ・オーバーフロー」は、プログラムが想定する以上のURLなどの文字列（コード）を送り込み、ワームなどのプログラムを実行させる方法である。

　バッファ・オーバーフロー以外にも、攻撃者はアプリケーションが持つセキュリティ・ホールを利用して進入を試みる。「CodeRed」や「Nimda」は、マイクロソフトのIISの既知のセキュリティ・ホールを利用して、自身を感染させるワームである。一度ワームに感染したWebサーバは、今度は自身がワームの発信源となり、ほかのWebサーバへの攻撃を始める。対策の行われていないIISを中心に、一時期CodeRedやNimdaが爆発的に広まったのは、これが原因である。

　CGIやアプリケーションの場合は、きちんと対策を行っていれば、被害が拡大することは少ない。だが、アタック対象となるレイヤが次第に低くなるにつれて、ネットワーク管理者は新たな対策が必要となりつつある。最近よく指摘されているが、無線LANの暗号化方式であるWEPでは、暗号強度などの面（特に64bitsのもの）で効果が低いとされている。また新しい攻撃手法として、内部ネットワークにおいて、一度特定のサーバに悪意のあるプログラムを仕掛け、第2層を介して近隣のサーバへ感染範囲を広げる例もみられるという。大量のゴミ・パケットを送りつける攻撃も、依然として有効な対策をとることは難しい。

　以上は直接的な攻撃手段だが、それ以外にも脅威はある。セキュリティにおいては、外部からの攻撃がクローズアップされがちだが、実際には内部（インターナル）からの攻撃や情報漏えいなどが原因となることが多いと指摘されている。内部ネットワークから攻撃されれば、ファイアウォールは意味をなさない。IDやパスワードの管理がずさんであれば、その一角を突いて簡単に進入を許してしまう結果になる。

　そこで必要になるのが、「ネットワーク・トータルでセキュリティを実現する」という考え方だ。「ファイアウォールさえ設置しておけばよい」というのではなく、想定される事態をすべて考慮に入れた上で、全体のセキュリティを高めることが求められるのだ。

　例えば、ファイアウォール単体では、侵入されてしまった場合の対処が行えない。そこで次に必要となるのが、IDSである。IDSとファイアウォールをペアで利用することで、外側からの侵入をまずはファイアウォールで防ぎ、それを通過したものをIDSで検知する。1次防衛ライン、2次防衛ラインといった形で、セキュリティ・システムの二重化を図るのである。これに、ネットワーク・ポリシーの設定など、さらにほかのセキュリティ対策も組み合わせれば、トータルとしてのセキュリティはさらに強固なものになる。

　前出の横田氏は、「シスコでは、さらにルータやスイッチも含めて全体でネットワークのセキュリティを考えることで、インターナルな攻撃にも対処できるソリューションを提案しています。こうした提案で、ネットワーク全体の価値を高めるのです」と、トータル・セキュリティの重要性を指摘する。

　また、「シスコ自身はネットワーク・ベンダだが、ウイルス対策などの専門外の分野は、やはり専門のベンダと組んで対策を行っていくべき」（横田氏）と、自社の技術だけでなく他社の技術も組み合わせた形で、セキュリティ全体の提案を行っていくとも話す。

　必要に応じて、最適なソリューションを選択する。それも、トータル・セキュリティにおいて重要な考えだ。

　いま、ネットワーク・セキュリティの分野では、どのようなトレンドがみられるのだろうか？ 横田氏に質問してみた。

「ワイヤレス（無線LAN）における不正アクセスの危険性が指摘され、そのセキュリティに注目が集まっています。シスコではAiroNet（同社の無線LANシステム）とユーザー認証システムを組み合わせることで、ネットワークへのアクセス制御を行うなど、無線LANのセキュリティを実現しています」

「無線LAN＋ユーザー認証で、強力なアクセス・コントロール機能を適用します」（横田氏）

　現状の無線LANの標準機能では、アクセス・ポイント接続後の動作は特に規定されていない。つまり、一度侵入を許してしまうと、以後は社内LANにいる感覚で簡単にネットワークにアクセスできてしまうのである。そこで、ユーザー認証システムを組み合わせることにより、アクセス範囲を制限し、外部からの不正侵入による被害を最小限にとどめるというわけだ。

「それ以外では、IDSの高速化が注目されています。アーキテクチャの見直しで、これまでの処理能力が飛躍的に上がる予定です。今後、バックボーンの帯域が拡大することが予想されますから、それに対応できる処理能力を持たせる必要があるのです」（横田氏）

　同社では、今後はスイッチ自体にIDSの機能を実装させる予定だという。

　セキュリティを高める技術には、さまざまなものがある。すべてを組み合わせることができれば、もちろんそれに越したことはないのだが、コストや管理の問題から難しい面もあるだろう。導入のコツは何だろうか？

「確かに、すべてを導入することが望ましいのですが、なかなか難しいと思います。シスコの推奨するネットワーク・セキュリティは、Cisco SAFEの考えに基づき、企業の成長に合わせてモジュール単位で拡張可能になっています」（横田氏）

「中小企業では、担当者やスキルの不足から、セキュリティ・パッチのアップデートなど、日々のセキュリティ対策が不十分な場合があります。その場合、SIerなどが、『MSS（マネージド・セキュリティ・サービス）』という名称で、コンサルティングや管理サービスを行っています。MSSパートナには、シスコの米国開発部門からの最新セキュリティ情報を提供しています」（横田氏）

　セキュリティ・システムのアウトソースに抵抗を示すユーザーがいるかもしれないが、必要なスキルやリソースを持たないような場合は、やはり専門分野はプロに任せるのが一番だろう。自社のシステム規模に見合った、最適なソリューションを選択してほしい。