トータルセキュリティベンダ、新生マカフィー 自社のセキュリティ対策の勘どころとは？

　セキュリティベンダであるマカフィー（旧社名：ネットワークアソシエイツ）では、2003年度の1年間で、自社ネットワークへのセキュリティ攻撃が5000万件に上った。そのため、社内ネットワークへの攻撃を未然にブロックするよう、同社のセキュリティ戦略「McAfee Protection-In-Depth」に基づくネットワーク構築コンセプトとその製品群を採用している。

　マカフィーでは、社内インフラを保護するために採用するセキュリティコンセプト Protection-In-Depthに則り、各脅威に対抗可能なテクノロジを採用した製品群を、実際の運用に耐えるように適切に配備、運用している（図1）。

図1　Protection-in-Depthの実際 （図版をクリックすると拡大表示します）

　製品群を各ポイントに配備しただけに見えるかもしれないが、この製品群の脅威への対処時間を考慮し、有機的に運用することで脅威に効果的に対処ができる。

　Protection-In-Depthの勘どころとして、以下に4つのポイントをご紹介しよう。

　まずワーム対策だが、脆弱性パッチなどがリリースされた段階で、その脆弱性への侵入をブロックするシグネチャ（ウイルス定義ファイルのようなもの）がマカフィーからリリースされるので、ワームがまん延（アウトブレークが発生する）前に対処することが可能になる。さらに脆弱性を攻撃するワームが発生し、企業システムへの脅威がまん延したとしても、すでに脅威となりうるパケットを破棄（ドロップ）してあるので、アラートがあがるのみで、事後対応する手間もリスクも防ぐことができる。

　次に大量メール配信型のウイルスの対策だが、現在のテクノロジで防御するにはパターンマッチングが一番確実な方法だ。そのため事後対応が求められるが、その事後対応にかかる時間を最短にすることが重要だ。マカフィーでは、ウイルス定義ファイルがリリースされた後15分以内にすべてのWebShield Applianceの定義ファイル更新を行い、SMTPやHTTPを侵入経路とする社外からのウイルスをブロックしている。

　その次に重要なのは、社内で電子メールを配信するソフトウェアであるMicrosoft Exchangeとファイルサーバへの定義ファイルの適用だ。台数が多い分どうしても時間はかかってしまうが、世界各国に広がる社内ネットワークにあるすべてのマシンを1時間以内に統合管理ソリューションであるePolicy Orchestratorで自動的に定義ファイルを適用させている。

　最後は一番台数が多いクライアントPCへのウイルス定義ファイルの適用だ。4000台ものPCに最新の定義ファイルを確実に適用させるのは非常に手間がかかると思われがちだが、統合管理製品であるePolicy Orchestratorを使用しているため、社内のネットワーク帯域に過大な負荷をかけることなく、12〜24時間以内には98％のマシンの定義ファイルを自動に更新させることができている。「その間にモバイルPCがワームの攻撃にさらされるのでは？」と思われるかも知れないが、モバイルPCにはパーソナルファイアウォールのMcAfee Desktop Firewallがインストールされているため、業務に使用しないポートやアプリケーションはすべてブロックされており、侵入はほとんど不可能になっている。

　マカフィーはこのようなゾーン・プロテクションを実現するMcAfee Protection-In-Depthを採用することで、ウイルスやワームによる感染は一切なく、攻撃被害復旧コストの回避、IT要員の削減、およびパッチの計画的適用により、年間200万ドルのコスト削減効果を挙げている。

Protection-In-Depthを構成する製品群

　Protection-In-Depthのコンセプトやその投資効果はお分かりいただけたと思うが、では各ソリューションは同じような機能を提供している他社製品とどう違うのだろうか。詳しい説明は参照先のページに譲るとして、この夏に新バージョンがリリースされる製品、WebShield Appliance v3.0（8月末リリース予定）、McAfee IntruShield v2.1（8月末リリース予定）、VirusScan Enterprise8.0i（7月末リリース予定）について簡単に触れてみたい。

　 WebShield Applianceは、Linuxベースの高性能ハードウェアプラットフォームと、ウイルス対策、コンテンツ管理ソフトウェアを組み合わせたアプライアンス製品だ。高いパフォーマンスを実現するために、検出できるウイルス数を限定している製品もあるなかで、WebShieldはMcAfeeスキャンエンジンが検出できる90000種以上のウイルスすべてのスキャンを実現しながら、SMTP／HTTPの同時使用のスキャン機能を提供している。そのパフォーマンスや信頼性は、複数プロトコル使用ユーザーが64％に達していることからも伺い知ることができるだろう。

　また、プロキシ構成、透過型ルータ構成、透過型ブリッジ構成の3種類の動作モードがあり、透過型ブリッジ構成を採用した場合には、周辺機器の設定変更が必要なく導入が非常に容易だ。透過型ブリッジ構成でWebShieldを複数台導入した場合、冗長構成が可能。STPを利用したフェールオーバ機能もサポートされているため、より安定した運用も実現できる。

　冗長構成の際には、2台目価格、3台目以上価格帯が用意され、複数台のマシンの負荷を分散させるロードシェアリング機能も標準で装備されており、割安に導入できるのもポイントだ。保護されるクライアントPC台数に依存しない無制限対象の価格構成、次年度以降のサポート価格も製品定価の25〜30％程度という点も他社製品と検討する際には考慮していただきたい。

　v3.0では、運用面の強化が図られている。「システムステータス画面」が提供され、CPUパフォーマンスやメモリ使用量などがブラウザ上で直感的に情報を得られ、管理者はApplianceの負荷を知ることで増設のタイミングや最適な台数の把握などに役立てることができる。

　McAfee IntruShieldは、1台のASICアプライアンスで複数セグメントに対し、 100Mbps〜2Gbpsまでの帯域で、実被害が急増しているワームから不正アクセスまでをパケットロスすることなく、 侵害発生前に検知／ブロック可能な不正侵入検知・防御製品だ。

　「ブロック機能」というとあまり馴染みがないかも知れないが、ワームが頻繁に出現している現状において、ブロックの必要性は高く、調査機関のGartnerなどは、「2004年末までにブロック機能を組み込まないIDSベンダは、2005年末以降まで存続することができないであろう」とまで言っている。ベンダに対するコメントではあるが、ユーザー環境にとっても同様のことと言えるだろう。このブロック機能を総称したIn-Line型というカテゴリ製品市場で、IntruShieldはNo.1の43％のシェア（2004年7月の米Infonetics Research社発表）を獲得しており、IntruShieldの優れた検知性能、パフォーマンスがユーザーに高く評価されている結果となっている。

　v2.1の新機能は、新たにACL（Access Control List）の機能を持たせ、Internal Firewallとしても利用できるようになる。WebサーバへのSSL通信をデコードし、不正なパケットかどうかをIntruShieldで判断する「SSL Decryption」機能も提供され、Webサーバのより一層の保護も可能になる予定である。

図2　DMZの防御＋監視（バーチャルIDS概念）

　 IntruShieldのバーチャルIDS機能は1つのセンサで複数のサーバーやネットワークセグメントに対してそれぞれ最適なポリシーを設定できるため、さまざまな運用形態に応じた防御や高精度の監視が実現できる。

　VirusScan Enterprise8.0i（VSE80i）はウイルス対策機能はもちろん、以下に説明する機能満載でありながら、約10MBのインストールモジュールサイズとクライアント／サーバ両方に使用できるのも魅力のひとつだ。すべての機能は統合管理製品ePolicy Orchestratorにより、リモートで設定変更ができる。

　いままでのクライアントウイルス対策製品では検知できなかったワームの攻撃に対してもプロアクティブな対応が可能なファイアウォール機能、マイクロソフト社製品を中心とする20以上のアプリケーション別のバッファオーバフローを防止する機能を提供する。また、新しく、スパイウェアなど不審プログラムやCisco NAC（Network Admission Control）にも対応する。

　以上、マカフィー社内のセキュリティ戦略「McAfee Protection-In-Depth」やゾーン・プロテクションを最大限に生かせるよう構成・運用されている個々の製品特性についてご説明した。トータルなセキュリティ対策を模索する企業の皆さんに参考にしていただき、自社の「新たなセキュリティ戦略」に役立てていただければ幸いである。

　さらに詳しい製品情報やセミナー・イベント情報、導入事例などは、右側のマカフィーの提供する情報からご確認いただきたい。また、下リンクのMcAfee IntruShield技術白書は、企業が守るべき情報資産に対して不正アクセスという観点で論じたホワイトペーパーである。ぜひ、参考にしていただきたい。

期間限定情報 最新テクノロジーをより詳しく説明したホワイトペーパーを、 いまなら無料提供中。 ぜひ＜ダウンロード＞してください。 ロゴをクリックするとダウンロードページへジャンプします。