ワームの社内感染拡大を自動防御する 定義ファイル更新不要なテクノロジー

　2001年に発生したCode Red以降のニュースを振り返るまでもなく、近年のワーム感染被害は繰り返し頻繁に発生し、しかも壊滅的なほど広域へと一気に拡散。脅威の増大に伴うセキュリティ意識の高まりにも関わらず、セキュリティ脅威の発生頻度は決して下がっていない。

　インターネットの利用範囲や帯域の増加なども一因だが、モバイルPCの普及によって社外のネットワークで感染したPCが社内ネットワークに持ち込まれることで、イントラネット内での感染が広がるなど、ユーザーの利用形態が変化してきていることも、その一因となっている。

　では、運用でこれを改善できるのだろうか？

　不可能ではないが、ネットワークの利用範囲、ユーザーのPC運用形態に著しい制限をかける以外に、根本対策を行うことは難しい。しかし、当然ながらそうした制限は、本来、PCとインターネットが有する柔軟性を失わせることにもつながる。一部の業務は完全な管理が可能かもしれない。しかし、すべての業務を完全に管理してしまうことは難しい。

　現状のネットワーク運用とセキュリティの強化を、どのようにバランスさせるのか。このテーマは常に企業にとって悩みの種だ。それというのも、近年のワームは通常の運用では防ぎきれないからだ。

　たとえば2003年1月に流行したSQL Slammerは、わずか30分足らずの間に世界中のコンピュータへと拡散したことが、その後の調査で明らかになっている。8月に発生したMS Blasterは、世界中の30万台ものコンピュータに感染したといわれている。これら近年のワームは、感染力が非常に強く、流行を察知してから対策を施すだけでは防げない。

　また、既存のワーム対策製品のように、既知のワームのバイナリパターンや活動パターンを検出するだけでは、パターンファイルの配布が間に合わない。ワームは自動的に無数のIPアドレスをスキャンしながら、脆弱性が放置されたコンピュータを探して感染を続けていく。常にすべてのPCを、あらゆるセキュリティホールから100％安全な状態にしておかなければ、企業内のコンピュータを健全に保つことはできない。

　加えてワームの開発ペースが信じられないほど早くなっていることも見逃せない。いくつかの感染・侵入パターンが確立され、それぞれに基礎となるプログラムコードが存在するため、セキュリティホールが発見されると既存のワームのソースコードを改造、あるいは複数のコードを組み合わせ、新しいワームを比較的容易に作成できてしまう。

　かつてセキュリティホールの発見から、それを利用した新種のワームが登場するまでには、数カ月、あるいは最短でも数週間を要していたが、現在では数日へと短縮されてきた。

　これほどまでに時間が短縮されると、セキュリティパッチの適用が広がる前にワームの拡散が始まってしまう。このため“普段からセキュリティパッチを適用していれば大丈夫”とは言えなくなってきた。

　このような増大する脅威に対して、企業のセキュリティ対策はどこまで進んでいるのだろうか？ 昨年7月発表の情報通信白書によると、クライアントPCへのウイルス対策ソフトの導入は83.8％と比較的高いが、サーバへのウイルス対策ソフト導入は55.9％、ファイアウォール設置は52.0％にしか過ぎない。

表1　企業における情報通信ネットワークのセキュリティに関する対応状況（複数回答）『情報通信白書平成15年版』総務省（2003.7.4発表)

　ウイルス対策ソフトの場合、特に破壊的活動を行うウイルスにはコンピュータ内部での活動パターンに規則性があることなどを利用して、未知のウイルスに対してもコードを解析し検出する機能がある。ウイルス対策に限れば、特殊な場合を除き深刻な問題は起こりにくい。

　しかしネットワーク感染型ワームに関しては、こうした自動検出が行いにくい。どのようなポートを使った通信にしろ、単純なパターン分析ではワームなのか、通常のネットワーク通信なのかを判別することは難しいからだ。24時間、ネットワーク活動を人間が監視したとしても、感染を未然に防ぐことはできないだろう。

　だが、ここまでの話でも明らかなように、未知のワームに対応できなければ、近年発生している問題には対処できない。十分な活動パターン分析がなされていないワームだからこそ危険度が高く、対策することが重要なのだ。

　しかもファイアウォールを設置していても、感染したモバイルPCをイントラネットに接続した瞬間に、全社に感染が広がる可能性がある。ウイルス対策ソフトの導入は、セキュリティ対策の第1歩として必要なものであり、ファイアウォールの設置に関しても同様であることは改めていうまでもない。だが、それだけでは不十分であることは明らかだろう。

　では未知のワームに対しての対応は不可能なのだろうか？ その答えが、NECのWormGuard IPシリーズだ。WormGuard IPシリーズは、最新のセキュリティ技術※1を駆使し、ほかのセグメントや外部ネットワークへの2次感染を効果的に防御し、企業の情報資産を守る高信頼のセキュリティシステムだ。

　感染力の強いワームは、効率よく感染を広げるためにポートスキャンに代表される事前探知を行う。WormGuard IPシリーズは、この事前探知をトリガーにして接続相手が不正なアクセスを目的としているかどうかを判断するのだ。

　WormGuard IPシリーズは、ポートスキャンを検出すると、実際には存在しない仮想端末の応答パケットを返す。スキャン元が応答を受けて、一方的な接続を開始しようとすると、WormGuard IPシリーズは、その端末を攻撃者であると判断する。以降、その端末から別セグメントへの通信を、一定時間遮断するもので、シグネチャやパターンファイルのメンテナンスを行わなくとも、ワームによる脅威からネットワークを保護する。

図1　WormGuard IPシリーズがワーム感染端末を検出し、拡散を防止するプロセス

　この技術の最大の長所は、ワームが実際に感染活動・破壊活動を始める前の事前探査の段階で脅威を検知できることだ。たとえば今年5月に流行したワームSasserも、まだその名前さえ確定していない未知の段階からこの技術により検出され、その破壊活動を防止されている。

　ここまで、NECのWormGuard IPシリーズについて説明してきたが、同社はS@FEGUARD IPシリーズ※2という製品も提供している。S@FEGUARD IPシリーズはインターネットとの接続部分に設置しインターネットを通じたワーム感染の危険を取り除く製品だ。このため、S@FEGUARD IPシリーズには管理機能として、攻撃元のIPアドレスから攻撃者の地域やホスト名を記録、閲覧する管理機能を持つ。

図2 企業内ネットワークのサブネット間を接続するポイントに設置されるWormGuard IPシリーズ（画面をクリックすると拡大表示します）

　これに対してWormGuard IPシリーズは企業内ネットワークにおいて、サブネット間を接続するポイントに設置する。つまり、インターネットからの脅威を守るのではなく、何らかの手法で社内に持ち込まれたワームの活動を、持ち込まれたサブネットの中だけに留めるためのネットワークアプライアンスだ。そのため、イントラネットを意識した、社内ネットワークの感染状況をモニタするための管理ツールが備えられている。

　S@FEGUARD IPシリーズはインターネットからのワームの侵入を未然に防ぐものの、イントラネットに直接ワームが持ち込まれたときには、社内の拡散を防止することができない。強力な感染力を持つワームが、直接イントラネットに持ち込まれると、最悪は社内にあるすべてのPCが感染する可能性がある。しかしWormGuard IPシリーズがサブネット間に置かれていれば、ワームの影響はサブネット内だけで収めることができるため、全社のネットワーク機能に障害が発生することがなくなる。

　たとえば、外部にPCを持ち出して利用する機会の多い部署、たとえば営業部門を独立したサブネットとし、社内ネットワークへと接続するポイントにWormGuard IPシリーズを配置すれば、営業部門がワーム感染したノートPCを社内に持ち帰ってイントラネットに接続しても、それがサーバファームや他部門のPCへと感染することを防げるのだ。

　ただし、これだけでは“完全”ではない。たとえば社内に無線LANを張り巡らし、部署間、フロア間でローミングアクセスを可能にしている場合、ワーム感染したノートPCが社内で持ち歩かれ、次々に各セグメントがワームに冒される可能性も考えられる。この問題は、セグメントの分割方法や無線LANの利用ポリシー設定などで、ある程度は危険性を“緩和”できるが、“排除”はできない。

画像をクリックすると拡大します

写真1　WormGuard IP100

　しかしWormGuard IPシリーズは、NECが提供するCapsSuiteのPC検疫システムとの連携によりこの問題に対処している。CapsSuiteは、NECが社内で運用しているサイバーアタック対策システム「CAPS」において実証した、サーバやパソコンに対するセキュリティ管理技術をパッケージ化したものだ。この中で提供されているパソコンの不正接続監視機能を用いることで、ワーム感染したPCが無線LANローミングで被害を拡大させてしまうことを防ぐことができる。

画像をクリックすると拡大します

写真2　WormGuard IP200/SP、IP200/DP

　WormGuard IPシリーズでワームの活動が検出されると、感染源として特定される端末をCapsSuiteのPC検疫システムに通知。以降、ほかのサブネットへと移動して社内ネットワークに参加しようとしても、機器に対する接続認証を発行しなくなる。

　こうしたセキュリティソリューションは、強力な1つの製品だけで成り立つものではない。さまざまな手法、原因によるセキュリティホールに対し、セキュリティ対策製品全体が連携、対処して初めて100％の能力を発揮する。

　NECブロードバンドソリューションセンターでは、上記、WormGuard IPシリーズとCapsSuiteの連携を始め、さまざまなIT・ネットワーク統合ソリューション（UNIVERGE）とそれらを組み合わせた事例を紹介するデモツアーを受け付けている。またここで紹介したWormGuard IPシリーズも、導入検討時には実利用環境でのトライアル貸し出しも受け付けているという。まずはここで紹介した機能をデモツアーで確認してみるといいだろう。