アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > “IPアドレス・メールごとに評価するレピュテーション”次世代型メールセキュリティソリューション「Secure Computing IronMail」
 
@IT Special

 

PR

“IPアドレス・メールごとに評価するレピュテーションサービス”
次世代型メールセキュリティソリューション
「Secure Computing IronMail」

 メールがビジネスの1つのインフラになった今日、ビジネスパーソンの朝はスパムメールとの戦いから始まる、といっても過言ではないかもしれない。毎朝パソコンでメールを仕分けするという単純作業に心当たりはないか。スパムメールは手を変え品を変え、世界中から押し寄せてくる。もはや、クライアントレベルでの処理は限界に来ているといえる。

 そこで、先進的な企業はネットワーク境界、つまりゲートウェイにスパムメールをフィルタリングするメッセージングセキュリティアプライアンスを設置している。それは、ファイアウォールを設置するのと同じように“当たり前”になりつつある。

 ゲートウェイは企業ネットワークの玄関だ。そこに“壁”を設置する以上、高い信頼性が求められる。スパムメール対策では、確実にスパムメールをブロックすることは当然である。それがどのような言語でも、どのようなフォーマットであっても、だ。なおかつ、通常のメールをスパムメールと誤検知することはあってはならない。

 また、企業のコンプライアンス(法令順守)や情報漏えい対策が求められている。社内から外部へ出て行くメールに機密情報や顧客情報は含まれていないかをチェックするだけでなく、メールの暗号化、アーカイブなどもメッセージングセキュリティアプライアンスの機能として求められる。

 2006年10月1日にリリースされたSecure Computing IronMail 6.5.1GAは完全に日本語化されたメッセージングセキュリティアプライアンスだ。IronMail単体でも複数の分析エンジンによってスパムメールを検出できるが、これに加えてリアルタイムレピュテーションシステム(レピュテーション:reputationとは“評判”や“名声”という意味)である「TrustedSource」により、より確実なスパムメールブロックを実現した。

 それでは早速、IronMail 6.5.1 GAやTrustedSourceの実力を見ていこう。

IronMailを開発・販売していたCipherTrustは2006年8月31日付けでSecure Computingと合併した。
http://www.securecomputing.co.jp/news/pr20060711.html

 コンサバティブな企業が展開する敏捷で柔軟なセキュリティ

 Secure Computingは、1989年に設立されたネットワークセキュリティのハードウェアベンダだ。取引先には官公庁や国防、金融機関といった堅牢性が求められる顧客が多く、高い品質にこだわってきた。

 その証左として、同社が展開しているUTM(統合脅威管理製品)アプライアンス「SideWinder G2」は世界の主要10銀行のうち8行に採用されているほか、CERTから脆弱性を指摘されたことがないなど、エンタープライズ向けUTM市場のマーケットリーダーの位置を占めている。同様に、セキュアコンテンツマネジメント(SCM)分野およびメッセージングセキュリティアプライアンス分野でもマーケットシェア1位だ(IDCの2005年9月の調査による)。

ロバート プリギ セキュアコンピューティングジャパン代表取締役社長

 セキュアコンピューティングジャパンの代表取締役社長を務めるロバート プリギ(Robert E. Prigge)氏は、「旧来のシグネチャベースによる受身的な対応ではネットワークセキュリティは維持できない。それゆえ、ユーザーのニーズに合わせた専用アプライアンスとワールドワイドなレピュテーションサービスを組み合わせた柔軟で積極的な製品を展開するというのが弊社のビジョンだ」と語る。

 また、「ネットワークゲートウェイやアプリケーションゲートウェイを1台にまとめてしまう他社のオールインワン型セキュリティ製品は、まるで“象”のようでかつてのメインフレーム製品を思い起こさせる。一方、弊社の場合は“鹿”だと思っている。敏捷な専用アプライアンスをユーザーの要望に応じて柔軟に組み合わせることができるからだ」と述べる。

 ビジョンは実現されなくてはならない。リアルタイムレピュテーションシステムであるTrustedSourceは同社のビジョンを実現するための強力な基盤である。

 “IPアドレスとメールごとの評判”が
 スパムメールを遮断する:TrustedSourceの実力

 一般的にレピュテーションシステムとは、メールの送信元が信頼できるサーバ(IPアドレス)かどうかを受信者からの評価を集めてスコア付けするものだ。レピュテーションシステムを使わないメッセージングセキュリティアプライアンスでは、スパムメールの検出は辞書やリアルタイムブラックリスト(RBL)だけの判定となり、誤検知のリスクをはらんだものとなる。

 また、送信元サーバのIPアドレスに対するスコアリングでは、メールマガジン配信サーバ(例えば、健全なメールマガジンだけでなくアダルトコンテンツも配信する)などの“灰色”とスコアリングされた送信者に対応しきれなかった。

 TrustedSourceは、IPアドレスだけでなくドメイン名やメール中のURL、イメージファイル、メッセージそのものにレピュテーションスコアを付ける「世界で最初のマルチアイデンティティ対応型送信者評価サービス」だ。全世界に5つのデータセンター(ポートランド、アトランタ、ブラジル、ロンドン、ホンコン)を配置し、月間100億通のメールを解析している。

 IronMailは受信したメールのIPアドレスとハッシュ化したメッセージ(1通のメッセージから数十種類のハッシュが生成される)を、DNSクエリの形でTrustedSourceサーバに送信する。TrustedSourceサーバは、ハッシュと保存されているシグネチャを比較し、TrustedSourceスコアを独自の計算方式を使い算出する。

 TrustedSourceのデータセンターでは、収集したメールのトラフィック量、曜日や時間などの反復性や持続性の傾向、送信数と受信数の割合などから挙動分析を行っている。IronMailから送られてきたハッシュを単純に比較するのではなく、状況に応じて累積型のスコアリングを実施しているのだ。

 TrustedSourceスコアもDNSクエリの形でIronMailに送信され、レスポンスタイムは1秒以内を実現した。メッセージをハッシュ化するため、スパムメールの言語に依存することはない(全世界の言語に対応しているといえる)。

 TrustedSourceの仕組みは、スパムメール対策だけでなく、WebコンテンツのフィルタリングやPtoPネットワーク、インスタントメッセージ、VoIPなどにも応用できるという。同社の製品にどんどん取り入れられていくことだろう。

 1台で6役をこなすIronMail、
 95%の日本語スパムをシャットアウト

 IronMailをファイアウォールと社内のメールサーバとの間に設置することで、スパムメール対策だけでなく、情報漏えい/マルウェア対策、メールの暗号化、アーカイブ、ポリシーコンプライアンス、メッセージングシステム(ポート25)経由の侵入防御が実現できる。

 スパムメールの検知は、先に述べたTrustedSourceによるレピュテーションだけでなく、ホワイトリストやブラックリスト、メッセージ内容の分析や添付ファイルの解析、ヘッダ分析やメール流量(バルク解析)、アノーマリ検知、スパムハニーポットなど複数の検知技術の判定基準を基に、遺伝子アルゴリズム自動修正型分析エンジンによる自動学習を加えた高い精度の累積メッセージスコアで行っている。この結果、日本語のスパムメールの95%をブロックしながら誤検知1%以下を実現した。

 意図的に機密文書を改ざんしても見逃さない学習型防御

 メールに機密文書などが添付されているなど、企業のポリシーに違反したメールについてはリアルタイムで複数のアクションを設定できる。社外へ出て行くメールに対して、文字検知、字句検知、フィンガープリント、クラスタリングなどの複数の検知エンジンを組み合わせて相関的に判定する。その結果、暗号化して送信、送信前に確認、アーカイブ、検疫などのアクションをポリシーに応じて行う。

 メールの暗号化については、CipherTrust、PGP、Voltageなどの暗号化サーバと連携し、SMTP/TLS、S/MIME、PGPなどスタンダードな暗号をサポートしている。また、LDAPサーバと連携しアイデンティティの管理も可能だ。アーカイブでは、ポリシーベース、ユーザーベース、グループベースを問わず、すべてのメール通信を保存できる。

 IronMailで採用されている字句検知エンジンは、適応型字句検知エンジンと呼ばれるもので、複数のフレーズを学習し、ミスタイプや故意に改ざんした文章、あらかじめ登録された機密文章に似た文章を検知する。

 例えば、「機密」「ミサイル」「発射実験」という3単語が揃った場合、防御するように設定したとする。悪意のあるユーザーが「国家機密のみ3いるによる発射実験」というように文章を変更したとしても、適応型字句検知エンジンであれば検知可能だ。

 また、機密文書のフィンガープリントによる検知では、一部分のみのコピーや部分削除、段落や文章を前後に配置し直すランダム化を行われても検知可能だ。フィンガープリントとマッチしないメッセージについては、データの傾向から判断するクラスタリングで検知する。

 このように高い検知能力を誇るIronMailは、6.5.1GAになって完全に日本語化された。IronMailのエンジンを日本用に改良しただけではなく、運用管理も日本語GUI画面から細かく設定できるほか、IronMailからのアラートや隔離通知も日本語で行われる。

 メッセージングセキュリティアプライアンスの導入を検討するならば、高い信頼性と機能を誇り、日本語化によって使いやすくなった世界ナンバーワンのIronMail 6.5.1GAを外してはならない。

Secure Computing、ロゴおよび製品名は米国Secure Computing Corprationの米国における商標または登録商標です。そのほか記載されている製品名は各社の商標または登録商標です。



@IT Special バックナンバー
“IPアドレス・メールごとに評価するレピュテーション”次世代型メールセキュリティソリューション「Secure Computing IronMail」
リアルタイムレピュテーションシステム「TrustedSource」をサポート 1BOXで5種類のセキュリティを提供する「Webwasher 6.0」

提供:セキュア コンピューティング ジャパン株式会社
企画:アイティメディア 営業局
制作:@IT 編集部
掲載内容有効期限:2006年12月27日
 


関連リンク


 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ