スマートフォンの社内接続を見つけ出せ!
「検疫」と「IPS」のダブル効果で
多層防御を実現する「CounterACT」
2010/11/18
企業内ネットワークには、PCやネットワーク機器のほか、スマートフォンやタブレット端末などの接続が増え、不正持ち込みなどに起因するセキュリティリスクへの懸念が高まっている。そこで注目したいのが、検疫ネットワークとIPSを組み合わせたソリトンシステムズの統合セキュリティアプライアンスだ。
IT管理者に「スマートフォン」という名の黒船が押し寄せる
度重なる企業内の組織変更、社外組織との協業、M&Aによる企業統合、ワークスタイルの多様化……。ビジネス環境がかつてないほど激しく変化し、それに合わせて組織や業務環境もフレキシブルに変化しなければならない現在、IT管理者の苦労は募るばかりだ。
ビジネスの変化に伴い、ネットワークやシステムの変更が頻繁に行われ、ネットワークに接続される機器の現状把握が難しくなっているだけではなく、ネットワークに接続される機器の多様化も、IT管理者を悩ませている。近年は、コンプライアンスの観点から、組織内ネットワークに接続される機器の現状把握が要求されることも多い。ネットワーク上には、PCやサーバ、プリンタ、スイッチなど、様々な機器がもともと存在するが、最近ではそこにスマートフォンをはじめとしたモバイル端末が加わりつつある。専用ソフトのインストールが必要な従来型の管理製品では、そういった複雑なネットワークの全容を把握するのが困難になってきているのが現状である。
矢野経済研究所が2010年5月に発表した「スマートフォン市場に関する調査結果 2010」では、携帯電話市場全体の出荷台数が前年割れを記録する中、2009年国内市場におけるスマートフォンの出荷台数は前年比43%増の194万5000台に達し、2013年には571万台に増加する見通しだ。
飽和状態が続く携帯電話に代わり、スマートフォンやタブレット端末のベンダは急速にラインナップを充実させている。OSもiPhone/iPadなどのiOS、Android、Windows Mobileのほか、BlackBerry、Symbianなど多岐にわたる。ラインナップが増えたことで、日本国内のスマートフォン市場も盛り上がりを見せており、今後、ますます普及することは間違いない。
スマートフォンは、無線LANが存在すると、自動的にネットワークに接続しようとする基本設定になっているものがほとんどだ。社内の無線LANに、社外の端末は接続できない設定にしていても、完全にネットワークから個人スマートフォンの勝手な接続を排除できているとは言えない可能性がある。手のひらサイズまで小型化された無線LANアクセスポイントなら、初心者でもこっそりと、簡単に設置できるからだ。知識のあるユーザーなら、複数インターフェイスを持つPCを無線LANアクセスポイントとして利用することもできるだろう。セキュリティ対策がなされないまま、勝手に設置された「野良」無線LANアクセスポイント経由で、組織内ネットワークに様々なスマートフォンがアクセスされる可能性は高い。
ビジネス利用・個人利用に関わらず、スマートフォンのようなモバイル端末に対して、どのようなポリシーでセキュリティ対策を行うのか? 業務用通信端末として数百台、数千台規模で利用され始めており、今後さらなる普及が予想されるスマートフォンに、IT部門は管理対象の端末として向き合わざるを得なくなっているといえる。
企業内システムを健全に保つ検疫ネットワーク
スマートフォンのようなモバイル端末に対しては、システムとして対策するのではなく、ルールやポリシーを決めて、運用でカバーするというのも一つの手ではある。しかし、社内ユーザーのセキュリティ意識を高め、リスクに対する危機感を認識させて、ルールやポリシーを遵守してもらうのはなかなか難しい。
このような場面で効果的なのが「検疫ネットワーク」である。検疫とはもともと非IT用語だ。空港や港湾で海外から持ち込まれた食品や動植物などを隔離、検査して、病原体や有害物質などの国内への侵入を防ぐことを意味する。
一方、ITの世界でいう「検疫ネットワーク」は、企業内ネットワーク上の端末が守らなければならないセキュリティポリシーを設定し、それに従ってネットワークに接続するPCの健全性をチェックするソリューションのことだ。必要に応じてセキュリティパッチやウイルス対策ソフトの定義ファイルの更新なども行う。これに加えて、管理外デバイスの接続検知や感染端末の検知・ブロックも広義の「検疫ネットワーク」とみなす場合もある。
現実世界でのルールやポリシーを、ITシステムとして実装することで、セキュリティ対策を徹底することができるのが「検疫ネットワーク」だ。セキュリティ対策が実施されているかどうかを把握するだけではなく、検疫条件に違反したら、ユーザーに対してメッセージを自動的に表示したり、通信制御を行ったりするといった強制力を持たせることで、管理者の代わりにセキュリティ対策を徹底することができる。
スマートフォンのアクセスを監視・識別機能を強化した
「CounterACT」
「検疫ネットワーク」も、冒頭で述べたように、変化の激しいシステム環境や多様なデバイスに対応していなければ、導入も運用も難しい。スマートフォンを把握できない「検疫ネットワーク」製品では、PCの接続なのか、スマートフォンからのアクセスなのかが分からず、適切に対応できない。
そこで注目したいのが、ソリトンシステムズが提供する「CounterACT」(カウンターアクト)。検疫ネットワークとIPSの両方を実装した統合セキュリティアプライアンスである。
通常、別々に導入することが多い検疫とIPSの両機能が、この製品では初めから搭載されている。これは、検疫があくまで予防対策であり、検疫をパスした端末からの新種・亜種のウイルス・ワーム感染などには、IPS機能で対応する必要があるというコンセプトからだ。ウイルス対策ソフトのパターンファイル更新やセキュリティパッチ適用の徹底という予防策から、ネットワーク経由で感染するワーム/ウイルスの検知/防御といった有事の早期対応・被害の極小化までをカバー。1つのコンソールで双方を一元的に管理でき、効率的な運用が可能である。
2010年12月に提供開始予定のCounterACTの最新版Ver.6.3.4では、従来のPCやプリンタ、ネットワーク機器のみならず、iPhone/iPadやAndroidなどのスマートデバイスを識別する機能が強化され、利用ブラウザのバナーなども専用GUIに表示できるようになった。
完全性を求めるあまり融通性を失った検疫ネットワーク
もともと検疫ネットワークは、MSBlasterやCodeRed、Nimdaといったワームが猛威を振るった2000年代前半に注目を集めた。だが導入には、ネットワーク構成の大幅変更や、検疫用ソフトの全PCへのインストールが必要になるなど、当時は導入の敷居が高いソリューションが多く、広く採用されるに至らなかった。
また、運用面でも、企業の実態にうまくフィットできないソリューションも多かった。検疫ネットワークとしての完全性を求めるあまり、わずかでもセキュリティポリシーに違反した端末は別VLANに隔離され、必要な修正を行うまでは業務もできないとなると、業務効率や利便性が損なわれる。
感染PCや不正PCならともかく、正規PCでウイルス対策ソフトの定義ファイルが若干古いことが、ネットワークから隔離して業務を阻害させるほどの、重大な違反なのか? 業務させつつ、すぐに定義ファイルを更新すれば済む話ではないか? 検疫のためにユーザーに様々な操作を要求するような運用が果たして受け入れられるのか? そもそも、検疫ネットワークを導入することで、ネットワーク障害リスクが高くならないか? ――組織によってもセキュリティに対する考え方に差異はあるだろうが、出来るだけ業務効率や利便性を阻害せずにセキュリティ対策を実施したい場合は、既存のネットワークや運用の仕組みを大きく変えてまで導入するほどの効果や価値を、検疫ネットワークに見いだしにくかったのではないだろうか。
セキュリティ偏重型の「堅物」検疫ネットワークを脱し、自社システムに合わせ、あくまで多層防御の一部として検疫を活用すべき ―― こう訴えるのは、ソリトンシステムズのプロダクトマーケティング部でプロダクトマネージャを務める荒木粧子氏だ。
「検疫はあくまでも予防策の1つであり、100%セキュリティリスクを排除できる完璧なソリューションとしてとらえるべきではありません。これを実運用に耐えるものとし、検疫の弱点を補完するIPS(不正アクセス防御システム)と併用する、【多層防御】的な活用が現実的です。CounterACTなら、検疫による予防と、IPSによる攻撃検知・防御の両方が一挙に実現できます」と荒木氏は強調する。
性善説に基づく緩やかな検疫が特長
CounterACTの差別化ポイントとして、荒木氏は、完全なエージェントレスのポリシーチェック(検疫)機能を持つことを挙げる。ユーザーが検疫用Webページにアクセスする必要の無いエージェントレス検疫のため、Webブラウザに依存せず、バックグラウンドで不正持ち込みPCのチェックや修正を段階的に実装することが可能だ。
「一般的な【隔離ありき】の検疫の概念とは異なり、端末がチェックや修正を受ける間もネットワークを利用させ、重大な違反と判定された際のみ通信を切断するといった、性善説に基づく緩やかな検疫ができます。業務効率や利便性に影響を与えない配慮が可能な点が特長です」(荒木氏)
また、エージェント利用型の検疫システム製品は、管理対象とする端末すべてにエージェントソフトがインストールされていることが大前提となる。逆に言うと、従業員の私物など、エージェントがインストールされていない端末は管理できない。そのような端末が1台でも存在すると、大きなリスク要因となり得るが、エージェント型のソリューションだけでは、管理者はそのような端末を把握することすら難しい。
ネットワーク型検疫システムであるCounterACTは、エージェントレスで常に監視できる状態にあるため、ネットワークにどんなデバイスが接続されているかが手に取るように把握できる。スマートフォンやタブレットPCなども含めた様々な端末種別を判別できるため、ネットワークに接続される機器の現状把握として役立つだけではなく、隠れたリスクを洗い出すことができる。
ユニークなふるまい検知型の全自動IPS
そして、万一リスクのある端末が検疫の網の目を通過してしまった場合に、防御ラインとなってくれるのがIPSだ。ネットワーク感染型ウイルス・ワームの挙動を検知するForeScoutの特許技術「ActiveResponse™(US Patent#6,363,489)」は、バーチャルなハニーポットとして動作する 【ふるまい検知型】で、一般的なIPSのように攻撃パターンファイルやシグネチャを参照することなく、明らかに怪しい通信だけを洗い出すことができる。
ネットワーク感染型ウイルス・ワームは感染スピードが早いため、ウイルス対策ソフトの定義ファイルが間に合わず、被害が大きくなる可能性が高い。つまり、検疫ネットワークでいくらウイルス対策ソフトの稼働や更新を徹底させても、そもそもウイルス対策ソフト側で新種・亜種に追随できていなければ意味がない。ここにきて、複数の防御策を何層にも組み合わせる【多層防御】が有効だと、改めて言われ始めたのはそのためであり、セキュリティ対策が原点回帰し始めているといえよう。
CounterACTのIPSが、ネットワーク感染型に効果的なのは、パターンファイルなどに依存しない検知手法による。いちはやく感染を広めるために、実際に使われていないIPアドレスも含めて無差別にパケットを投げることの多いネットワーク感染型ウイルス・ワームの性質を利用し、そのパケットに対しておとり捜査用のパケットで擬似的に応答。そこで通信が確立すると、おとり捜査にひっかかったとして攻撃と判断、ウイルス・ワームが攻撃セッションを確立する前にブロックすることができる。全自動で、バーチャルなハニーポット的動作により攻撃検知を実施するのは業界唯一。パターンファイルの更新もチューニングも不要なため、運用の手間は一切かからない。
「CounterACTは、この特許技術でゼロディ攻撃にも対応でき、万一検疫をパスした端末がネットワーク経由で感染活動を行っても、IPS機能でブロックする【多層防御】が可能です」(荒木氏)
ネットワークに影響を与えないアウト・オブ・バンド方式
そして、CounterACTはネットワークの安定稼働も重視する。一般の検疫システムにおける難点の1つは、検疫システムが単一障害ポイント(SPOF;Single Point of Failure)になる可能性が高いこと。その理由は、検疫システムの多くがインライン型か、セキュリティスイッチとの連携を前提とした構成でネットワーク制御を行うことにある。検疫製品の導入によるネットワーク障害リスクの増加を避けるため、冗長化して設置できる検疫製品も多いが、IT管理者はコスト面でもプレッシャーをかけられているのが現実だ。冗長化すると、当然、導入・運用コストとも高くなる。このため、障害リスクが高まることを理解しながらも、やむなく冗長化せずにこうした検疫製品を導入するケースも多いという。
その点CounterACTは、スイッチのミラーポートを利用してネットワークに直接影響を与えない位置に接続する「アウト・オブ・バンド」方式を採用している。インライン型のようにネットワーク構成を変える必要もなく、設置の手間もかからない。万が一CounterACTがダウンしても既存のネットワークに影響を与えないため、業務が停止する心配もないというわけだ。
「検疫ネットワークは柔軟性に欠け、IPSは運用が難しいという先入観を持つIT管理者も多いのではないでしょうか。統合アプライアンスのCounterACTは、設計時のポリシー策定と機器の設置以外、多くの作業が自動化できるので、運用・管理の負担が大幅に軽減できることに驚かれると思います」という荒木氏は、評価機を利用しての検証も含めた導入検討を推奨している。
なお、具体的な活用例はホワイトペーパーに記載してあるので、併せてご参照いただきたい。
この記事に興味のある方におすすめのホワイトペーパー
内部ネットワークのセキュリティ危機を切り抜ける4つのポイント
スマートフォン等のモバイル端末普及が進むいま、ネットワーク上の「どこに何がつながっているのか」を可視化し、リスクへ適切に対応する必要がある。
関連リンク
関連記事
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:@IT 編集部
掲載内容有効期限:2010年12月17日
ホワイトペーパー
内部ネットワークのセキュリティ危機を切り抜ける
4つのポイント
スマートフォン等のモバイル端末普及が進むいま、ネットワーク上の「どこに何がつながっているのか」を可視化し、リスクへ適切に対応する必要がある。