〜 クライアントセキュリティの必要性を問う 〜 クライアント・セキュリティ製品紹介 「Symantec Client Security 2.0」で 何ができるか？

　企業ネットワークへの脅威は休みなくやってくる。最近でも、4月末に発見されたSasserというワームは、昨年爆発的広がりを見せたMS Blasterと同様に、OS自身が持つ脆弱性を利用して、ネットワークに接続している未対策のWindowsマシンに無条件で感染するものだ。幸い、ワーム自身の感染力が弱かったことと、日本ではゴールデンウィークの時期で休業している会社が多かったため対策までのタイムラグがあったことで、深刻な被害を及ぼすことはなかった。

　このように、手を変え品を変えやってくる脅威に対して、われわれはどのように対抗すればいいのだろうか。最近のセキュリティ対策のトレンドは、ファイアウォールのような境界防御型のモデルに加えて、各クライアントやファイルサーバまで、ありとあらゆる個所に防衛線を張るモデルが主流となっている。特に、外部から会社に直接持ち込まれるノートPCに前述のような脅威が潜んでいた場合、ファイアウォールなどの装置があっても完全に無力化されてしまう。先日、＠ITで行ったアンケートによれば、ウイルスの感染経路のうち社外からの電子メールがトップで、次いで社外から持ち込まれたPCが他を引き離して2番目に位置している（図1）。

図1 ネットワーク型ウイルスの感染経路（＠IT調査、複数回答、n=783）

　そして大企業ではVPN経由、中小企業では持ち込みPCがより大きな脅威として認識していると答えている（図2）。外部とのゲートウェイの次に警戒すべきなのは、VPNや持ち込みPCなど内部に直接持ち込まれる脅威なのである。

図2 クライアントPCの利用状況（＠IT調査、複数回答、n=783）

	内部に直接持ち込まれる脅威に、どう対抗するか？

米シマンテック プロダクト・マーケティング部ディレクターのケビン・マーレー（Kevin Murray）氏

　では、実際にどのように対策を施すのか。答えは、社内に存在するすべてのクライアントにセキュリティ対策を施し、たとえ外部から脅威が持ち込まれたとしても、被害を最小限に抑えることである。米シマンテック プロダクト・マーケティング部ディレクターのケビン・マーレー（Kevin Murray）氏は、「現在、企業にとって大きな脅威となっているのはノートPCの持ち込みや外部からのVPN接続における、ウイルスやワームなどの社内への直接の侵入だ。あらゆるクライアントにあらかじめ対策を施しておくのが唯一の解決策で、それにより被害を未然に防ぐことができる」とクライアント・セキュリティの必要性を説いている。

　シマンテックは5月、同社の統合型クライアント・セキュリティ・ソリューションであるSymantec Client Securityの最新バージョンである2.0（SCS 2.0）を発表（発売は6月4日）したが、従来バージョンに比べ最も強化されたポイントが「ノートPCなどのモバイル環境からのウイルス／ワームの持ち込みと、重要なデータに対する保護」の2つにあるとマーレー氏は強調する。

　実際、クライアント向けのファイアウォールで防げる脅威も多い。前出のMS Blasterにおいても、このSymantec Client Securityを導入していたクライアントでは未然に被害を防ぐことができた。電子メールで拡散するタイプのウイルスなどでも、電子メールのウイルス・スキャンで未然に防ぐことが可能だ。また最近では、OSやアプリケーションの脆弱性が確認されてからそれらを悪用した攻撃が発生するまでの時間が短くなっており、将来的には脆弱性の発見とともに攻撃が始まる可能性が危惧されている。

　このような脅威を「ゼロ・デイ・アタック（Zero-Day Attack）」と呼んでいる。脆弱性を防ぐためのパッチを当てることはもちろんだが、場合によってはこのパッチが間に合わないことがある。そのため、このようなクライアントファイアウォールで日頃からマシンを守る必要がある。 また、あらかじめウイルスやワームの行動パターンを記録しておき、似たような挙動を示すウイルスやワームが登場した際に、定義ファイルがなくても対処できる「ヒューリスティクス（Heuristics）」という技術がある。マーレー氏はNetSkyのような多数のバリアントが出現したケースにおいても「Behavior-based Detection（挙動を見ての防衛）」で対処できると説明する。SCSではこのヒューリスティクス技術をさらにすすめている。、感染拡大型のウイルスやワームでは、多くの場合その感染拡大のために大量のメール送信を行うが、SCS 2.0ではそれを検出してメール送信をブロックすることが可能である。

アウトバウンドワームヒューリスティックの設定（拡大）

	VPNにおける脅威を解決するSCS 2.0

　VPNによるリモート・アクセスも大きな脅威の1つだ。VPNは非常に便利なソリューションである。たとえ外部にいたとしても、インターネット経由でVPNを使って社内LANにダイレクトに接続できるからだ。だがセキュリティ的にみれば、そのマシンが感染していればダイレクトに脅威が持ち込まれる危険性がある。そこでSCS 2.0では、VPN接続前に当該マシンのセキュリティ設定や定義ファイルが更新されているかなどを検証し、安全だと判断できなければ社内LANへの接続を禁止するといったことも可能である。これにより、前出のVPNにおける脅威は解決できることになる。シマンテックではこのVPN連携のためのAPIをテクノロジーパートナーに公開しており、ノーテル・ネットワークス、チェックポイント・テクノロジーズなどのVPN製品に対応している。今後、対応製品を増やしていく予定だ。

　このような形で、接続前にクライアントの安全性を検証するというのは、非常に重要な作業だといえるだろう。ネットワーク機器最大手のシスコ・システムズでも、NAC（Network Admission Control）という名称で、クライアントのネットワーク接続前検証のソリューションを提供している。事前にネットワーク内のシスコ製ルータが安全性をチェックすることで、クライアントに接続許可を与える仕組みだ。シマンテックでも、このNACへの参加を昨年2003年末に表明しており、今年末を目標に対応を予定している。

　モバイル・ユーザーには、ほかに便利な機能も提供される。モバイル・コンピューティングにおいては、社内LAN、自宅、外出先など、環境に応じてファイアウォールルールの変更を行うユーザーは多いだろう。例えば社内では共有サービスで使用するポートを開けるが、自宅では閉じておきたいなどだ。SCS 2.0では、環境に応じてファイアウォールのルールを切り替える機能を内蔵しており、利便性が向上している。また、コンシューマ向け製品であるNorton Internet Security 2004に搭載されている広告ブロック機能や、スパイウェア／アドウェア向けの対策機能もSCS 2.0ではサポートしており、1つのソフトウェアでカバーされる脅威の範囲が広がったといえるだろう。

ロケーションの切りかえ画面（拡大）

　また企業向けユーザーには、従来のMicrosoft Exchange、ロータス ノーツのメール・スキャンのほか、POP3のメール・スキャンもサポートした。圧縮ファイル内のスキャン機能も備えており、多方面からセキュリティ対策が行えるようになっている。

	強化された管理機能

　クライアント・セキュリティの考えでは、個々のクライアントに防衛術を施すことに加え、それらを一元的に、いかに効率よく管理できるかも重要になってくる。「SCSに求められる機能を企業のセキュリティ担当者に聞いたところ、そのフィードバックとして返ってきたのが、クライアント全体の効率的な監視機能と、それを実現する一元的な管理コンソールだった」とシマンテック プロダクト・マーケティング部 リージョナル・プロダクト・マーケティング・マネージャの吉田一貫氏は話す。

　SCS 2.0に備えられた管理機能の1つが「脅威トレーサ」である。ウイルスやワームによる被害がネットワークで発見された場合、その感染原因となったPCを特定するものである。またネットワーク内に接続したPCの状態のほか、外部に持ち出されているPCも、社内LANやVPNでの接続時にアクセスログをまとめて収集することで、すべての情報を一元的に管理コンソール上から一望できる。これならば、いざというときの対策も立てやすいだろう。

脅威トレーサの設定（拡大）

　ファイアウォールのルール作成においては、すでにベースとなるテンプレートをあらかじめ用意してあり、それらを参考にしながらルールのカスタマイズを行えるようになっている。また新たに搭載されたクライアントプロファイリング機能を使えば、個々のクライアントのネットワーク・アクセス状況を調べて、ファイアウォールのルール作成に役立てることも可能だ。

Symantec Client Firewall Administrator(拡大)

　ウイルスやワームにおける未知の脅威を真に防ぐには、水際での防衛だけでなく、クライアントまで含めて全体をカバーすべきである――このアイデアからスタートしたSymantec Client Securityは、2002年のバージョン 1.0以来、1年ごとにメジャー・バージョンアップを繰り返し、「脅威のトレンド」に沿う形で機能強化を遂げてきた。今回は、最大の脅威としてモバイル環境における脅威の持ち込みにフォーカスが置かれ、シスコなど他社製品との連携を積極的に進めることでシステム全体での安全性を高めている。

　こうしたセキュリティ対策製品のトレンドとは、すなわちウイルス／ワームなどの攻撃の最新トレンドを反映したものである。製品での強化部分を見ることで、最新の攻撃状況が見えてくる。各企業のネットワーク担当者は、ぜひこれら情報を自社のセキュリティ対策に生かしてほしい。