複雑、強力化が進む外部アタックの脅威への処方箋 統合型アプライアンスで実現する トータル・セキュリティ・ソリューション 〜 Symantec Gateway Security 5400 Series 〜

　情報システムに対する外部からの攻撃が複雑、強力化するなか、管理者にはより多くの苦労が要求されるようになってきた。年々複雑化する攻撃手法と社内システムのネットワーク構成は、もはやセキュリティの専門家でなければ手に負えない状態にまでなってきている。

　重大な責務を負う管理者のために「Symantec Gateway Security 5400 Series」がリリースされた。統合型セキュリティアプライアンスの使いやすさにとどまらない、そのメリットを見てみよう。

図1　ゲートウェイ・セキュリティ実態（出典：＠ＩＴ読者調査）

　今年8月に猛威を振るった、MS Blastと呼ばれるワームやSobig.Fと呼ばれるウイルスは、ようやく沈静化の方向に向かいつつある。お盆前後を挟んで突如出現したこれら2つの脅威は、またたく間にインターネットを経由して世界中を駆け巡り、わずか数日のうちにセキュリティ対策の脆弱なマシンに次々と感染していった。

　セキュリティ対策は、いまあらゆる企業にとって頭痛の種だ。すぐに新しい攻撃方法が登場するし、それに対抗するためにもまめにセキュリティ情報を収集して、クライアントPCやサーバに最新パッチを当て続けなければならない。未知の脅威に対しての唯一の防衛策だからだ。

　こんな状況下でユーザーが求めるのは、どのようなソリューションなのだろうか？ ＠ITが実施したゲートウェイ・セキュリティについての読者調査（2003年8月、有効回答数412名）によれば、現状のゲートウェイ・セキュリティで十分に対策が講じられていると考えているのは、わずか18.7％であり、大半の72.7％が今後のさらなる強化を望んでいることが分かる。

　最近のウイルスやワームは、OSやアプリケーションの脆弱性を利用し、複数の感染手段を使って拡散を試みるため、非常に感染力が強くなったといえるだろう。こういった複数の攻撃手段を持つウイルスやワームのことを、複合型の脅威と呼ぶことにする。複合型の脅威の代表例としては、CodeRed、Nimda、SQL Slammerなどが挙げられるが、どれもIT業界に強烈なインパクトを残したものとして記憶に新しい。

　では、複合型の脅威の感染例を見てみよう。まず最初に、感染したファイルは電子メールを通じてインターネットからやってくる。これは、ウイルスに感染しているとはいえ普通の電子メールであるから、ファイアウォールを素通りして社内のメールサーバに届くことになる。ここで、社内のPCでこの電子メールの添付ファイルを開いてしまうか、もしくはHTMLメールを表示可能なメーラが特別な対策なしにその内容を確認してしまうと、クライアントPCは複合型の脅威に感染してしまう。メール以外の経路もあり、例えば複合型の脅威に感染したWebサーバに対策のされていないWebブラウザでアクセスすると、そのクライアントも、やはり感染してしまう。この場合も、あくまで通常のHTTPによるWebアクセスであるから、ファイアウォールを簡単に通過してしまう。

　1度クライアントPCに感染すると、複数の方法でさらなる拡散を始める。1つは、社内LANの各PCに向けて、ランダムにIPアドレスを選択してウイルス自身を送りつけることを試みる。こうして、ファイアウォールの内部で一気に増殖を開始するのだ。その一方で、今度は外部に向けてインターネット経由でウイルスの送信を試みる。冒頭で、複合型の脅威が添付された電子メールの話をしたが、こんどは自身がその感染源として他所に送信を行う。

図2　複合型攻撃の脅威

　これらの攻撃に対抗するには、ファイアウォールだけでなく、アンチウイルス、侵入検知／防止システム（IDS/IPS）などを組み合わせる必要がある。これらすべてがそろって、初めてさまざまな角度からの攻撃を防ぐことが可能になるのだ。

　だが、これらすべてを製品として個別にそろえると、管理の手間が飛躍的に増大する。個々の設定内容をすべてを管理しなければならないだけでなく、、それらが複合的に動作した場合の状況まで把握しなければならないからだ。特に、専任の管理者を配置することの難しい中小企業などでは、あまり現実的な話ではないかもしれない。

　「統合型のセキュリティアプライアンス」では、ファイアウォールにIDS／IPS、アンチウイルスと、あらゆるセキュリティ機能を内部に包含し、専門家が構築するシステムと同等の仕組みを簡単に導入することが可能となるという。

　多機能を1つのハードウェアに統合して提供できれば、導入が容易なことはもちろん、管理が一元化され、製品ごとの組み合わせや設定に大きく悩むことはない。一括導入と管理面の簡略化によるコストメリットが出せるのはもちろん、ハードウェア内の各機能が協調して動作することで、脅威に対する防御性効率も飛躍的にアップする。

図3　統合型ソリューションを適用すると、あらゆる攻撃に1台で対処できる

　このように社内LANセキュリティのために求められる機能は、多岐にわたる。前掲の＠ＩＴ読者調査から、実際のユーザーがどの機能に必要性を感じているかは、ファイアウォール＋VPN＋アンチウイルスという基本の組み合わせが35.4％、この基本ユニットにIDS＋IPSを加えたものの組み合わせが36.9％と、ほぼ同率で全体の7割を占めるという結果が出ている。さらに全機能に対するニーズもも20.7％と、3番目の大きさのグループを形成してる。未導入の機能であっても、潜在的なニーズは高いようだ。

図4　ユーザーが統合型アプライアンスに求める機能（出典：＠ＩＴ読者調査）

写真1　Symantec Gateway Security 5400 Series

　市場においても、セキュリティ対策製品業界で初めてのファイアウォールと複数の機能を組み合わせた多機能型アプライアンス「Symantec Gateway Security 1.0」は、大きな注目を集めた。「Symantec Gateway Security 5400 Series（SGS）」はその後継製品となる。

　ここでは、SGSについて詳しく見ていこう。

　SGSが実装する複数のセキュリティ機能は以下の通り。

1. Full Inspection Firewall（アプリケーションゲートウェイ型ファイアウォール）
2. VPN
3. IDS／IPS（侵入検知／防止システム）
4. アンチウイルス（包括的ウイルス対策）
5. アンチスパム（ファイアウォールとアンチウイルスの機能により実現）
6. コンテンツ・フィルタリング

　SGSの最も大きな特徴は、セキュリティアプライアンスとして、一括してすべての機能を導入でき、手間やコストを削減できることだろう。その他の機能として、自動的に最新のウイルス定義ファイル、侵入検知シグネチャ、URLリストをダウンロードすることができるLive Updateをサポートしていることも特筆すべきだろう。

写真2　シマンテック 製品戦略部 シニアマネージャ 福田健男氏

　なかには、統合型アプライアンス製品に対して「個々の機能は大したことないのでは？」と懐疑的な読者もいるだろう。その点でSGSは安心である。SGSでは、ほかのベンダでしばしば見受けられるような、ファイアウォールのアプライアンスにアンチウイルス機能をつけるため、サードパーティから機能の提供を受けるといったことは行われていない。言うまでもなく業界で最も信頼性の高い自社開発のアンチウイルスエンジンが統合されている。

　同社の製品戦略部でシニアマネージャを務める福田健男氏は「SGSでは、すべての機能を自前で提供しているのが強みだ」と語る。また、福田氏は「すべて自社の技術であるため、個々の機能の親和性を高め、統合型製品として仕上げられたことがSGS開発を成功に導いた」と述べ、機能をかき集めて作られた、他ベンダのあり合わせの統合型セキュリティ・アプライアンスとは一線を画していることを強調する。

　複数のセキュリティ機能といってしまえば簡単だが、これらの機能を同時に動かすには、ハードウェアに相当なパフォーマンスが要求される。SGSでは、前バージョンに比べてCPUの強化が行われており、1台のハードで処理できるクライアント数の上限として4500台を推奨している（Model 5460の場合）。中小企業や、大企業の支店・営業所クラスであれば、これで十分カバーできるだろう。

　ビルトインされたハイアベイラビリティ、ロードバランス機能（オプション提供）により複数台のSGSを、大企業の中心に配置して数万台規模のクライアント数に対応させることも可能だ。ファイアウォールなどのセキュリティ製品は、企業システム防衛の要であり、基本的にダウンすることは許されない。これは、複数台配置されたSGSのうち、1台がダウンした場合に、フェイルオーバー機能により動作を継続され、システム全体の冗長性が確保されるので解決される。

　実はこのパフォーマンスの強化というポイントは、前掲の＠ＩＴ読者調査によれば、ユーザーの最も関心度が高い項目だ。ユーザーのゲートウェイ・セキュリティ製品に求める要件は、「パフォーマンス」「導入価格」「メーカーの信頼性」が順に上位を占めている。ユーザーが求めるすべてのニーズに応えるために、満を持して登場した新バージョンでは、フェイルオーバー機能により冗長性を向上させることで、十分な「パフォーマンス」を発揮できる。

　また、「導入価格」の面でも、ファイアウォール、VPNベース以外のアンチウイルス、IDS／IPS、コンテンツフィルタリングの各機能は必要なもののみ選択して、ライセンス購入可能だ。中小規模の企業でも手の届く価格帯の実現に成功している。「メーカーの信頼性」に関しては、セキュリティ業界老舗としてクライアントPCのアンチウイルスソフトユーザーシェア業界トップであるシマンテックへのユーザーの期待度／信頼度は十分に高い。

図5　ユーザーがゲートウェイ・セキュリティ製品で重視する項目（出典：＠ＩＴ読者調査）

　前述のMS Blastのように、未知の脅威は突然やってくる。これらに対抗するためには、攻撃に対する対処療法的な施策ではなく、プロアクティブ（事前予測的）に動くことが望ましい。本来であれば、専門家がネットワーク内に流れるパケットを定期的にチェックして分析を行うようなものなのだが、SGSでは機械的に自動化して行われているのが特徴である。

　その中心的役割を担うのが、IDS（Intrusion Detection System）と、IDSをより進化させたIPS（Intrusion Prevention System）のペアである。IDS／IPSエンジンは、従来のパターンマッチングと異常検出という次世代の侵入検出機能を組み合わせることにより、より効果的に不正行為を特定できる。攻撃がなくてもアラートを頻発させてしまうという、一種の「狼少年的状況」を生み出すフォルスポジティブ（誤検知）を大幅に削減させる。

　それ以外の機能も強力だ。例えばファイアウォールでは、単なるパケット・フィルタリングにとどまらない、アプリケーション・プロキシの機能も提供される。RFC非準拠の不正なデータが送信されてきた場合、未然に不正なデータがアクセスしてくることを防ぐことが可能である。バッファ・オーバーフローという攻撃をご存じだろうか？ この攻撃では、通常のURLよりはるかに長い文字列をWebサーバなどに対して投げることで、そのマシンのメモリ上にプログラムを強制的に送り込んで実行させるものだ。メモリ管理のプログラムにミスがあったりすると、この攻撃でワームなどに感染してしまうことになる。URLフィルタ機能により、SGSではデフォルトの状態でこのバッファ・オーバーフロー攻撃を防ぐことが可能なのである。

　すべてのデータは、SGS上でVPN→IDS／IPS→ファイアウォール→ウイルス・スキャン＆コンテンツ・フィルタリングの順で必ず査読が行われるため、ほとんどの脅威を事前にそぎ落とすことができる。URLフィルタだけでなく、異常な電子メール形式（MIMEフォーマット）の検出や、添付ファイル内の圧縮ファイルの確認も可能だ。統合アプライアンスとして、前述の機能が密に連携しているSGSならではのメリットだろう。

　大企業での展開例を考えてみよう。各支店にはModel 5420を配置し、本社にはModel 5440／5441かModel 5460／5461を置くことにする。JavaベースのWeb経由のコンソールで中央から集中管理が可能だ。

　この管理には、Advanced Managerを使うのがお勧めだ。Advanced Managerでは、集中監視だけでなく、本社で決めたポリシーを全国にちらばったSGSアプライアンスに対して一括適用することもできるからだ。

図6　大規模環境での使用例 統一ポリシーの下、本社から集中管理

　SGSには、対象規模によって「Model 5420」「Model 5440／5441」「Model 5460／5461」の3つのモデルが用意されている。

　全モデル共通の特徴は、複数ポートを備えることで、複数のDMZを確保することが可能になる点だ。そのメリットとしては、WebサーバはWebサーバ、メールサーバはまたさらに別のセグメント、クライアントPC群はもちろん、別々にネットワークを切り分けることで仮に障害やウイルスに感染したとしても、被害がほかに及ばないようにゾーンの切り分けができることだ。

　Model 5420はエントリ・レベルの製品であり、クライアント数が数百クラスの中小企業や、まさに大企業の支店のゲートウェイ部分に設置するのに向いている。

　Model 5440／5441とModel 5460／5461は、中規模以上の環境をカバーする2Uサイズのアプライアンスである。特にModel 5460／5461ではさらに処理スピードが向上されている。モデル番号末尾の0と1の数字の違いだが、1は通常のメタルケーブルによるイーサネット接続だけでなく、光ファイバをサポートするためのポートも用意していることを意味している。

　自社に最適なセキュリティソリューションを構築したいとお考えであれば、下記の製品説明会に参加して、実際に製品の品定めをされてはいかがだろうか。