Interop Tokyo 2008レポート

地道に“セキュア”を積み重ねることの重要性


宮田 健
@IT編集部
2008/6/24



 パッチリリースから適用までの“空白の時間”を守れ

 システムが安定稼働してしまうと、パッチを適用することは避けたい技術者も多いだろう。しかし、OSやデータベースシステムではセキュリティ向上に特化したパッチが発行され、最近ではこのパッチをリバースエンジニアリングすることで的確に攻撃コードを作るというニュースも登場している。特にセキュリティパッチは一刻も早い適用が必要だ。

【関連記事】
MSパッチの逆用で攻撃コードを作成、1日で作れる新手法も
(ITmedia エンタープライズ)
http://www.itmedia.co.jp/enterprise/articles/0804/21/news010.html

 しかし、現実的にはテストを行う必要があるため、パッチのリリースからテスト完了までの間は非常に危険な状態にさらされてしまう。住商情報システムが販売する「BlueLane」ソリューションはその危険な状態を、サーバに手を加えずに回避する製品だ。

 BlueLaneソリューションはネットワークのエッジ部分に配置することにより、一種のアプリケーションファイアウォールのような動作を行う。インターネット側からOS、データベース、Web/メールサーバなどを対象とした攻撃パケットを検知すると、内部に届くパケットを無害化するだけではなく、攻撃元を含む外部へはあたかもセキュリティパッチが適用されているかのように振る舞う。BlueLaneはセキュリティパッチがリリースされてから最大でも48時間程度でインラインパッチと呼ばれる独自のパターンファイルを作成、配信する。実際のパッチ適用までの空白の時間を守るための製品だ。

 BlueLaneはアプライアンス製品としてだけではなく、VMwareに対応した「Virtual Shield」としても販売されている。

BlueLaneが対応するアプリケーションは多岐にわたる(クリックすると拡大します)

【参考】
BlueLane(住商情報システム)
http://www.scs.co.jp/bluelane/

 ルータに直結して脆弱性を検査、セキュリティ・アナライザとは

 ネットワーク機器の脆弱性をチェックするものとしてはソフトウェアによる脆弱性スキャナが真っ先に思い浮かぶ。しかし、ネットワーク機器メーカーが製造過程で使うような脆弱性チェックツールとはどのようなものなのだろうか。

 ノックスが販売するMu Dynamicsの「Mu-4000」はネットワーク機器に直結し、電源を含めて脆弱性を調査する専用のアプライアンス製品だ。製品の前面には電源のコネクタとネットワークのコネクタが用意されており、機器単体をスタンドアロンで直結し、脆弱性調査のために実際にDDoS攻撃や攻撃パターンを送信する。攻撃により機器の応答がなくなってしまった場合、電源を強制的にシャットダウンし、再起動させることもできるため、テストのプロセスを自動化できるのが特徴だ。

 用意されたテストパターンは最終的にレポートとして出力される。ネットワーク機器ベンダをはじめ、ISPでのテストツールとしての利用、またシステムインテグレータによる機器選定用に導入されているとのこと。

Mu Dynamicsのセキュリティアナライザ製品。前面にある電源コネクタとイーサネットケーブルを対象の製品に接続しテストを行う。

【参考】
IPプロトコル・セキュリティアナライザ Mu-4000(ノックス)
http://www.nox.co.jp/products/security/mu4000/index.shtml

 可視化の意味は「気付きの一助のために」

 Interopでの見どころの1つは、各ベンダの最新の機器を集めて会場内のインフラを提供する「ShowNet」だ。

【関連記事】
こんにちは仮想化、さよならIPv4(@IT Master of IP Networkフォーラム)
http://www.atmarkit.co.jp/fnetwork/tokusyuu/41interop08/01.html

 そしてもちろん、このShowNetも攻撃対象の1つとなっている。情報通信研究機構(NICT)はShowNetへ届く通信パケットをコピーし、その解析結果を「見える化」するデモを行っていた。

 ShowNetへ届くパケットをNICTのインシデント分析センター「nicter」(Network Incident analysis Center for Tactical Emergency Response)にて解析し、攻撃パケットがどこから、何を目的として届いているのかをいくつかのビューで表現している。

世界各地から日本を目指し攻撃パケットが届く姿を「見える化」している。

 まずは攻撃パケットを世界地図にマッピングしたもの。起点と終点が図示されるだけではなく、高さによって攻撃の数、色により攻撃の種類を表している。

 さらに攻撃パケットをキューブにて表現したものでは、矢印が立方体の面から面へと飛び交っている。これは横軸がポート番号、縦軸がIPアドレスを表現しており、特定の位置からShowNetの「UDPポート1434番」へ大量の矢印が飛んでいるのが確認できた。これは2003年に爆発的な感染を見せたSQL Slammerワームによる攻撃であることが分かる。

上の面が攻撃元、下の面がShowNet側。赤い矢印がUDPであり、ポート1434への通信であることからSQL Slammerがいまだに活動していることがわかる。

 これらはもちろん分析センターによる分析ありきのテクノロジーではあるが、このように視覚的に表現する手法が必要な背景としては経営トップへのセキュリティに対する警鐘という意味合いと、インシデントを分析するセキュリティアナリストに対する「気付き」を狙っているとのことだ。

【参考】
情報通信セキュリティ研究センター インシデント対策グループ
http://www2.nict.go.jp/y/y211/index.html

2/2

Index
地道に“セキュア”を積み重ねることの重要性
  Page1
安全を積み重ねることの意義とは
きめ細やかなActive Directory管理、NetIQの運用支援製品
Page2
パッチリリースから適用までの“空白の時間”を守れ
ルータに直結して脆弱性を検査、セキュリティ・アナライザとは
可視化の意味は「気付きの一助のために」

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間