Enterprise Watch
最新ニュース

チェック・ポイント卯城氏、「ネットワーク内部には内部のためのセキュリティを」


技術部長の卯城 大士氏
 イスラエルのCheck Point Software Technologies Ltd.(以下、チェック・ポイント)は、今までのファイアウォール製品のようなゲートウェイセキュリティ以外に、企業の内部セキュリティを強化する製品にも、力を入れてきている。1月20日(米国時間)には、そうした動きを具体化する製品として「Check Point InterSpect」を発表したが、今回はその背景に関して、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の技術部長、卯城 大士氏にお話を伺った。


境界セキュリティと内部セキュリティ

「境界セキュリティ」と「内部セキュリティ」の考え方
 チェック・ポイントでは、セキュリティの実施ポイントを「境界セキュリティ」と「内部セキュリティ」に大別しているという。境界セキュリティの代表格が従来のファイアウォールにあたるのだが、なぜそれ以外にセキュリティのソリューションが必要なのだろうか。

 「それは、今日のネットワークが抱える課題として“内部の脅威”があるから」と卯城氏は述べる。現在では多くの攻撃が企業の内部ネットワークでもたらされるようになった。ノートPCやPDAといった小型デバイスは日々ネットワークの内外部を出入りし、管理者が完全に管理しきれないケースは増えてきているし、そういったデバイスでは、各種パッチやアンチウイルスソフトの更新などがきちんと行われていないケースが多い。かのMSBlastがまん延してしまった理由もそこにあるわけだが、「現在、それを防止する完全なソリューションはない。特定の部分をカバーするものはあっても、その部分に特化してしまうのでポイントソリューションにしかならない」(卯城氏)。

 ベンダーでは、境界セキュリティ向けの製品を内部セキュリティ製品として転用しているケースも多いのだが、卯城氏によれば「境界セキュリティと内部セキュリティでは考え方がまったく異なっているため、内部特有の課題と用件を満たす専用のものが必要となる」という。


ネットワーク内部には、内部のためのセキュリティ機器が必要

 具体的には、「インターネットはRFC準拠の標準的なプロトコルで通信が行われるが、LANでは各ベンダーが独自のプロトコル、独自のアプリケーションを利用しており、境界セキュリティ用の製品をそのまま持ってきても、すべてに対応させるのは難しい。また境界セキュリティの場合は、明示的に許可されないトラフィックをすべて阻止する動き方だが、それを内部セキュリティで実行してしまっては業務が止まってしまう。明示的に阻止しないトラフィックは許可してあげなければならない。加えて、ワームを防ぐことを例にとると、亜種ごとに逐一シグネチャの更新が必要なIPS(侵入防止システム)ではなく、攻撃や脆弱性の“根本原因”に対応できる製品が必要とされている」とする。

 そこで同社では、完全に内部セキュリティに特化した製品、つまりInterSpectをリリースしたのだという。この製品では、ネットワークをセグメント化して、その間の通信を監視するやり方を取る。行われている通信のネットワークレイヤからアプリケーションレイヤまでを詳細に監査し、不正な振る舞いをするパケット、プロトコルを遮断するのだ。当然、LANプロトコルごとの正常な動作がきちんと定義されていないと何が不正なのかを検出することはできないが、卯城氏は「HTTP、FTPなどは当たり前として、CIFS、SQL、SSLなど多岐多様なプロトコルに対応している。これだけ幅広く対応でき、かつ深いスキャンができる製品はほかにないだろう」と、同製品の特長を強調した。


内部セキュリティのトータルソリューションを目指して

 なお、これは1つのやり方だが、別の方法で内部セキュリティを保とうとする動きもある。例えば、米Cisco Systemsが提唱している「ネットワーク アドミッション コントロール(NAC)」のように、アプリケーションのパッチ適用やウイルスのパターンファイルが最新のものになっていないなど、一定のセキュリティ基準を満たさないPCを、IEEE 802.1xや認証VLANなどにより、ネットワークへ接続させないようにしてしまう考え方だ。

 InterSpectはこの方法には対応していないが、同社ではVPNクライアントソフトウェアである「VPN-1 SecureClient」ですでに対応済みという。本来は、ポリシーサーバーにあらかじめ定義しておいた基準を満たせないPCに対して、VPNによるリモート接続を許可しないというものだが、これをLAN内で運用することもあるそうで、「当然、そうした方法も視野に入れている」(卯城氏)。

 チェック・ポイントは2003年にZone Labsを買収するなど、デスクトップ側でのセキュリティ確保にも力を入れてきているが、VPN-1 SecureClientなどデスクトップ向け製品を利用したソリューションとInterSpectの連携に関しては、残念ながら「現段階ではノーコメント」とのこと。しかし、本当の意味でのトータルソリューションを実現させるためには、こうした取り組みとの連携も必要なことではないかと思われる。是非、同社には早急な対応を期待したい。



URL
  チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
  http://www.checkpoint.co.jp/

関連記事
  ・ チェック・ポイント、ネットワーク内部の防御に特化したセキュリティアプライアンスを発表(2004/01/21)
  ・ チェック・ポイント、米Zone Labsの買収でエンドポイントセキュリティを強化(2003/12/17)


( 石井 一志 )
2004/01/23 10:23

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.