Enterprise Watch
最新ニュース

チェック・ポイント、バッファオーバーフロー対策機能を追加したPFWソフトの新版など


 米Check Point Software Technologies Ltd.(以下、Check Point)は2月7日(米国時間)、企業向けパーソナルファイアウォールソフトの新版「Integrity 6.0」と、セキュリティイベント管理ソフト「Eventia」を発表した。日本国内でもチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(以下、チェック・ポイント)が、3月中~下旬より順次出荷開始する予定。


バッファオーバーフロー対策機能、管理機能を強化したIntegrityの新版

チェック・ポイントの技術部長、卯城大士氏
 Integrityは、エンドポイントセキュリティを確保するためのファイアウォールソフト。もともとは、2003年末にCheck Pointが買収した米Zone Labsの製品で、ポリシーベースの集中管理を行えるように設計されている。今回はまず、管理サーバーがHAクラスタに対応して可用性・信頼性が向上したほか、Check Pointの管理製品「SmartCenter」とのログ統合が実現し、攻撃に対する分析効果をより向上させられる。

 また、Check Point独自のMCP(Malicious Code Protector)技術をサポートすることにより、侵入防止機能が強化された。従来のファイアウォールソフトはバッファオーバーフローの脆弱性を悪用した攻撃を防げなかったが、MCP技術ではネットワークトラフィック内に悪質な実行コードが埋め込まれていないかどうかをチェックできるため、防御できるようになった。「この仕組みはシグネチャを利用しておらず、ゼロデイアタックでも防ぐことが可能だ」(チェック・ポイントの技術部長、卯城大士氏)。

 さらにIntegrity 6.0では、セキュリティサービス「SmartDefenceサービス」との連携に対応する。同サービスは、既知・未知の攻撃に対抗するために、脅威に関するデータをリアルタイムで提供するもの。Integrityでは、未知のプログラムがクライアントPCからネットワークアクセスを試みた際に、通信を許可するかどうかをエンドユーザーへ問い合わせる機能を備えている。しかし、この判定をユーザーに任せておくと、「ほとんどのエンドユーザーはセキュリティに詳しいわけではないので、管理者への問い合わせが殺到し、負担が増えてしまう」(卯城氏)。

 これを改善すべく新版では、最新のアクセスポリシーをSmartDefenceから受信して自動的に適用できるようになったので、「劇的にTCOが変わってくる」(卯城氏)という。このデータベースは日々更新されており、新たな脅威が発生しても素早い対応を可能とする点も長所の1つ。卯城氏は、MCP技術などとあわせて、「ポートの開け閉めだけではない、きめ細かな防御を実現する」点を強調していた。

 一方、他製品との連携という点から見ると、内部ネットワーク用セキュリティアプライアンス「InterSpect 2.0」との連携も強化されている。これは検疫ネットワークを実現するための機能で、クライアントPC内のIntegrity 6.0自身の状態や、ウイルス対策ソフトの定義ファイルの状況がセキュリティポリシーに違反する場合、そのPCをネットワークに接続させないようにすることが可能だ。

 Integrity 6.0は、従来よりサポートしていたWindows XP SP2/2000 Professional SP4/NT 4.0 Workstation SP6a/98 SEに加え、新たにRed Hat Enterprise Linuxにも対応した。参考価格は約40万円(25クライアント)。また、SmartDefenceサービスの参考価格(25クライアント)は、7~8万円程度/年を予定している。


チェック・ポイントのノウハウが人間に代わってログを分析する「Eventia」

Eventiaの画面イメージ
 Eventiaは、各種セキュリティ・ネットワーク製品から送られてくるログを一元的に管理・分析する、SIM(Security Information Management)分野の製品。卯城氏によれば、「現在のネットワーク内にある各種デバイスは膨大なログをはき出しているが、それぞれのフォーマット、メッセージが異なっており、少し規模が大きくなると人間の整理能力では対応不能」な状況にあるという。重要な情報がログの中に含まれていたとしても、埋もれてしまい、必要な情報を見つけ出せないのでは、セキュリティ製品を導入した意味はない。

 そこでEventiaでは、まず個々の製品のデータを蓄積して、共通のフォーマットに変換する「正規化」の作業を行う。その上で重複したデータの排除といった「集約処理」を実施し、残ったデータを相互に照らし合わせた上で、実際に起こっていることを把握しようとする。通常、こうした製品は個々のネットワークごとに複雑なポリシー設定を行わねばならず、導入には時間がかかる製品が多いというが、Eventiaではセキュリティイベントの事前定義を用意することによって、「ポリシー設定を容易に行えるようにした点が、他社の製品との差別化になるだろう」(卯城氏)。

 ログの読み込みに関しては同社製品だけでなく、シスコ、ジュニパーのルータ・スイッチや、Snort IDSなど、主要なセキュリティ・ネットワーク機器との間で対応を確認済み。またSyslog形式の読み込みに対応しており、独自形式のログを読み込めないものに関しても、Syslogをはき出せる製品に関しては集計対象に加えられるという。

 集計したデータはPCからGUIで確認でき、個々の事象をドリルダウンすることも可能。「この製品を用いると、チェック・ポイントのノウハウが人間に代わって分析を行える。(セキュリティのPDCAサイクルを回していく上で)ある程度の部分を自動化できるので、運用負荷の軽減、セキュリティレベルの向上につながる」と述べた卯城氏は、「今後もっと増えるであろう情報量に対応するには、こうした製品が必要になるだろう」とも語り、イベント管理製品の重要性を訴えた。

 Eventiaの対応OSは、ログの収集や分析を行うサーバー側がWindows 2000 ServerとSolaris、Linuxで、結果を確認するクライアント側がWindows XP/2000。参考価格は最小構成時で288万円からを予定している。



URL
  米Check Point Software Technologies Ltd.
  http://www.checkpoint.com/
  チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
  http://www.checkpoint.co.jp/
  プレスリリース(integrity)
  http://www.checkpoint.co.jp/pr/2005/20050208integrity6.html
  プレスリリース(Eventia)
  http://www.checkpoint.co.jp/pr/2005/20050208eventia.html

関連記事
  ・ チェック・ポイント、ファイアウォール/VPN機能を統合した新セキュリティソフトウェア(2004/08/11)
  ・ チェックポイントの共同創設者が語る、「他ベンダとの哲学の違い」(2004/10/14)
  ・ チェック・ポイント、FWソフトとの連携を強化した内部セキュリティ製品の新版(2004/10/26)


( 石井 一志 )
2005/02/08 13:51

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.