 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
「第2世代のファイアウォールの価値とは?」-チェック・ポイント |
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
セキュリティ・コンサルティング本部の卯城大士本部長によれば、同社製品の優れている点の1つとして、ファイアウォールであっても、高レイヤまでをカバーできる防御性能を持っていることが挙げられるという。理解できるIPプロトコル/アプリケーションの数は実に150以上にもおよび、これは競合他社と比べると数倍~十数倍にもなるとのことで、それらすべてについて、「正常性を検査するほか、危険なデータやコマンドが挿入されていないか、実行可能な有害コードが含まれていないか、などをチェックできる」(卯城氏)。 加えて、ファイアウォールに携わってきた長年のノウハウを生かし、通信の奥深いところまでを検査できる強みもある。攻撃が複数のパケットに分割して送られてきた場合、個々のパケットを見ていては、攻撃を見逃してしまう可能性が高い。そこでチェック・ポイントではデータストリームとしてパケットを再構成し、検査を行えるようにしているという。 さらに、新しい脆弱性が日々され、それに対する攻撃も行われるようになるため、防御機能のアップデートもセキュリティの重要な要素になっている。チェック・ポイントでも、SmartDefenseというサービス名称で新しい攻撃に対する防御のアップデートを提供しているが、これが優れている点は、「脆弱性そのものへの防御を提供していること」(卯城氏)だ。攻撃の種類ごとにシグネチャを用意するのではなく、脆弱性そのものを防御することで、亜種や、同じ脆弱性を悪用する別の攻撃に対しても効果を発揮できることが強みで、卯城氏は「動作を見張っていれば、同じような攻撃が来ても防御できるということ」と説明した。 また、こうした仕組みを支えるものとしては、卯城氏はプログラミング言語の「INSPECT」を紹介。通信の追跡に最適化され、検査条件を柔軟に記述でき、そして大きな拡張性を持ったこの言語を使うことで、柔軟かつ迅速に脆弱性の事前防御機能を提供するとした。 Webサーバーの保護についても、Webアプリケーションファイアウォール(WAF)の機能を提供するオプション「Web Intelligence」を追加すると、別個にハードウェアを用意しなくとも、ファイアウォールだけで対応が可能。コードベースの攻撃を検知する「Malicious Code Protector」技術を活用すれば、ゼロデイ攻撃を含め、幅広い攻撃に対応できることを強調している。 なお、これらの機能・オプションはすべて、「VPN-1 UTM」「UTM-1」はもちろん、UTM機能のない「VPN-1」でも利用可能。複数のコンポーネントから構成されるUTM製品と違い、ファイアウォールの機能を拡張しているため、アップデートが1回で済むメリットもユーザーへ提供できるとのことだ。
■ URL チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 http://www.checkpoint.co.jp/
( 石井 一志 )
|
