ファイアウォールをすでに導入しているユーザーが,UTMやSCMの採用を考えるきっかけの一つがスパム・メール対策だという。UTMやSCMのようにゲートウエイに置く装置では,どのようなスパム・メール対策が期待できるのだろうか。

 UTMやSCMでは一般的に,スパム・メール対策に二つの手法が使われている。一つが,スパム・メールの送信元IPアドレスやドメイン名などをデータベース化して,届いたメールをデータベースに照らし合わせてチェックする方法。メールの送信頻度やシーケンスを見るものもある。

 もう一つが,メールのタイトルや内容を解析して,スパム・メールかどうかを判定する方法。判定精度を上げるために,過去にスパム・メールと判定されたメールのタイトルや内容を学習したりする。多くの場合,リストや解析に使うロジックは装置の中に保存され,外部のデータベースから変更分をダウンロードして更新している。

外部のデータベースでメールを評価

 最近の製品での注目点は,外部のデータベースと連携してスパム・メールかどうかを評価するというしくみだ。マカフィーやトレンドマイクロの製品がこのようなしくみを取り入れている。

 外部データベースでスパム・メールかどうかを評価するメリットは,最新の情報でメールをチェックできる点にある。スパム・メールの判定情報を定期的に更新するという方法では,多くても1日に数回まとめて更新するケースが多い。更新の間は最新ではない情報で判定することになってしまう。

 例えばマカフィーの「Secure Inter-net Gateway」は,メール構造からスパム・メールかどうかを分析するため,パケットのデータ部分のハッシュ値を外部データベースに送る。すると,データベースでスパム・メールかどうかを分析して結果を返信する

 このほか,セキュア コンピューティングでは今後,Sidewinder G2に外部データベースと連携する機能を盛り込む予定である。現時点では,メールのセキュリティ対策やスパム・メール対策の専用アプライアンスでこの機能を取り入れている。

 セキュア コンピューティングの特徴は送信元のIPアドレスでスパム・メールかどうかを評価するところ。外部データベースでは,スパム・メールを送りつけるIPアドレスをリスト化して,メールのハッシュ値を基にIPアドレスごとの評価を蓄積している(図1)。こうして,データベースで評価した値を基にスパム・メールを判定する。

図1●送信元IPアドレスを評価して不要なパケットを排除
図1●送信元IPアドレスを評価して不要なパケットを排除
米セキュア コンピューティングは,スパム・メールの判定基準の一つとして送信元IPアドレスを用いている。パケットが送られてくると,送信元IPアドレスとデータのハッシュ値をセキュア コンピューティングが運営する評価用データベースに送信し,評価用データベースが評価値を返信する。管理者は事前に通してもよい評価値を決めておき,それに照らしてパケットを通すかどうかを決める。
[画像のクリックで拡大表示]