検疫ネットワークと不正アクセスの防御を同時に実現する統合ソリューション「Check Point InterSpect with Integrity」

 1台で複数のセグメントを設定して,ウイルスやワームなどの攻撃を最小限に抑えるアプライアンス製品「InterSpect」と,エンドポイント・セキュリティを強化してクライアントPCを集中管理する「Integrity」。それぞれの製品は単独でも大きな効果をもたらすものだが,この2つを連携させることでさらに強固なセキュリティ・ソリューションが誕生。この統合ソリューションによって,検疫ネットワークと不正アクセスの防御をともに実現することができる。

ウイルスやワームの感染スピードが速まる中,迅速・確実なセキュリティ対策が不可欠

 多くの企業にとって,ビジネスの舞台は世界へと拡大している。国内外の日常的なビジネス,あるいは高度な意思決定を迅速に行うために,ネットワークは欠かせないインフラとなっている。

 しかし,そのネットワーク環境に対する脅威も確実に高まっている。ウイルスやワームの感染スピードは速まっており,“Day Zeroアタック”と呼ばれる短時間での被害拡大の件数も増えている。

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下,チェック・ポイント)は,高度のネットワークセキュリティを実現する様々な最新技術を開発,製品やソリューションに反映させてきた。企業内部のセキュリティ,内部と外部の境界領域のセキュリティ,Webのセキュリティという3つの側面を中心にインテリジェント性を兼ね備えたセキュリティ・ソリューションを展開しており,360度のセキュリティ対策によって,ネットワーク環境を守るための取り組みを続けている。

 ここでは,これら3つの側面それぞれに関係するセキュリティ対策を見ていき,チェック・ポイントの最新ソリューション,Total Access Protection(TAP)を紹介する。

セグメントを越えた被害を防ぎ未知の攻撃にも備えるInterSpect
図1 InterSpect 隔離イメージ図
※画像をクリックすると拡大画面が表示されます。

 内部セキュリティ・ゲートウェイ「InterSpect」は,企業内部のセキュリティを強化するための代表的なアプライアンス製品である。内部で発生するワームなどの拡散を防ぎ,被害を最小限に抑える。1台のInterSpectで複数の内部セグメントを実現し,セグメントを越える被害を防止するのである。感染の疑いのあるコンピュータを隔離するだけでなく,そのコンピュータのユーザーと管理者に通知する機能も持っている(図1)。

 このほかにも,InterSpectには多くの特長がある。LANプロトコロルの動きを熟知していることから,その異常を検知し即座にブロックすることができる。また,ネットワークインフラ上で機能するので,クライアント環境に依存しないセキュリティ対策を実現できる。パッチを適用できない,稼働中のサーバーに対する攻撃を防ぐこともできる。

 さらに,脆弱性が発見されれば,その脆弱性への攻撃の有無に関係なく対策を実施するため,未知の攻撃への備えにもなる。この点はIDP/IPSの手法と比べて,InterSpectが迅速に対処できる理由でもある。一般に,IDP/IPSでは,攻撃手法のデータベースからシグネチャを作成して対策を行うので,未知の攻撃に対応できないことがある。その結果,IDP/IPSは感染スピードの速いワームなどの蔓延を許してしまう。

 シグネチャ設定のために高度な管理スキルを要するIDP/IPSに対して,簡単に運用できるのもInterSpectの特長。運用だけでなく,アプライアンス製品特有の導入のしやすさも兼ね備えている。

リモートアクセスが普及する中, エンドポイントのセキュリティ対策強化を

 次に,内部とリモート環境にあるクライアントPCにおけるエンドポイント・セキュリティを確保する「Integrity」。これは,管理サーバーで設定したセキュリティ・ポリシーをPCに配信して,各PCのセキュリティ対策を一元的に行う製品である。

 内部環境はもちろんだが,外部リモート環境のセキュリティ対策は大きな課題になっている。出張先や自宅などから内部ネットワークにリモートアクセスするPCが,万一ワームの踏み台攻撃を許せば,被害はたやすく内部ネットワークに及ぶ。こうした不正アクセスを防ぐのが,Integrityである。

図2 Integrityの構成例
※画像をクリックすると拡大画面が表示されます。

 Integrityの特長として,まず挙げられるのは集中管理の利便性。中央に管理用のIntegrityサーバーを設置して,クライアントPCごと,ユーザーごと,あるいはユーザー・グループごとにリアルタイムでポリシーを配信する。

 また,クライアントPC上ではアプリケーションレイヤーまでを効率よく検知するファイアウォールにより,インバウンド/アウトバウンド双方の通信を制御。クライアントPCを踏み台にしたDoS攻撃に対しても,直ちに通信を遮断するという対策を講じる。同時に,脆弱性のあるアプリケーションや不正なプログラムによる通信を遮断する機能も備える。

 さらに,IntegrityはパターンファイルやOSパッチの適用状況なども集中管理し,ポリシーに適合したクライアントPCのみのアクセスを許可する。非適合のPCが自動的に,ウイルス対策用のサーバーに接続するという仕組みを構築することも簡単だ。

InterSpectとIntegrityの連携で多段的なセキュリティ対策が可能

 以上で説明したInterSpectとIntegrityを統合することで,高度なセキュリティ対策が可能になる。通常は内部で使われるPCが,ときどき外部に持ち出されるといった使い方はごく日常的に行われている。内外の環境が一体化しているネットワークにおいて,この統合ソリューションは有効な対策を提示している。Integrityは内部においてはInterSpectと連携して高度なセキュリティを確保するとともに,外部ではIntegrity単独で前述のようなセキュリティ対策を実行する。

図3 InterSpect/Integrityとの統合
※画像をクリックすると拡大画面が表示されます。

 図3は,これら2つの製品を統合して構成されたネットワークを示したものである。正常なPCは他のゾーンへのアクセスが可能だが,セキュリティ・ポリシーに適合しないPCはゾーンの中に隔離され,ウイルス対策サーバーのみへのアクセスが許可される。これが検疫ネットワークである。既存の検疫ネットワークのほとんどは,PCのウイルス対策ソフトやOS,アプリケーションの状況から隔離するかどうかを判断するため,ワームなど感染スピードの速い攻撃に対しては対応が間に合わない場合が多い。これに対して,この統合ソリューションでは迅速な対応が可能。クライアントPC単位でのセキュリティ対策が可能になり,ワームなどの拡散をセグメント間はもちろん同一セグメント内でも防止することができる。

 InterSpectはIntegrityの稼働状況をチェックし,ネットワークへのアクセスを判断する。これにIntegrityによるポリシー適合性のチェックも加わることで,より高度なセキュリティ対策が可能になる。

 また,段階的なエンドポイント・セキュリティ対策を実施することも容易。持ち込みPCのあるセグメントだけをInterSpectと連携させれば,リスクの大きさに応じたセキュリティ対策が可能になる。さらに,InterSpectとIntegrityそれぞれでレベルの違ったセキュリティ・ポリシーを設定すれば,多段的なセキュリティ対策を実行できる。

 こうした製品間の連携でセキュリティの隙間を埋め,トータルなセキュリティ対策を実現する―。それがチェック・ポイントのTotal Access Protection(TAP)である。

関連リンク
InterSpect製品概要
Integrity製品概要
copyright (c) 2005 nikkei business publications,inc. all rights reserved.
記事中の情報は、記事執筆時点または雑誌掲載時点のものです。
このサイトに掲載されている記事、写真、図表などの無断転載を禁じます。詳しくはこちらをご覧ください。
 日経BP社