企業は，例えば不正侵入に対してはファイアウォールやIDSを，ウイルスに対してはアンチウイルスソフトを導入するといった具合に，セキュリティ上の脅威に対して断片的な取り組みを進めているのが一般的だ。しかし，実際のところ，これらマルチレイヤにわたる脅威の発生源や経路の多くは共通しており，境界，内部，Web，エンドポイントといった各セキュリティエリアにおいて，ネットワークレベル，アプリケーションレベルを含めたマルチレイヤの対策をトータルに行うことが，効果的な方法となる。チェック・ポイント・ソフトウェア・テクノロジーズのSmartDefenseこそ，まさにこうした対策手段を提供するものだといえる。

※図をクリックすると拡大図されます。

　SmartDefenseには，INSPECTと呼ばれるエンジンをコアとしたステートフル・インスペクション，Application Intelligence，Web Intelligenceという独自技術が提供されており，INSPECTエンジンでは，パケット単位およびパケットをつなぎ合わせたデータのストリーム単位による，通信全体の検査を実現している。これにより，パケット単体ではとらえきれない，アプリケーションレベルでの脅威の監視が可能となるわけだ。具体的には，アプリケーションがやり取りするコマンド内容やデータサイズの検証をはじめ，プロトコルの利用方法が適切か，ワームの存在，クロスサイトスクリプティングやバッファオーバーフローなどを引き起こすなど有害な実行コードが含まれていないか，といったことを検査することで，システムを不正なアクセスや脆弱性を利用した攻撃から防御する。また，内部からインスタント・メッセージなどのアプリケーションが不適切に利用されていないかなどの制御も可能である。すなわち，アプリケーションの通信過程における問題をあらゆる角度から検査し安全な通信を実現する効果をもたらしている。これらは，各種脅威に対する防御はもちろん，安全にWebアプリケーション，インスタント・メッセージ，VoIP，マイクロソフトの各種LANプロトコルなどのアプリケーションが利用できることを保障する。

境界セキュリティを例にとると旧来，ファイアウォールはアクセス制御を中心とするネットワークレベルのセキュリティの役割しかなく，アプリケーションレベルの対策は他の専用ソリューションが補うなどの伝統的な配備であった。現在は，通信そのものを奥深く，幅広く検査することが可能な先進技術により，セキュリティ・コンポーネントの役割が変化しつつある。

　一方，日々新しい脆弱性が発覚するなかで，攻撃をはじめとするセキュリティ上の脅威のバリエーションは大きく広がっている。今日にあっては，一度，何らかのセキュリティ対策を施したからといって，その効果が継続的に得られるということは決してない。つまり，常に新しいセキュリティ危機に対して，最新の機器 やソフトウェアを取り込むことによって，防御を増強していく必要があるわけだ。 そして，脆弱性の発見から攻撃までの時間が短縮化される中，迅速な防御更新と長い防御有効期間および事前の防御効果が望まれる。

　チェック・ポイント・ソフトウェア・テクノロジーズでは，こうした時代背景と課題に応えるため，先のSmartDefenseに加えてSmartDefenseサービスをあわせて提供している。

※図をクリックすると拡大図されます。

　SmartDefenseサービスに加入し，それを利用することによってユーザーは，最新の対策コードやその設定手順についての情報をチェック・ポイント・ソフトウェ ア・テクノロジーズのサービス・サイトからダウンロードし，SmartDefenseの検査機能をアップデートすることが可能となっている。ここで提供される 対策コードはバイナリではなく，INSPECTエンジンに対応した専用言語によって提供される。対策コードには，新たに明らかになった脆弱性について，その内容がいかなるものか，チェックするにはどこを検証すべきか，そしてどのような対策をとるべきかといったことがこの専用言語によって記述されている。つまりユーザーは，エンジンのバイナリやファームウェアを差し替えるのではなく，専用言語によって新しい脆弱性に対応できるようなロジックをエンジン自体に追加し，アップデートしていくことになるわけだ。いわば，INSPECTというエンジンにセキュリティ対策のためのナレッジを蓄積，増殖していくことができるわけだ。チェック・ポイント・ソフトウェア・テクノロジーズでは，このようなサービスを同社の境界セキュリティ対策となる「VPN-1/FireWall-1」「Check Point Expres」「VPN-1 VSX」，内部セキュリティ対策の「InterSpect」，Webセキュリティ対策である「Web Intelligence」「Connectra」，そしてエンドポイントセキュリティ対策を行う「Integrity」といった各製品に対して提供しており，すべてのセキュリティエリアを網羅している。

　また，SmartDefenseサービスで提供される，Integrity向けのアクセスポリシー提供サービスは以下のようなものだ。

　通常，PCにパーソナル・ファイアウォールが入っているような場合，あるプロセスがネットワークアクセスを行う際に許可／不許可を尋ねるポップアップが表示される。しかし，その判断は一般的なエンドユーザーには困難である。そこでいちいち管理者に問い合わせたり，悪くすると安易に"許可"を選択してワームの蔓延を招いてしまうということにもなりかねない。そこでSmartDefenseのサービスでは，Web上にあらかじめ悪質なプロセスの情報を納めたデータベースを提供し，ユーザーの便宜を図っている。

　つまり，クライアントからあるプロセスがネットワークアクセスをしようとしたときに，従来のようにポップアップを表示してユーザーに判断を任せるのではなく，このデータベースを参照することによって脅威情報を参照して自動的に許可／不許可を行うといった仕組みを提供しているわけだ。結果的に，ユーザーの作業生産性や管理者への負担を軽減することにもつながる。

　特にSmartDefenseサービスにおけるアドバンテージとして強調しておかなければならないのは，これまでのアンチウイルスやIDP/IPSにおけるシグネチャ提供サービスなどは攻撃が行われた後で対策が行なわれ，また，シグネチャを使用しないがネットワーク上の挙動によって攻撃の傾向を推測するものとも異なり，SmartDefenseサービスでは，その脆弱性そのものに対する根本的な対策を行っているということだ。 したがって，SmartDefenseサービスで，ある脆弱性に対する対策を施せば，その脆弱性に対する特定の攻撃だけではなく，その亜種も含めて継続的な対策が可能となり，パッチレベルなどに依存することもない。

　例えば，各企業に大きな被害をもたらしたMS Blasterのケースでは，2003年の4月にその脆弱性が発覚しており，SmartDefenseサービスでは早くもその2週間後には根本的な対策を施した対策コードが配布されている。そして，実際にMS Blasterが登場したのが同年7月，猛威を振るったのが8月であるから，SmartDefenseサービスではMS Blasterによる攻撃が存在しない段階で，すでに脆弱性に対する対策を施されていたことになる。これにより，当然，ユーザーはブラスタによる一切の被害を受けておらず，さらにはその後登場してきた亜種による攻撃から完全に保護された状態にある。

※図をクリックすると拡大図されます。

　以上のように，SmartDefenseでは，境界，内部，Web，エンドポイントといった各セキュリティエリアに対し，アプリケーション層も含めたマルチレイヤのセキュリティ対策を実現している。通常，同様の対策を実施しようとするとIDPやIDSで個々に補完する必要があり，どうしてもコストがかさんでしまうばかりか，一貫性を欠いた対策では"隙間"が生じてしまう危険性も大きい。これに対し，SmartDefenseでは，IPSの機能に加え，それをさらに拡張したファンクションを提供することで一貫性を持った対策を実現するとともに，ROIの観点からも有効なソリューションを実現しているのである。

　ネットワークは，現在の社会全体において不可欠なものとして，さらに発展することに疑いの余地はない。そして，いま認識すべきことは，脅威のもととなる様々な脆弱性が常に出現し，攻撃の手段も猛スピードで進化し続けていることである。防御の観点からは，進化に対応する迅速な防御の更新と，新しい攻撃ごとに混乱を招くことなく有効な防御期間を維持できる事前防御が必要とされている。さらに，個々の攻撃について防御の成果を問うのではなく，アプリケーションがネットワークを通じて行う通信で起こり得る様々な脅威を考慮し，通信そのものの安全を保障することに目を移すべきである。脆弱性に対する根本的な解決能力の真偽を見極め，ネットワーク全体に有効なセキュリティの中核を据えることで，将来にわたるセキュリティ・インフラストラクチャの導入につながっていくのである。