「Blasterのような“複合型の脅威(Blended Threat)”はVPNを経由して社内LANに侵入する場合がある。被害に遭わないためには,LANへのトラフィックをすべてチェックする必要がある」――。米SymantecのStrategic Marketing DirectorであるFrank F. Mong氏は11月13日,IT Proの取材に対して,複合型の脅威に備えるポイントをいくつか紹介した(写真)。同社では,従来のウイルス対策だけでは防ぐことが難しいウイルス(ワーム)などを複合型の脅威と呼んでいる。以下,同氏の話をまとめた。
VPNを使ったリモート・アクセスが“裏口”に
今やほとんどの企業は,LANとインターネットの境界にファイアウオールやゲートウエイ型アンチウイルス・ソフトなどを設置している。これにより,インターネットから複合型の脅威が侵入することを防いでいる。しかし,それだけでは不十分だ。見過ごされているのが,VPNを介したLANへのアクセスである。VPNを経由してLANにアクセスするユーザーのノート・パソコンから,複合型の脅威が侵入する場合が少なくない。
ノート・パソコンのユーザーは,自宅やホテルなど,セキュリティ対策が施されていない環境からインターネットに接続する。そして,同じノート・パソコンでLANへもアクセスする。複合型の脅威が侵入(感染)したノート・パソコンでLANへアクセスすれば,複合型の脅威はVPNを介してLANに侵入する。VPNがLANへの“裏口”になってしまうのだ。
これを防ぐには,VPNを経由したトラフィックも,インターネットからのトラフィック同様,LANに入る前にすべてチェックする必要がある。
感染を拡大させないネットワーク構成を
Blasterのときにも見られたように,ノート・パソコンによって複合型の脅威が社内に持ち込まれる場合がある。自宅などで複合型の脅威に感染したノート・パソコンをLANに接続したために,社内全体にまん延するケースは少なくない。
持ち込ませないことが第一だが,100%防ぐことは難しい。そこで,たとえ持ち込まれても,社内中に感染を拡大させないネットワークを作る必要がある。具体的には,部門ごとでサブネットを分ける。そして,ある部門から別の部門へのトラフィックは,インターネットへのトラフィック同様,ファイアウオールやゲートウエイ型アンチウイルス・ソフトを経由するようにする。
こうすれば,一つの部門のネットワークに複合型の脅威がまん延しても,社内中に感染が拡大することを防げる。このようなネットワーク構成を実現するには,ファイアウオールやゲートウエイ型アンチウイルス・ソフトなどが一体となったアプライアンス製品が便利だ。
(勝村 幸博=IT Pro)
