 |
「ファイアウオールなどの“境界セキュリティ(perimeter security)”は確かに有効だが,それだけでは不十分。それぞれのマシン,すなわちエンドポイントを守らなければ,急速に蔓延するワーム(ウイルス)などは防げない」——。米Mirage Networksの社長兼CEOのToney Jennings氏は11月16日,IT Proの取材に対して,エンド・ポイント・セキュリティの重要性を強調した(上写真左)。
Mirage Networksは,セキュリティ・アプライアンス「Mirage Inverted Firewall」(下写真)を開発/販売するセキュリティ・ベンダー。国内では,三井物産セキュアディレクションが同社と国内独占販売契約を結び,11月16日から販売することを発表した(関連記事)。
同社の設立者の一人であり,CTO(Chief Technology Officer)のMark Wilkinson氏も強調する(上写真右)。「5年ぐらい前までの“単純”なネットワーク構成なら,ファイアウオールだけでも十分守れた。しかし現在では,ネットワーク構成は複雑になる一方である。さまざまなサービスが利用され,モバイルや無線LANも一般的になっている。現状では,エンドポイントを守るためのセキュリティ対策が不可欠なのだ」(Wilkinson氏)
エンドポイントを守る方法としては,検疫ネットワークやパーソナル・ファイアウオールなどを利用する方法が考えられる。ただしいずれも,ほとんどの場合,各マシン(エンドポイント)には専用のプログラムをインストールする必要がある。同社がInverted Firewallの特徴の一つとして挙げるのは,「“非エージェント型”であること」(Jennings氏)。それぞれのマシンにエージェント・プログラムなどをインストールする必要はない。
具体的には,Inverted Firewallは次のように動作する。まず,Snifferやネットワーク型IDS(侵入検知システム)のセンサーのように,トラフィックに影響を与えない形で,ネットワークに流れるパケットを観測する。典型的な例としては,スイッチのミラー・ポートにInverted Firewallを接続しておく。
そして,異常な振る舞いをしている“怪しい”マシン——例えば,ワームを撒き散らしているマシン——を見つけると,そのマシンへ“偽”のARPレスポンスを送信して,そのマシンのARPテーブルを書き換える。具体的には,どのIPアドレスについても,対応するMACアドレスをInverted FirewallのMACアドレスにしてしまう。こうすることで,怪しいマシンをInverted Firewallとしか通信できないようにして“隔離”する。
「『ARPテーブルを強制的に書き換える』というコンセプトは以前からあった。しかしそれは,クラッカがDoS(サービス妨害)攻撃など仕掛けるために使っていた。Inveted Firewallでは,それをセキュリティのために利用する」(Jennings氏)。同氏が知る限りでは,このコンセプトを用いているセキュリティ製品はInveted Firewallだけであるという。同社では,この技術に関する特許を数件申請している。
もう一つの特徴が,既存の攻撃パターンを収めた「シグネチャ」を使わずに怪しいマシンを検出できること。具体的には,「使われていないIPアドレスへアクセスしている」「多数のパケットを送出している」——といった“振る舞い”から,異常なマシンを検出する。このため,「未知の攻撃も検出できる」(Jennings氏)。
米国では,2004年2月にInverted Firewallは発売された。既に76社が導入しているという。そのうち1社のエピソードをJennings氏が“披露”した。「その企業では,ある金曜日にInverted Firewallをインストールした。すると翌日,企業ネットワークに侵入した『Sasser』の蔓延をInverted Firewallがさっそく防いだ。このとき,Sasserは出現したばかり。シグネチャ・ベースの製品では防げなかっただろう。喜んだその企業は,複数台のInverted Firewallを導入してくれた」
現時点では,Inverted Firewallはワームなどの蔓延を防ぐだけで,ワームなどに感染したマシンを元の状態に戻す機能/仕組みは存在しない。しかしながら,「来春には,そういった仕組みを実現できるようにする」(Jennings氏)予定であるという。
◎参考資料
◆MBSD,内部ネットワークのワーム拡散を防止するアプライアンス製品の国内独占販売契約を締結(PDFファイル)
(勝村 幸博=IT Pro)
