2000年上旬に頻発したセキュリティに関する社会的な事件は,ネットワーク社会のぜい弱さを明らかにするとともに,セキュリティ対策への関心を一気に高めた。その結果,ネットワーク上での不正侵入やコンピュータ・ウイルスなどに対応した製品が,日本国内でも重要視されるようになった。もはや先進ユーザーだけが導入する時期は過ぎ,普及のフェーズに入っているといえる。
今後,ネット・トレードやインターネット・バンキング,ASPサービス,マーケットプレースなどの新しいサービスが本格的に提供されることを考えれば,さらに強固なセキュリティが求められる。具体的には,単独ではなく,様々なセキュリティ製品およびサービスを組み合わせたネットワーク・セキュリティである。しかしながら,国内ではまだまだセキュリティ製品の連携についての認知度は低く,存在さえも知られていないというのが現状である。そこで今回のコラムでは,今後のセキュリティ分野の重要技術となる「セキュリティ製品の連携」を紹介する。
セキュリティ製品の連携に関する研究開発は,97年ごろからすでに開始されている。FireWall-1で有名なCheck Point Software Technologiesを中心に,セキュリティ・ベンダー数社からなる「OPSEC(Open Platform for Security)」というアライアンスが発足し,製品間の連携が進められた。そして98年には実用段階に入り,ファイアウオールとルーター,および侵入検知システム(NIDS:Network Intrusion Detection System)などの連携が可能になった。
OPSECのフレームワークでは,Check Point Software Technologiesが開発し,公開しているAPIであるCVP(Content Vectoring Protocol),UFP(URL Filtering Protocol),SAMP(Suspicious Activity Monitoring Protocol)を利用する。加えて,LDAP(Lightweight Directory Access Protocol),SNMP(Simple Network Management Protocol),ODBC(Open Database Connectivity)といった業界標準のプロトコルもサポートしている。
OPSECを使えば,ファイアウオールを中心として,(1)ルーター,(2)侵入検知,(3)ネットワーク・トラフィック監視,(4)ウイルス対策,(5)暗号化の各機能を相互連携できる。連携形態としては,ネットワーク内を監視し,問題があればその部分を修復,もしくは切り離すという形が主流である。例えば,侵入検知システムが不正アクセスを検知したらファイアウオールに伝えて,ファイアウオールはそのトラフィックを遮断する。
各製品(機能)間の連携には,OPSEC独自のスクリプト言語を使う。また,OPSECフレームワークに沿った製品は,1つのポリシーに従って集中管理することができる。
他にもFCP(SecureConnect Firewall Control Protocol)などの連携プロトコルが存在するものの,OPSECはスリーコムコーポレーション,ヒューレット・パッカード,サン・マイクロシステムズなど250社の以上の企業がサポートを決定しており,事実上の業界標準プロトコルといえる。
現時点では,セキュリティ製品連携は普及していないため,設定ミスなどによるセキュリティ・ホールは特に報告されていない。しかし,今後広く利用されるようになると,単体製品以上にセキュリティ・ホールが見つかる可能性がある。製品間の連携には,各製品単体の段階と連携段階で,2段階の設定が必要となるからだ。このようなセキュリティ・ホールを避けるには,設定の簡略化をはじめとする,ヒューマン・エラーを減らす工夫や機能が必要だ。この機能をベンダーがいかに作りこんで提供できるかが,製品連携を浸透させるためのキー・ポイントとなってくるであろう。
【関連URL】
田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
