ニムダ,コード・レッドといった悪質なウイルス。Webセキュリティの脅威は膨らむ一方。企業内にWebシステムが浸透し,危険度はさらに上がりつつある。そこで,こうしたWebセキュリティの強化を,比較的手軽に実現できる製品が登場してきた。Webトラフィックのアクセス制御やURLフィルタリング,アンチウイルスなどを1台に統合したゲートウエイである。このほか,Webサイトからエンドユーザーに対してセキュリティ機能を提供できるようなサービスも登場している。
 |
| 表1●Webセキュリティ強化機能を搭載する製品 ファイアウォール・ベースの製品は,Web以外の通信に対してもセキュリティを強化できる。 |
Webセキュリティの強化を目指した製品/サービスが相次いで登場している。例えばキャッシュ・ベンダーのキャッシュフロー・ジャパンは,2002年4月,「CacheFlowセキュリティゲートウェイ」というアプライアンスを発売した(表1[拡大表示])。米インクトゥミも,ほぼ同時期に,同様のコンセプトに基づくソフトウエア「Traffic Edge Security Edition」を発表した。どちらもキャッシュ・サーバーをベースにした製品である。
ロード・バランサからのアプローチもある。イスラエルのラドウエアは,キャッシュ・サーバー用ロード・バランサ「Cache Server Director」(CSD)を,セキュリティ関連製品のベンダーであるイスラエルのアラジンのセキュリティ製品と連携させるソリューションを打ち出した。
セキュリティを強化する新たなソリューションもある。Webサイトが,アクセスしてくるユーザーに対して,アンチウイルスやパーソナル・ファイアウォールのような機能を提供するサービスだ。厳密には,Webサイトにそうした機能を提供するASP(アプリケーション・サービス・プロバイダ)が登場してきた。
これらに共通するのは,Webトラフィックに特化し,各種のセキュリティ機能を統合的に提供すること。Webコンテンツに対するアンチウイルス,URLフィルタリング,HTTPのアクセス制御などである。
Webセキュリティが注目される背景には,2001年に国内でも猛威を振るったニムダやコード・レッドのように,増殖・感染のルートとしてWebサーバー・ソフトのセキュリティ・ホールを悪用するウイルス/不正コードの脅威が挙げられる。こうしたウイルスや不正コードは,今後さらに多く出現すると見られ,セキュリティ上の脅威を膨らませている。
その一方で,企業内ではWebアプリケーションが増え続け,危険度はますます上がる。特に,Webサービスなどが実用化されると,インターネット上のWebサイトはもちろん,企業内システムのあちこちにもWebサーバーが浸透していくことになる。こうした環境を想定し,ベンダー各社がWebに特化したセキュリティ向上策を打ち出し始めた。
 |
| 図1●Webセキュリティ強化機能を搭載する製品 URLフィルタリングやウイルス・チェックの機能を統合した製品。キャッシュ・アプライアンスをベースにした製品のほか,ロード・バランサでも同様の機能を持つ製品がある。どちらのタイプでも,スループットを維持したまま,セキュリティを強化できる。厳密には,ウイルス・チェックについては,外部のシステムとの連携機能を提供する。アンチウイルス・ゲートウエイを複数同時に使って負荷分散させることも可能。 |
各種セキュリティ機能を1台に統合
統合型のWebセキュリティ製品では,ユーザー認証やアクセス制御,URLフィルタリング,アンチウイルスといった機能を,共通のセキュリティ・ポリシーに基づいて制御できる(図1[拡大表示])。
例えばキャッシュフローのセキュリティゲートウェイやインクトゥミのTraffic Edge Securityは,各社の主力製品であるキャッシュ・サーバー(プロキシ・サーバー)がベース。同時に複数の認証システムと連携させ,例えば1人のユーザーに対して複数の認証IDを要求するなど,Webに関しての強固なアクセス制御を実現できる。URLフィルタリングでは米ウェブセンスなどのベンダーと提携。フィルタリングすべきURL情報(ブラックリスト)などを取得できる機能を搭載した。同様に,ユーザーからアクセス要求があったWebコンテンツは,キャッシュする前にウイルスをチェックする。
ラドウエアは,CSDとアラジンのセキュリティ製品との連携機能を持たせた。キャッシュ機能を持たない点を除けば,おおよその動作はキャッシュ・ベースの製品と同じだ。CSDのポリシー・エンジンで,どのコンテンツに対してどの機能をどう適用するかを決める。現状ではCSDに実装されているだけだが,今後は,Webサーバー用やファイアウォール用のロード・バランサ,マルチホーミング用のロード・バランサ(LinkProof)など,同社の他社製品にも搭載される可能性が高い。
Webトラフィックに特化しているわけではないが,ファイアウォールでも似たような動きが見られる。米シマンテックは,2002年4月,ファイアウォールにアンチウイルスや不正侵入検知(IDS)などの機能を統合したオールインワン型のセキュリティ製品を発表した。また,米ネットスクリーン・テクノロジーズは,ファイアウォールにアンチウイルス・ゲートウエイの連携機能を搭載した。さらに,同社の最新製品「NetScreen5000」には,「フューチャー・テクノロジー・モジュール」という拡張モジュールのコンセプトが盛り込まれている。具体的な製品計画はまだ明らかにされていないが,アンチウイルス・ゲートウエイなどを搭載することは十分可能である。
重いアンチウイルスは外部処理
ほとんどの製品は,アンチウイルスの処理を,別途用意した専用ゲートウエイとの連携で実現している。これはパフォーマンスを劣化させないための策だ。さらにゲートウエイの負荷分散を図れれば,パフォーマンス上の問題点を解決できる。
例えばキャッシュフローのセキュリティゲートウェイは,ICAP(インターネット・コンテンツ・アダプテーション・プロトコル)を使ってアンチウイルス・ゲートウエイと連携する。インクトゥミやネットスクリーン,ラドウエアは,アンチウイルス・ベンダーの独自プロトコルを使う。単に処理を分担するだけでなく,アンチウイルス・ゲートウエイを複数併用すれば,アンチウイルス処理自体の負荷分散も可能になる。
製品が持つポリシー・エンジンは,ウイルス・チェックをすべきコンテンツかどうかを自動的に判断するようになっている。例えば,ウイルスや不正なコードを含む可能性が高い,Javaスクリプトなどのコンテンツだけをチェックする。
 |
| 図2●Webサイトでもエンドユーザーのセキュリティ強化を図れる 韓国のインカインターネットが開発した「nProtect」というソフトを使うと,エンドユーザーのセキュリティを向上させられる。Webサイトにアクセスすると,自動的にnProtectがインストールされる。nProtectはクライアントのメモリーなどを監視し,不正プログラムやウイルスを検出・除去する。国内ではスペースジオ,メトロなどが,nProtectのクライアントを自動配布するサービスを提供予定。 |
Webサイト経由での守りも
ここまで見てきたのは,基本的に企業内のWebセキュリティ向上のためのソリューションである。これに対して,Webサイトなどが,エンドユーザーのセキュリティを向上させるアイデアも登場している。Webサイトが付加機能としてアンチウイルスや不正アクセス防止の機能を提供できるようにする,新種のWebサイト向けサービスである(図2[拡大表示])。国内では,スペースジオ,メトロなどがASPとして,ポータル・サイトやECサイトなどに向けてサービスを提供する。
ベースになるのは,韓国のインカ・インターネットが開発した「nProtect」というソフトウエア。不正プログラムに感染したクライアントが自社のWebサイトにアクセスしてくるのを防ぐ,自社サイトの利用時にクライアントが誰かの不正アクセスや攻撃を受けないように警告・保護する――といった目的で利用できる。つまり,自社サイトに及ぶ危険を極力減らせる。エンドユーザーの目から見ると,そのWebページにアクセスするだけで,PCに一時的に「パーソナル・ファイアウォール」や「ウイルス・チェック・ツール」を組み込んだのと同じ状態になり,簡易なセキュリティ機能を入手できることになる。
仕組みはこうだ。nProtectクライアント・ソフトは,ActiveXコンポーネントやNetscapeプラグインとして実装されている。メトロなどサービス提供事業者は,このソフトを各社のシステム上で公開している。nProtectを利用したいECサイトなどは,特定のWebページ上で<OBJECT>タグなどを使ってnProtectを呼び出すように設定しておくだけでよい。エンドユーザーがそのページにアクセスすると,エンドユーザーのマシンに自動的にnProtectがインストールされ,稼働する。
nProtectクライアントは,メモリーに常駐したウイルス(代表的なものだけ)やバックドアなどの不正プログラムを検出し除去する。同様に,メモリーを監視して不正プログラムが読み込まれることを防いだり,TCP/UDPポートを監視して不正アクセスを防ぎ警告するようになっている。
