ウイルス対策をはじめとする企業のセキュリティ強化手法として,新たなソリューションが浮かび上がってきた。ウイルスが発見された場合には,各PCに搭載したアンチウイルス・ソフトのパターン・ファイル更新を強制実行。対策が遅れて危険度が高まっているPCは,ネットワークから自動的に隔離してしまう。こうした機能を持つ製品が,米国でいくつか登場している。これらの製品を使うと,比較的手軽に,セキュリティを強化できる。
 |
| 表1●新たなセキュリティ強化ツールが登場 |
例えば米ゾーン・ラボは,2002年6月,企業ネットワーク向けのセキュリティ製品「Zone Labs Integrity」の新バージョン(バージョン1.5)を発表した。社内のPCに搭載するパーソナル・ファイアウォールと,それぞれのPC上でのフィルタリング・ルールなどを一元管理できる製品で,目玉は,前述したようなアンチウイルス・ソフトとの連携機能である。米サイゲート・テクノロジーズの「Sygate Secure Enterprise」(SSE)も,パーソナル・ファイアウォールをベースにした製品で,Integrity1.5と同様の機能を搭載している。
アプライアンス型のファイアウォールでも,よく似た機能を持つ製品がある。米ソニックウォールが2002年4月に発表した,同社製ファイアウォール用のオプション・ソフト「Network Antivirus」である。やはりPC上のアンチウイルス・ソフトとファイアウォールが連携し,特定のPCだけをネットワークから隔離できる。
現状では,こうした機能を実装した製品はまだ少ない。ただ,今後のセキュリティ関連製品の機能拡張の1つの方向になりそうだ。
感染経路になりそうなPCは隔離
ウイルスの感染経路を完全にふさぐには,最新ウイルスのパターン・ファイルが提供されるまで,インターネットへの接続性を遮断してしまう以外に有効な手立てはない。新しいパターンが提供されても,すべてのクライアントPCに適用するには時間がかかる。その間は,未更新のPCは感染経路になってしまう。といって,すべてのPCのパターン・ファイルを更新し終えるまでインターネット接続をすべて止めてしまうのは非現実的だ。
 |
| 図1●ポリシー・エンフォースメントの実現例 ポリシー・エンフォースメントは,「ウイルスの最新パターン・ファイルを適用したPCの通信のみ許す」などのポリシーを,各PCに搭載したエージェント(パーソナル・ファイアウォール)に強制的に配布・適用する仕組み。ウイルスの感染経路や不正侵入の経路をふさぐことができる |
この点,IntegrityやSSEなら,個々のPCごとにネットワークへのアクセスを制御できるため,社内/社外を問わず,感染経路をふさげる。しかも,新たなウイルスが見つかった場合などは,ネットワーク利用ポリシーを適宜更新し,管理サーバーから各PCに強制配布できる(図1[拡大表示])。
ゾーン・ラボの場合,Integrityのエージェント・ソフト,またはゾーン・ラボ製の一部のパーソナル・ファイアウォールが,トレンドマイクロ,米シマンテック,米マカフィのアンチウイルス・ソフトと連携する。サイゲートのSSEもほぼ同じ動作をする。
VPNやIDSとの連携も
ファイアウォールだけでなく,VPN(仮想プライベート・ネットワーク)機器と連携させて,リモート・アクセスによる感染も防止できる。たとえばIntegrityには,米シスコ・システムズのVPN製品との連携機能がある。シスコは,同社の「VPN3000」に同こんするVPNクライアント・ソフトに,ゾーン・ラボのIntegrityエージェントを組み込み済み。同時に,VPNゲートウエイ側では,ウイルス・パターンを更新していないクライアントなど,ポリシーに合わないユーザーからの接続要求を拒否するように設定できる。
SSEの場合は,Integrityよりさらに一歩進んでいる。2002年6月に発表された新バージョン(SSE3.0)では,不正侵入検知(イントルージョン・ディテクション)の機能を持つソフトなどとも,アンチウイルスの場合と同様に連携させられるようになった。たとえば攻撃パターンのデータベースとなるシグニチャの更新を,ネットワーク利用のポリシーに反映できる。
