株式会社シマンテック　プロダクトマーケティング部プロダクトマーケティングマネージャ　吉田一貫

■セキュリティ対策の第一歩「クライアントセキュリティ」

　ウイルス、ワーム、トロイの木馬、ハッカーなどのネットワークに対するさまざまな攻撃。そして、それらが引き起こす情報漏洩、営業機会の損失、復旧にかかるコスト、企業イメージの失墜。いまや企業ネットワークのセキュリティは、IT管理者だけの問題ではなく、企業経営を揺るがしかねない重要な課題となっています。セキュリティの重要性はわかっていても、具体的にどうすればよいのかわからない、という声をよく聞きます。確かにセキュリティ対策はさまざまです。ここではセキュリティ対策の第一歩とでもいうべきクライアントセキュリティについて、最近の脅威の動向を交えてご紹介します。
　さて、図１はネットワークに対する脅威の増加傾向を示しています。従来のウイルス／ワームは、ワードやエクセル等の文書ファイルを書き換えてその中に身を潜めたり、あるいは自分自身を添付ファイルとしてメール送信して拡散します。こうした「ファイル」という形態を通じて感染するものであれば、「知らない人からの添付ファイルをむやみに開かない」、「ウイルス対策ソフトをインストールし、きちんと更新する」といった対策で十分に対応できていました。ところが昨今の新たな種類の脅威は、こうしたファイル形態ではなく、パソコンの玄関である「ポート」を通じて直接パソコンを攻撃してきます。これまでは、文章ファイルや添付ファイルなどの目に見えるものに対してのみ気をつけていれば、ある程度問題はありませんでした。しかし、新たな種類のウイルス／ワームは攻撃がいつされているのかわからない点に怖さがあるのです。特にブロードバンドにより、常時接続が当たり前になっている現在、例えば、家庭にあるパソコンはこのような攻撃に24時間さらされている可能性があるのです。
　さらに、OSやアプリケーションの脆弱性、セキュリティホールを悪用した攻撃も増加しています。ブラウザの脆弱性を悪用した「ホームページを見ただけで感染してしまう」という脅威もこれにあたります。そして、このようなさまざまな攻撃方法を組み合わせた「複合型の脅威」が主流となりつつあり、これへの対策が必要なのです。ではどのような対策を行えばよいのでしょうか？


　　　　図1 世界規模でのネットワーク上の攻撃の増加状況

■「複合型の脅威」への対策

　まずはウイルス対策ソフトをきちんと導入し、定義ファイルを常に更新することです。前述のほとんどの脅威はウイルス対策ソフトで防ぐことが可能です。
　次にポートに対して行われる攻撃については、ファイアウォールが有効です。ファイアウォールというと、通常は企業ネットワークの入り口であるゲートウェイに設置されており、社内のパソコンを守るもの、と考えられています。一方、ノートPCの普及につれ、社内のマシンを家庭のブロードバンド、訪問先のネットワーク、ホットスポットなどからインターネットへ接続する機会が増えています。このような接続をしているときには、当然、このマシンは、会社のファイアウォールでは守られていないため、攻撃を受ける可能性が非常に高くなります。こうしたノートPCが感染したことに気つかず、社内ネットワークに再び接続すると、そのマシンが感染元となって社内中が感染してしまいます。ノートPC だけではなく、訪問客が持ち込むノートPC やCD、USB のメモリストレージなど、ゲートウェイを通過しなくても脅威が社内に持ち込まれる経路はいくつも考えられます。このように持ち込まれる脅威に対しては、ゲートウェイのファイアウォールはまったく意味がありません。従って、ウイルス対策ソフトに加え、パソコン（クライアントPC）用のファイアウォールである「パーソナルファイアウォール」を一台一台に導入することが必要です。
　ファイアウォールはあらかじめ指定された通信のみを許可、もしくは遮断する機能を持っています。ファイアウォールは通常、「パケット」と呼ばれる、通信データを細切れにしたレベルでチェックを行います。そのパケットがきちんと定められた作法で送信・受信されているものに対してのみ通信を許可し、そうでないものは遮断します。ここで一つ問題が生じます。マスメーラ型と呼ばれるワームは自分自身や、感染したPCに保存されているファイルを外部に大量送信するのですが、その送信の際に通常のメールソフトと同じように振る舞います。そうするとパケットレベルでは通常のメールソフトと同じように作法を守っているので、ワームによる仕業とはわかりません。パーソナルファイアウォールはこうしたワームに対応するためにパケットレベルのチェックに加えて、アプリケーションレベルのチェックを行います。これはあらかじめ登録しておいたアプリケーションのみにインターネットにアクセスを許可する、あるいはアクセスを禁止するというものです。従って通常使うメールソフトやブラウザなどを登録しておき、それ以外は遮断する、という設定にしておけば、例え大量送信型のワームが作法を守った通信をしたとしても、パーソナルファイアウォールにより、ネットワークへアクセスできなくなるのです。


　　　　　　　　図2 「複合型の脅威」への対策

　さらに、このパーソナルファイアウォールに「侵入検知」機能が含まれているものをおすすめします。侵入検知とは、さまざまな攻撃のパターンのデータベース（「シグネチャ」といいます）を持っており、これと実際に通過する通信を比較して危険な通信を検出するものです。もちろん脅威は日々進化していますのでこのシグネチャも、ウイルス定義ファイルと同じように常に更新する必要があります。この侵入検知機能とパーソナルファイアウォールが連携しているとなおよいでしょう。侵入検知により攻撃を感知したら自動的にパーソナルファイアウォールが、その攻撃元との通信を遮断することで、自動的にPCがさらに強固に守られることになるからです。
　このように新たな脅威に対しては、「ウイルス対策ソフト」はもちろんですが今後は、「パーソナルファイアウォール」、「侵入検知機能」が必要不可欠になってきます。しかしこれらを個別に購入・運用することは非常に困難です。最近ではこれらを統合した個人向けの「インターネットセキュリティ」、企業向けの「クライアントセキュリティ」と呼ばれる製品があります。統合型の製品のメリットは、

(1)インストールが一度ですむ

(2)定義ファイルやシグネチャの更新が同時に行える

(3)製品間の相性を気にしなくてよい

(4)問題が生じた際のサポートコールも一度ですむ

などがあげられます。

　いくらセキュリティを強化しても、それによって使い勝手が悪くなったり手間が増えて作業効率が落ちてしまっては意味がありません。できる限り最小限の手間で最大限のメリットが得られる製品を検討される方がよいでしょう。

■管理ツールにも注意を

　さて、こうした製品を企業で使う場合には管理面からの検討も必要です。せっかくセキュリティ製品を導入しても、社員が勝手に設定を変更する、製品をアンインストールする、パーソナルファイアウォールのルールを個々人に設定させる、というような状況では意味がありません。望ましいのは管理者がひとつのコンソールからすべてのセキュリティ製品の状況を監視することができ、定義ファイルやシグネチャが更新できることです。さらに社内で統一したファイアウォールのルールを作成して、そのルールを一台一台に配布できることも必要です。製品を選ぶ際には管理ツールの有無やその機能についても注意を払うべきです。セキュリティ対策はさまざまですが、まずはこうしたクライアントセキュリティから始めることをおすすめします。
　この他にも、ウイルス対策や侵入検知が統合され、導入が容易なアプライアンス型のゲートウェイファイアウォール、企業規模でネットワークを監査する侵入検知、個々のマシンのOSパッチの適用やパスワードの強度などの脆弱性を監査するツール、さらにより強力なセキュリティ対策のための情報提供サービスなどがありますので、企業規模、セキュリティの必要度に応じて段階的に検討されるとよいでしょう。


　　　　　図3 統合型セキュリティ製品のメリット