【第6回】最新の脅威からネットワークを守るUTM（Unified Threat Management）の価値（後編）

現在、ウイルス、ワーム、不正アクセスなどにより企業や個人を脅かすセキュリティの脅威はますます増え続けている。特にOSや脆弱性を狙った攻撃は増加、手法が高度化しており、しかも、脆弱性を狙った脅威が登場するまでの時間も短縮している。さらなる巧妙化、悪質化を続ける脅威からネットワーク全体をより効率的かつ包括的に保護するためには、UTM（Unified Threat Management：統合脅威管理）が求められている。そしてそのUTMの中でもゲートウェイ対策として今注目されているのがファイアウォールベースのUTMアプライアンスソリューションだ。

高度化する脅威に対処すべく注目されているアプリケーションプロキシ方式

　UTM（Unified Threat Management：統合脅威管理）製品の中でも、特に注目度の高いのは、アプリケーションプロキシ方式を採用したファイアウォールベースのUTMアプライアンス製品だ。アプリケーションプロキシ方式では、日々巧妙化・複雑化している攻撃に対し、アプリケーション層において、通信の内容を徹底的にチェックし、悪意のある内容が含まれている場合、確実にブロックするため、より高度なセキュリティを確保することが可能だ。同製品がもたらす効果とはどのようなものなのか。まずはその機能について見ていくことにしよう。

　ここで取り上げる「Symantec Gateway Security 5600 Series（以下、SGS5600）」は、アプリケーションプロキシ方式のファイアウォールに加えて、ウイルス対策とIDS（不正侵入検知システム）やIPS（不正侵入防止システム）、そしてVPNなどの機能が加わったアプリケーションプロキシ型のファイアウォールをベースとしたUTMアプライアンスだ。

　SGS5600のベースとなるファイアウォール技術では従来のファイアウォールの弱点を補う「アプリケーションプロキシ」という方式を採用している。アプリケーションプロキシ方式は簡単に説明すると、社内ネットワークと外部ネットワークの間でアクセス制御を行うプロキシの仕組みを利用し、アプリケーション層においてパケットの内容をチェックすることによって、送受信されるデータの安全性を確保するものだ。従来のようなヘッダー情報だけではすり抜けてしまう攻撃、アプリケーションの脆弱性を突くような攻撃などをブロックすることが可能だ。また、パケットの構造や通信の内容がRFCに準拠しているかどうかをチェックするため、未知の脅威にも対処することができる。

　わかりやすい例としてヘッダー情報を荷札にたとえるならば、従来の方式が荷札だけをチェックするのに対して、アプリケーションプロキシ方式は荷物の内部(もしくは内容)までをしっかりとチェックする方式となる。X線や金属探知器などを用いて検知する空港のゲートのように高い検知率を誇るシステムなのだ。アプリケーション層におけるプロトコルは数多いが、チェック可能なトラフィックとしてHTTP、FTP、SMTP、POP3以外にも、PingやTelnet、CIFS、DNSなど非常に幅広く対応しているため、汎用性も高い。

　アプリケーションプロキシ方式にてセキュリティ強化を施すことで、処理速度の低下は懸念される。そこで、SGS5600では、アプリケーションプロキシ方式とステートフルインスペクション方式の両方を採用したハイブリッド型を採用している。

　従来のステートフルインスペクション方式とアプリケーションプロキシ方式の両方のメリットを活かし、部署ごと、あるいは目的別に柔軟にルール設定を行うことにより、両方式を使い分け、高度なセキュリティ確保とパフォーマンスの追及を同時に実現することが可能だ。また、従来のファイアウォール製品より高性能なプロセッサを装備することによって、速度低下する可能性を解消している。

複数セキュリティ機能の統合が運用負荷や管理コストを低減

　SGS5600に搭載されているそのほかの機能を見ていくことにしよう。ファイアウォールに加え、搭載されている重要なセキュリティ機能が、ウイルス対策とIDS/IPSの機能である。従来では、これらの対策は必要に応じて導入されてきた経緯があるため、別々のベンダーの製品がそれぞれ個別のコンソールを使って監視・運用されているケースがほとんどであった。

　当然、このようなセキュリティ対策機能を個別に導入する場合、運用管理の負荷や管理コストが高くなる。場合によっては互いの機能が影響を及ぼして、機能的な問題が生じたり、運用面でのボトルネックになったりする可能性もある。だが、一つのアプライアンスに機能が統合されていれば、上に記した各種の課題は解決される。

　SGS5600のウイルス対策には、従来より定評がある信頼のアンチウイルス技術を実装、ヒューリスティックスキャンにより、新種や亜種などの未知のウイルスも検出する。

　一方、IDS/IPSの機能に関しては、個々の攻撃パターンに依存せず、24時間365日世界中から収集している脆弱性情報をベースにしたシグニチャを使用している。

　脆弱性を鍵穴に例えると、従来のシグニチャは、攻撃（鍵）の側に着目し、それぞれの鍵の侵入を防ぐためのシグニチャを作成していた。これに対してSGS5600のIDS/IPS機能では、脆弱性（鍵穴）のに着目。鍵穴をふさぐためのシグニチャを作成。作成したシグニチャは、この鍵穴、つまり脆弱性の特性に合致する攻撃であればワームであろうと、ハッカーであろうとストップできる。これにより、脆弱性を攻撃する未知のワームへプロアクティブな防御が可能となる。

　アンチウイルスのウイルス定義ファイルやスキャンエンジン、IDS/IPSのシグニチャや検知エンジンなどはLiveUpdate機能によりアップデートすることで、複雑化する悪意ある攻撃に対してタイムリーに対処することができる。

　SGS5600には、IPSec VPNとSSL VPN機能も備わっており、管理・運用コストなどのニーズに応じて使い分けながら、ネットワークの安全な拡張と外部クライアントからの容易なアクセスを実現できる。SSL-VPNの機能でクライアントレスで社内ネットワークにセキュアアクセスできるほか、ファイアウォールやアンチウイルスなどの機能と連携することができ、高度なセキュリティを確保できる。DES/3DESに加えて最新の暗号化方式であるAESにも対応したハードウェアアクセラレーターを装備している。

　そのほか、URLベース/キーワードベースのブロック機能を持ったコンテンツフィルタリング機能を搭載。これら全ての機能の管理やログ監視はコンソールから一元的に行うことができ、迅速で的確な対処が実現できる。さらに、ハイアベイラビリティを実現するためのクラスタリング構成や、冗長化されたハードディスクと電源（※）も装備されている。

　シマンテックによれば、脅威やリスクから効率的に、そしてよりプロアクティブにネットワークを守るために、このような機能を搭載したファイアウォールベースのUTMアプライアンスのニーズが高まっているという。今後、企業ネットワークをより複雑化するさまざまな脅威から守るためにも、また運用・管理に要するコストを削減するためにも、過去の単機能型のゲートウェイセキュリティ製品からUTM製品へのリプレースは有効策になると見られている。

前編へ