情報の「出入口」に有効な対策を行えるCisco IronPort製品群
これらの対策を行うにあたり、有効な機能を持つのがソリトンシステムズが販売している「Cisco IronPortシリーズ」のセキュリティアプライアンス製品群だ。IronPortには、主にメールセキュリティに対応する製品(IronPort ESA)と、ウェブに関する脅威に対応する製品(IronPort WSA)などがある。
進化のスピードが速いネットワーク上の脅威に適切に対処するためには、常に最新の情報にキャッチアップすることが重要だ。IronPort製品には「Cisco SIO(Security Intelligence Operations)」と呼ばれるネットワークセキュリティの専門組織と情報を連携し、Cisco SIOから提供される脅威情報をリアルタイムに防御に反映させる機能が搭載されている。このCisco SIOでは、全世界に約100万台以上存在するデバイスから脅威に関する情報を収集。一日あたり1テラバイトになるという情報を分析してルール化し、脅威情報に反映させるという。これによりゼロデイ脆弱性が持つ危険性の最小化や、社内から外部サイトに対して行われる通信の安全性確認を、より精密に行えるようになるという。
「Cisco SIO」
アプライアンスとクラウドを「融合させる」
メールセキュリティアプライアンスである「IronPort ESA」では、送信者ドメインの認証、IPレピュテーションを用いたブロック(送信元の信頼性確認)、コンテンツベースのスパム/ウイルス対策といった従来から用いられていた一般的な防御手法に加え、ゼロデイ攻撃対策として「アウトブレイクフィルタ」と呼ばれるフィルタリング機能が利用できる。
アウトブレイクフィルタは、怪しい添付ファイルや外部サイトへのURLリンクなどが含まれる、セキュリティ的に「グレー」なメールを受信した場合に、それを検知する機能。アウトブレイクフィルタで検知されたメールに含まれるファイルやURLを開いた場合には、「Cisco ScanSafe」と呼ばれるウェブセキュリティSaaSを経由してアクセスを行い、アクセス先が悪意のあるサイトかどうかを判別する。もし、悪意のあるサイトだと判明した場合は、そのアクセスを完全に遮断してしまうことができる。
なお、こうした悪意の判別には、先述したCisco SIOで作成された脅威情報が活用される。社外に持ち出して利用している業務用のPCが、POPなどでメールを受信しているような場合でも、このアウトブレイクフィルタとScanSafeの組み合わせにより、マルウェアのダウンロードを防ぐことができる。
「アウトブレイクフィルタ」
一方、Webセキュリティアプライアンスである「IronPort WSA」では、WebレピュテーションやURLフィルタといった、不正サイトへの接続防御機能、マルウェア防御機能といった既知の脅威に対する対策が可能だ。WSAに搭載されているWebレピュテーション機能でも、Cisco SIOで解析された脅威情報が活用され、特定のウェブサイトの信頼度について200以上のパラメータから判断した200段階のスコア(-10.0 ~ 10.0)が提供されているという。つまり、「白か黒か」といった単純な振り分けではなく、各企業のニーズに応じた柔軟なアクセス制御が可能になるというわけだ。
