編集部からのお知らせ
新着PDF:「Emotetの脅威」
新着記事まとめ「6G始動?」

Web 2.0時代のセキュリティに求められるもの--セキュアコンピューティング - (page 3)

渡邉利和

2008-04-28 20:52

Web 2.0のセキュリティリスクに対応するSecure Computingの技術

Murphy氏

 Googleが2007年5月に行なった調査「The Ghost in the Browser - Analysis of Web Based Malware」では、調査対象となった450万のWebサイトのうちの45万、比率にして10%がMalicios(悪意がある)と分類された。ユーザーの承認無しに何らかのソフトウェアが実行/インストールされるサイトはすべてMaliciosと判定された結果だが、これらのソフトウェアがユーザーに害を及ぼすかどうかは別の話だ。しかし、「害を及ぼす可能性がある」ことは否定できない。

 Web 1.0時代のセキュリティは「ネガティブ・セキュリティ・モデル」であり、悪いものが入ってきたことを発見し、対処する、という考え方に基づく。しかし、Web 2.0時代の脅威は膨大な量であり、こうした手法では対処しきれないため、新しい技術が必要とされている。

 さらに、Web 1.0時代の脅威ではScript Kiddy(スクリプトキディ)による愉快犯的なものが多かったが、現在の脅威は、特定のユーザーに狙いをすました専門化された攻撃によって経済的な利益を狙う、というものに変わってきている。こうした攻撃は影響を受けるユーザー数が少ないことから、従来のセキュリティ・ソフトウェア・ベンダーからは「感染や蔓延に繋がらない取るに足らない攻撃」だと判断されてしまい、シグニチャ配布が行なわれないことが起こりうる。

 何か事が起こってから対処するというネガティブ・セキュリティ・モデルは、現在の脅威に対しては有効に機能しないのだ。そもそも、ネガティブ・セキュリティ・モデルに基づき、「インターネット上に存在するすべての脅威を見つけ出して対処法を準備する」などということはそもそも不可能だ。完璧ということはあり得ない。

 一方、ポジティブ・セキュリティ・モデルでは「何が起こってはいけないか」を定義し、この定義に基づいて防御を行なう。このために、TrustedSourceでのGlobal Reputation(グローバルレピュテーション)による判断と、Local Behavior(ローカル・ビヘイビア)解析とが利用されている。

Global Reputationの仕組み

Murphy氏

 Secure Computingのレピュテーション技術は、個人の信用情報と同様に、過去の実績に基づいて信頼度を判断する。具体的には、IPアドレスに基づき、そのIPアドレスで過去にどのような振る舞いが観測されたかを情報としてデータベースに蓄積していく。

 たとえば、通常のビジネスアワー以外の時間に大量のメール発信を行なったとか、マルウェアの送信を行なったことがあるとか、ごく短時間だけアクティブになったあとすぐに消えた、といった状況があれば、これは疑わしいと判断できる。TrustedSourceでは、こうした判断項目を100種類以上設定しており、これらを総合して信頼度を決定する。

 レピュテーションのコンセプトは、「インターネット上で誰とビジネスをしているのか」を判断する手がかりをユーザーに与えることだ。

 当社のSidewinderやIronMail(現Secure Mail)、Webwasher(現Secure Web)といった製品はすべてTrustedSourceを利用し、TrustedSourceの情報蓄積に貢献する。全製品がTrustedSourceをサポートする点が、Secure Computingのソリューションが総合的なものであることの裏付けとなっている。なお、ユーザーが情報検索するためのWebサイトTrustedSourceも提供している。

 ここでIPアドレスを入力すると、TrustedSourceがそのIPアドレスに関して知っている情報を閲覧することができ、その信頼度を知ることもできる。どうも怪しげなメールが着た、という場合にその情報を検索することで、どう対処すれば良いかの判断ができるだろう。

TrustedSourceでIPアドレスを検索した様子 TrustedSourceでIPアドレスを検索した様子

 ユーザーがインターネット上でビジネスを行なう場合、相手が誰なのか分からないことが多い。その相手の中には、善良な人物も邪悪な人物も、両方が存在していることは間違いない。その区別を付け、善良な相手と付き合っていけるような手がかりを提供するのがTrustedSourceだ。

 Web 2.0時代において悪意あるWebサイトを避けるための手法として、従来の「URLフィルタリング」は効果が期待できない。その上にレピュテーションというレイヤが付加されない限り、セキュリティを維持することはできないとSecure Computingは考えている。

 現在では、信頼できる企業が運営しているWebサイトでも、そこにあるコンテンツすべてが信頼できるとは限らないのが実情だ。商用Webサイトなどでは、広告スペースが他社に転売されていることが珍しくないが、転売されたスペースを実際に利用しているのは誰なのか、ユーザーからは分からない。バナー広告に悪意あるコードが埋め込まれているようなケースを想定すれば、著名なショッピングサイトだから安全、という判断はできなくなっている。

 つまり、あるURLが指し示すWebサイトが全体としては信頼できても、その中の一部のコンテンツの提供元に信頼度が低いところが混じっている可能性がある、ということになる。こうした状況で防御を考える場合、URLフィルタリングでは対応できないだろう。単にURLに基づいて信頼度を判断するのでは不足で、コンテンツごとにその送信元を識別し、それぞれについて個別に判断を下す必要がある。Secure ComputingのIPアドレスに基づくレピュテーション技術は、Webページ内の個々のコンテンツについて、その送信元のIPアドレスから判断を下すことが可能だ。

Local Behavior解析とは

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]