webセキュリティ特集

階層化された防御機構を持つマルウェア対策

　これまでのアンチウイルス手法の大半は、クライアントPCからの接続要求に返されるコンテンツに対してセキュリティを掛ける仕組みだ。しかし、アイアンポートが提案するマルウェア対策は、クライアントPCがWebサイトへ向けて接続要求を行った時点から始まっていることに注目してほしい。

　この接続要求に対するセキュリティには「SenderBase」と「Web Reputation Filter」のテクノロジーが使われている。

　SenderBaseはアイアンポートが運営する監視ネットワークで、メールとWebのトラフィックを一元的にモニタリングしている。WebサイトのURLは50以上のパラメータを用いて分析され、格付け情報がスコアとして生成される。スコアの悪いURLはマルウェア感染のリスクが高いことを意味する。Web Reputation FilterはSenderBaseが提供するスコアを利用したマルウェア対策で、接続先URLのスコアに応じて、接続を遮断したり、オブジェクトの詳細な解析をおこなうといった処理が可能となる。

IronPort Sシリーズの防御機構イメージ

出現する脅威に対し、リアルタイムな対応が必要

　Web Reputation Filterの機能はURLフィルタと混同されることがあるが、両者ではリアルタイム性が大きく異なる。SenderBaseでのスコア生成のプロセスは完全に自動化されており、Web Reputation Filterは高いリアルタイム性を提供している。

　マリシャスコードを含むサイトは短命で、最も短いものだと1時間で閉鎖されるケースもある。そのため、一般的なURLフィルタの更新のタイミングでは対応が間に合わず感染を回避できない事もある。短命な悪質サイトが増加していく上で、今後ますますリアルタイム性を持つセキュリティが重要となる。

　では、今後のセキュリティにURLフィルタは必要ないのだろうか？　この問いかけに対し「URLフィルタを否定するわけではありません。Web Reputation FilterではWebサイトをカテゴリに分けてコントロールする機能は持っていないのです。要は相互に補完しあうことが重要なポイントとなります」と角氏は解説する。

メールセキュリティで活用されている電子メール監視サービス（SenderBase)の膨大な情報をWebセキュリティでも利用

IronPort Web Reputation FilterによるWebアクセス制御はユーザー自身でコントロールが可能

複数の解析エンジンを搭載

　IronPort Sシリーズには、ウイルスやワームなどに強いマカフィー社と、スパイウェアやマルウェアを得意とするウェブルート社のエンジンが搭載されている。

　「この両社のエンジンは並列して動作させますが、スキャン対象となるオブジェクトのベクタリングなど重複する処理はDVS Engineによって一元的に実施されます。これによりSシリーズでは、セキュリティツールの多重化で問題となっていたスキャン時の遅延に対する課題をクリアしています。スキャンに要する時間も短くなり、通信品質も向上します」と角氏。今後はさらにエンジンを増やしてゆく予定もあるとのこと。並列化による高効率性は、他社との大きな差別化ポイントになるだろう。

複数の解析エンジンの特長を活かして並列で動作させる。これにより、効率の良いスキャニングが可能となる

すべてのポートを監視するL4TM（Layer 4 Traffic Monitor）

　IronPort Sシリーズは、クライアントPCのマルウェア感染を防止するだけでなく、万一感染してしまった場合に働く保護機能も提供している。「マルウェアはPCに感染させしたとしても攻撃者がそれをコントロールしなければなりません。要するにマルウェアとセンターの通信を遮断してしまえば問題は起きないのです」と角氏は語る。これにはL4TM（Layer 4 Traffic Monitor）が利用され、マルウェアが攻撃者のセンターへ通信を試みる状態を監視、それをリアルタイムに検知しブロックすることが可能となっている。

L4TMはスパイウェアやマルウェアが感染先のPCから入手した情報をセンターに持ち帰ることをリアルタイムに防御する機能だ