危険なサイトへの接続を制御するWebプロキシとしての機能はもちろん、内部から外部への不正な通信を遮断する出口対策機能も実装され、1台で包括的な多層防御を実現する。
インターネット上の脅威は進化を続けており、高度な技術力を持って開発されたマルウェアなどが瞬時に出回り、刻々と変異バージョンが出現するといった厄介な状況になっている。ウイルスやワームの流行が大問題だった時代の脅威とは「インターネットから組織内に侵入し、嫌がらせ的な動作をする」ものだったが、現在では経済的な利益を目的に、「ブラックマーケットで換金可能な機密情報や個人情報を盗み出すことを狙う」手法が目立つようになってきている。こうした攻撃は、スパムメールなどの手段を通じてユーザーを危険なWebサイトに誘導し、Webコンテンツに紛れ込ませた悪意あるコードをユーザー側に送り込み、実行させることが出発点となる。その後、内部で実行されたマルウェアが情報収集を行い、外部に送信するわけだ。
防御策としては、まずは危険なWebサイトにアクセスしないこと、次いで、悪意あるコードの侵入を防ぐことが考えられる。これらは、従来のゲートウェイ型セキュリティの考え方に基づくもので、現在では「入口対策」と呼ばれる。一方、情報漏えい対策という観点で、内部から外部への通信を監視し、機密情報が含まれていたり通信相手が不適切なサイトだと判断された場合など、必要に応じて通信を遮断することで外部への情報漏えいを防ぐという手段もあり、こちらは「出口対策」と呼ばれる。
現状の脅威の進化の速さや変異の多さ、攻撃側のフットワークの軽さといった諸事情を考えると、入口対策だけでマルウェアの侵入を完全に防ぐことは困難だ。適切な出口対策と組み合わせることで総合的なセキュリティレベルを向上させることが多くの企業ユーザーにとっての重要課題となりつつある。
ソリトンシステムズが販売するCisco IronPort Web Security Appliance(WSA)は、Webアクセスを介した各種の攻撃手法から組織内のユーザーを防御するWebセキュリティアプライアンスだ。ユーザーが利用する端末とインターネットの間に位置するスイッチのミラーポートに接続し、スイッチを通過するパケット全てを監視する機能を有する(図1)。
入口対策機能としては、WSAをWebプロキシとして利用することで、外部から侵入しようとするマルウェアやウイルスの除去、既知の悪意あるWebサイトへのアクセスを遮断するURLフィルターなどの機能が利用可能だ。また、WSAは通過するパケットの内容をチェックする「L4トラフィックモニタ機能」が実装されており、出口対策も可能になっている。入口/出口のいずれかの対策が可能な製品はさまざまあるが、1台で両方の対策が可能な製品はなかなかなく、WSAの大きな特徴の1つといえる(図2)。
L4トラフィックモニタ機能では、ポート番号0〜65535の全てを監視対象にできる。これは、マルウェアに感染した端末が、情報の送信を行っていたとしても、どのポートを使うかを予測できないからだ。モニタリングの結果怪しいトラフィックが発見された場合、WSAから端末に対してコネクションを強制的に切断したり、運用管理担当者に警告を発するなど、さまざまな対応を取ることができる。
組織内の端末に感染したマルウェアは、外部からの指示によってDDoS攻撃に荷担するなどの悪意ある動作を行ったり、組織内で収集した情報を送信したりする。こうした動作のために外部に置かれたサーバはC&C(Command and Control)サーバと呼ばれる。悪意ある攻撃者が設置したC&Cサーバとの通信は、基本的には全てが不要かつ危険なものと判断して遮断するのが基本となるが、実行するのは容易ではない。既知のC&Cサーバに関しては、URLやIPアドレスの情報に基づいて通信を遮断することが可能だが、攻撃者側も次々と新しいサイトを用意して移動するなど、防御の隙を突いてくる。単純に「ブラックリストを用意しておけばよい」というわけにはいかないのである。次々と新しいC&Cサーバが立ち上がり、稼働し始める状況に対処するには、防御側もリアルタイムで情報収集をし、動的な対処を施す必要がある。そのために用意されたのが、世界最大級の脅威情報サイト「Cisco SIO(Security Intelligence Operations)」だ(図3)。
Cisco SIOは全世界に展開された100万台以上の情報収集デバイス(センサー)からの情報に基づいて最新の脅威情報をまとめ、WSAなどのセキュリティ製品にリアルタイムで提供するクラウドベースのセキュリティサービスである。こうした情報収集はセキュリティ専業ベンダーが行っている例がよく知られているが、Ciscoの取り組みはそれに勝るとも劣らない規模であり、世界最大級の解析力と情報提供体制を誇っている。WSAは、Cisco SIOが提供する情報に基づくWebサイトの安全性評価(レピュテーション)を踏まえてさまざまな制御を行うことができる。評価は約200段階のスコアによって下され、単純な白黒ではなく、グレーの度合いによって対応を変えられる柔軟なものだ。これを入口対策で利用すればマルウェアの感染リスクが高いと考えられるサイトへのアクセスを未然に防止することができるし、出口対策では情報送信先が怪しいサイトだった場合に通信を遮断することができる。
最近のWebサイトではコンテンツが動的に生成されることも珍しくなく、さまざまなサイトから送信されたオブジェクトを組み合わせて1つのWebページを構成することも一般的になってきているため、ユーザーがアクセス先として指定したURLだけをチェックするだけでは不十分だ。ページ内のオブジェクト全てを個別にチェックする必要があり、オブジェクトそのもののチェックも欠かせない。WSAではDynamic Content Analysisエンジンによってサイトのコンテンツ解析をすることができ、さらにIronPort WUC(Web Usage Controls)フィルタによってWebサイトのカテゴリ解析をすることで、当該サイトへのアクセス制御をきめ細かく柔軟に行うことができる。
セキュリティアプライアンスには、高度な防御機能はもちろんのこと、運用管理の容易さや適切な情報可視化機能も求められる。Webプロキシ機能はスイッチのポートフォワーディング機能と連携して透過型で利用することが可能であり、トラフィックモニタ機能はスイッチのミラーポートへ接続するだけで利用することができる。端末のIPアドレスを振り直したり、ネットワークのトポロジーを変更するなどのインパクトを与えることなく、迅速に導入できる。WSA自体の設定作業も容易で、すぐに運用開始できる点が大きなアドバンテージとなっている。アクセスサイトの危険度の分布、URLカテゴリ分布、利用Webアプリ種別のような情報もリポート化される。
さらに、現状把握に不可欠となる高度な可視化機能を実装しているため、導入前にはよくつかめなかった実際の通信状況を明確にできる点も特徴だ。Webプロキシ機能では、「アクセスサイトの危険度の分布」「URLカテゴリ分布」「利用Webアプリ種別」のような情報をグラフ化し、トラフィックモニタ機能では、「どの端末でマルウェアが発見されたか」「社内からどのサイトにアクセスしているか」といった情報が分かりやすいグラフで表示される(図4)。
ソリトンシステムズでは1カ月間の評価用マシン無料貸し出しを行っているが、まさに百聞は一見に如かずで、評価をした企業のほぼ全てで何らかの怪しい通信が検出されているという。入口対策だけでは、対策をすり抜けて内部への侵入に成功するマルウェアが1つでもあれば具体的な被害につながってしまうリスクが極めて高いが、出口対策を併用できるWSAの場合は、仮にマルウェアが内部に入り込んでいたとしても、そのマルウェアが通信を行った際にこれを検知・遮断できるため、具体的な被害が発生する前に対処できる。
インターネットに出て行く通信をチェックする出口対策ソリューションでないとマルウェアの通信を捕捉することはできないため、内部への侵入に成功したマルウェアを発見することもできない。他のセキュリティソリューションで防御をしていたはずのセキュリティ意識の高い企業・組織であっても、WSAを入れてみれば何らかの怪しい通信が見つかるという事実は、従来の入口対策だけに頼ることのリスクを示しているともいえる。
1台のアプライアンスで入口/出口両方の対策が可能なWSAでは、運用管理の負担を軽減しつつ、包括的な保護が実現できる。しかも、Cisco SIOのリアルタイム情報が利用できるため、導入、運用が簡単だからといって機能、性能が絞られているということではなく、むしろ最高レベルの高度な防御機能が実装されているといって過言ではない。
出口対策の重要性は既に繰り返し語られているが、実際には入口対策と独立した出口対策製品を導入するとコストも運用管理負担もかさんでしまうという問題があった。WSAは、セキュリティのためにシステム構成や運用管理を複雑化してしまうことはなく、効果的な防御が可能になる。まずは実態を正確に把握するため、WSAの評価をしてみるのがよいのではないだろうか。
ひとつのアプライアンスで、入口対策と出口対策を簡単に実現。さらに、トラフィックの可視化により、マルウェア感染端末の特定も容易に可能にする。世界最大級のセキュリティ情報サービスと連携した、怪しい通信の自動ブロック機能は注目の技術だ。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
図1 WSAの配置
図2 Webプロキシ機能とトラフィックモニタリング機能、2つの異なる機能を同一筐体で実現
図3 Cisco SIOの仕組み