求められる多段階防御

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 セキュリティ・コンサルティング本部 本部長 卯城大士氏

OSや各種ビジネスアプリケーション、サーバ、ブラウザ……現在のセキュリティを取り巻く環境は、ひと昔前の状況とは異なり、ソフトウェアの脆弱性が狙われるケースが多くなっている。卯城氏は、「もはやアクセス制御レベルのファイアウォールを設置するだけではセキュリティ対策としては不十分であるケースがほとんど」と指摘しており、アンチウイルス、IPS(Intrusion Prevention System:侵入防止システム)、URLフィルタリング、アンチスパムといった機能による複合的な対策、つまり、「様々なレイヤーで防げる仕組み」が必要とされているという。

管理性に難アリの個別対策

多くの企業における情報システムは、上述のような機能が時系列で追加され、いわば"積み上げ方式"でセキュリティ対策が講じられてきた経緯がある。

IT部門の担当者であれば身に覚えがあるかと思われるが、このようにセキュリティ対策が個々の機能で実装されていると、IDやログ管理、社内のセキュリティポリシーに準じた設定の配布といった作業を別々に行わなければならず、「効率的な運用管理」とは程遠い状況が生まれる。その結果、業務内容に比べて管理が複雑化し、IT部門の負荷が高すぎるといった問題を企業が抱えることになる。

卯城氏は「ここまでのセキュリティ拡張としてはやむを得ない」と前置きしつつ、「必要となる複数のセキュリティ機能を一元管理して簡素化することは、運用の負荷を軽減するとともに、セキュリティの正確性と信頼性を向上させる」と統合脅威管理のメリットを強調する。

境界防御に必要な機能とは?

卯城氏は、仮にセキュリティ対策を個別のソリューションで実現し、すでに運用環境が構築されていたとしても、「本当に必要なもの」を今一度洗い出してみることと、導入効果を再考することで、将来にわたって後悔しないUTMの選択が可能であると語る。

ファイアウォール

UTMが置かれる場所を考慮すると、やはり「基本機能ともいえるファイアウォールの充実は必須」(卯城氏)とのことだが、ネットワークレベルの脅威、およびどれだけのアプリケーションを深く理解しているかによって、外部からの攻撃防御と内部からのネットワーク利用の安全性は大きく左右される。卯城氏は「ゲートウェイセキュリティとしてここに信頼性が持てなければ、補完機能が機能的、または性能的に導入環境に対して見合わなくなった時、投資の損失を招きかねない」という注意点を挙げている。

IPS

ビジネスアプリケーションやブラウザの脆弱性を悪用する攻撃やP2Pなど、ポート80番を利用するアプリケーションの制御で重要な役割を果たすのがIPSである。卯城氏は「UTMを導入する際は、必ずIPSの性能をしっかりと確認しなければならない」と語る。同氏によると、セキュリティ防御を最も広くカバーするUTMにおける最も重要な要素であり、メーカーや製品ごとの差が出る部分でもあるという(図1)。

図1 IPSの性能判断の参考となるマイクロソフト製品への脆弱性対応状況(2008年および2009年6月までにリリースされたマイクロソフト製品への防御。資料提供:チェック・ポイント・ソフトウェア・テクノロジーズ)

UTMの"進化"を見極める

UTMは、ファイアウォールのボックス製品の登場から数えると、すでに10年以上の年月が経過している製品ジャンルということになるが、これだけの年月があれば、さすがに製品は個別の進化を遂げている。

高スループットは本当に必要か?

数年前までは、ハードウェア(ASIC)で実現する機能、ソフトウェアで実現する機能という区分けで、ASICベースが高速であるとの認識があったが、現在では「汎用CPUの性能向上により、その差をあえて意識する必要はなくなった。また、マルチコアの活用などにより高速化が実現できている。

さらに、常に新しい検査条件を必要とする現状のセキュリティ環境では、拡張性が投資を保護するカギでもある」(卯城氏)という。同氏はまた、「ファイアウォールのスループットの性能値だけを見ると、現状の製品は企業が使用している帯域を十分にカバーしている」という状況を踏まえ、セキュリティ製品に対する性能偏重の考え方に疑問を呈している。

これからのUTMに要注目

「UTMは中小規模ネットワーク向けの製品」というイメージを卯城氏は否定しない。そして、現在のUTMはより大規模な環境を想定した製品が充実しつつあるのも事実だ。しかし同氏は、「単にビジネス上の都合で、大規模環境の要件を満たさずにこの領域に参入を図ろうとしているベンダーもあるため、ユーザーとしてはその見極めが重要」だという。

さらに、「IPSやURLフィルタリングなど、UTM製品における"付加価値"の部分では、実は進化が止まったまま提供され続けている製品もある」とのことだ。このような実情を踏まえ、肝心の「機能」が進化しているかどうかの見極めが大事であると卯城氏は説明する。

また同社は、「Active Directoryのユーザー情報との連携によるアクセスコントロールなどのネットワーク技術の統合や、ポート80番、Webアプリケーションの詳細なセキュリティ」という今後の製品開発の方向性を示しているが、この点もUTM製品をチェックする上でのポイントになってくるそうだ。

チェック・ポイント・ソフトウェア・テクノロジーズの「UTM-1 130」

『出典:システム開発ジャーナルVol.12(2009年12月発刊)』 本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。