Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

効果的な内部ネットワーク・セキュリティの要素

Marius Nacht
Vice Chairman and Senior Vice President, Check Point Software

内部ネットワーク・セキュリティの必要性

この1年で、内部ネットワーク・セキュリティに対する関心が高まっています。これは決して驚くことではありません。蔓延するワームの流行による被害が一般のニュースのトップ・ニュースとして取り上げられることも珍しくなくなりました。セキュリティ管理者は、ハッカーの攻撃でシステムがダウンしたことを知らせる夜中の電話に怯えています。脆弱性の発見からその搾取までの時間がますます短くなり、企業の多くが脆弱性に対する対策を終了する前に搾取されることも少なくありません。さらに問題を複雑にしているのは、潜行する攻撃の多くはヘッドラインに登場しない攻撃であることです。内部ハッキング、電子的な強奪のほか、特定の組織をターゲットとし、財務利益あるいは報復を目的としたその他の攻撃はより頻繁に発生しています。

ネットワークの脅威は数十年前から存在していますが、現在の環境は昔とは異なります。従来の企業ネットワークの境界線は常に広がりを見せており、事実上境界が明確でなっているケースさえあります。ノート PC 、PDA 、USB メモリ・スティックなどのモバイル・デバイスの利用により、ある境界から別の境界へデータが簡単に転送されます。無線 LAN を使用すれば、ファイアウォールを迂回する外部接続も可能です。Web ポータルやその他の内部アプリケーションへの SSL(Secure Socket Layer)を利用したアクセスにより、暗号化されたトラフィックが境界ファイアウォールと侵入防止システムを迂回する可能性もあります。

強力な境界セキュリティ・インフラを構築することも重要ですが、もはやそれだけでは十分ではありません。進化し続けるネットワークおよびアプリケーション環境では、ネットワーク内部でのワームやウィルスの蔓延は大きな脅威となります。実際、MyDoom や Blaster など巧みに作成された攻撃は、企業ネットワークに入り込むと短時間で増殖し、企業が本来持つ生産性に大きな打撃を与え、莫大な利益の損失を生じさせました。評価額の上下はありますが、1回の攻撃により企業は数百万ドルにも及ぶ損害を被ります。

内部ネットワーク・セキュリティは、上位レイヤに対するセキュリティ防御を提供し、境界セキュリティを補完します。

内部セキュリティには専用のソリューションが必要
内部セキュリティは重要ですが、境界セキュリティとは大きな違いがあるため、ネットワーク管理者に対し、新たな課題をもたらします。課題の多くは、専用のセキュリティ・ソリューションを必要とすることにあります。境界セキュリティ製品を内部セキュリティに利用しても、あまり成功することはありません。

第一に、ほとんどの企業が専用の内部ネットワーク・セキュリティ対策を施していません。 多くのネットワーク環境では、内部ネットワークでのセキュリティに対応するためアンチウィルス製品を利用しています。アンチウィルスもセキュリティの重要な要素のひとつですが、大きな限界があります。アンチウィルスはパターン・ファイル(シグネチャ)に依存する、反応型のソリューションです。アンチウィルスは既知のウィルスやワームによる感染という迷惑行為を防止する、迷惑行為防止技術です。 アンチウィルスのパターン・ファイルは常にアップデートされていますが、パターン・ファイルに含まれていない新たな未知の攻撃をブロックすることはできません。 また、アンチウィルス製品はウィルスの感染を防止できますが、ワームの蔓延を防ぐことはできません。多くの人がワームとウィルスを混同して考えていますが、これらは異なるもので、それぞれ別の防御メカニズムが必要です。アンチウィルス製品はワームの蔓延を防止する能力に乏しいのです。

第二に、ネットワーク内部のセキュリティ・ルールとポリシーを定義することは、境界より難しいのです。これは、アプリケーション環境が異なることに起因します。境界では、しっかり定義された一連のアプリケーションとプロトコルがあります。これらは利用が完全に定義されているので、セキュリティ・ルールとポリシーは、比較的簡単に作成できます。これに対し、ネットワーク内部には境界より多くのアプリケーションとプロトコルが利用されています。 これらの多くは独自に作成されている場合があります。その結果、セキュリティとシステムの管理者は、ネットワーク内部で実行されているアプリケーションをすべて把握できず、通信方法も正確にわからない場合があります。つまり、何らかのものが実行されて、通信が行われていることはわかっても、その詳細がわからないのです。実行されているアプリケーションや相互の通信方法が正確にわからないので、セキュリティ・ルールとポリシーの定義は大きな課題となります。

第三に、ネットワーク内部で使用される標準のプロトコルとアプリケーションは境界と異なります。例えば、ネットワーク内部では境界より多くのデータベースや Microsoft プロトコルが使用されています。この点は重要です。多くの境界環境向けセキュリティ・ソリューションは、内部ネットワーク環境で利用されているプロトコルやアプリケーションのトラフィックを分析しません。この機能は境界には必要ないからです。 Microsoft プロトコルは内部トラフィックの大部分を占めていますが、境界ベースのセキュリティは Microsoft プロトコルをあまり理解できないので効果的なセキュリティ防御を提供することはできません。内部専用のセキュリティ・ソリューションとして、効果を発揮するためには、Microsoft および他の主要な内部ネットワーク・プロトコルを広範かつ詳細に把握している必要があります。

第四に、多くの企業で、内部と境界のネットワークでデフォルトのセキュリティ・ポリシーが異なります。境界では、通常デフォルト・セキュリティ・ポリシーは明示的に許可されないトラフィックはすべてブロックします。ネットワーク内部では正反対のポリシーが必要です。つまり、明示的にブロックする必要があるトラフィック以外は、基本的にすべて許可する必要があります。

第五に、内部ネットワークの多くは境界ネットワークより広い帯域で通信します。内部ネットワーク・セキュリティはより太い帯域に対応しなければなりません。境界セキュリティを内部セキュリティに利用した場合、この帯域要件に対応できないケースがあります。さらに、この帯域幅要件には、表面化されない問題も隠れています。それは、内部ネットワークは、境界ではあまり発生しない急速な感染やブルートフォース攻撃を受けやすいことです。

これまで述べた境界環境と内部環境のセキュリティがそれぞれ必要とする機能の差により、境界セキュリティをネットワーク内部にも導入することがいかに難しく、ときには非効率的であるかがわかります。内部セキュリティには専用のソリューションが必要です。境界を強化する目的で作成された製品は、内部ネットワーク・セキュリティに固有の要件に対応することはできません。

内部セキュリティに不可欠な要素
内部リソースを保護するため、内部セキュリティ・ソリューションは次の要素を網羅していなければなりません。

1. エンドポイント・セキュリティ

  • クライアントの PC にインストールされ、ネットワーク・アクセス・ポリシーとセキュリティ・ポリシーを実施している、パーソナル・アプリケーション・ファイアウォールです。

2. 内部セキュリティ・ゲートウェイ

  • 安全ではない、またはすでに感染したエンドポイント、サーバ、あるいは内部のハッカーにより侵入される可能性のある攻撃から、内部ネットワークを保護する、セキュリティ実施ポイントです。

3. ホスト・ベースのセキュリティ

  • 悪意のあるトラフィックからホスト・サーバまたは PC を保護し、ホストのソフトウェアと設定の状態を監視します。

さらに、セキュリティ・ポリシーと防御が緊密に連携し、また導入の拡張性を保つため、これらの要素は共に確実に機能し統合的な導入と管理が可能でなければなりません。 また、事前の防御の提供も忘れてはなりません。 特に、企業がセキュリティ・パッチによる脆弱性えの対応を行う為のアップデートやパッチをインストールする前に脆弱性の搾取の多くが発生していることや、旧来のシグネチャ・ベースのアプローチが搾取の発生後にしか利用できないことを考えると、既知の搾取と未知の搾取の両方を阻止できる防御メカニズムを持つことが理想的なソリューションと言えます。

1. エンドポイント・セキュリティ
さまざまな種類の脅威およびワームは、正規ユーザが感染した PC を企業ネットワークに接続した際にネットワークに感染することがよくあります。多くの場合、攻撃は実際のダメージを引き起こす前に、エンドポイントにのみ兆候が現れますが、このような兆候に対し、エンドポイントを保護することができるセキュリティ・ゲートウェイは一般的ではありません。

セキュリティ・パッチにより脆弱性に対する対策を確実に行っていなかったり、企業ネットワーク外の無防備な環境で PC を利用することにより、エンドポイントはセキュリティ上のダメージを受ける可能性があります。パッチは問題やリスクが明らかになってからリリースされることが多いので、次々に現れる脆弱性に追いつけないことがよくあります。例えば、アンチウィルス・ソフトウェアのシグネチャのアップデートは、攻撃が発生してからではないと入手できないことが多々あります。定義上このようなソリューションは、反応型であり、未知の脅威を事前に防止または防御することはできません。

エンドポイント・セキュリティは、通常パーソナル・アプリケーション・ファイアウォール(PAF)の形でクライアント・デバイスに常駐し、ユーザまたは管理者が定義したルールに従ってトラフィック・フローを許可または拒否します。PAF は、アプリケーションのローカル・リソースおよびネットワーク・リソースへのアクセス要求を監視することにより、アプリケーション・コントロールを提供します。シグネチャ・ベースではなくルールによる制御であるため、PAFはウィルス、ワーム、スパイウェア、およびマルウェアに対する事前の防御を提供できます。また、PAF により管理者はエンドポイント・セキュリティ・ポリシーを一括で管理することが可能になります。例えば、OS のセキュリティ・パッチやアンチウィルス・ソフトウェアのシグネチャ、アプリケーションなどの最新のアップデートを行っていないエンドポイントは、ネットワークへ接続させないことも可能です。

また、ポリシーを柔軟に設定、管理し、整合性チェックによるポリシー遵守の確認を可能にするため、エンドポイント・セキュリティは「Enterprise-ready」であることが重要です。「Enterprise-ready」とは、管理者が複数エンドポイントのセキュリティ・ポリシーを一括で設定および配備できる仕様のことです。多くのパーソナル・ファイアウォールは個々に管理し、一括管理するようには設計されていません。 このような製品は個人向けには優れていますが、中規模または大規模なネットワーク環境での利用には適切ではありません。管理と配備の拡張性に大きな限界があるからです。

2. 内部セキュリティ・ゲートウェイ
エンドポイント・セキュリティは強力な防御を提供しますが、内部ネットワークに接続するすべてのエンドポイントが保護されるわけではありません。顧客、パートナー、派遣社員などの一時利用者が、エンドポイントがネットワーク接続に必要となるセキュリティ要件を満たしているかの確認なしに、内部ネットワークにアクセスすることがあります。このような外部から持ち込まれるエンドポイントは、境界セキュリティによるチェック機能を一切通過せず、直接内部ネットワークに接続されてしまいます。また、社員が通常社外で使用しているノート PC を、自分の机でで直接社内ネットワークに接続することもあります。もしこの社員のノート PC が外部で何らかのワームに感染していた場合、ノート PC を接続したと同時に企業ネットワーク全体に感染が広がる危険性があります。

また、正規のアクセス権限を持つ内部ユーザによる、悪意を持ったハッキング行為も考慮しなければなりません。悪意または利益目的を持つ内部ユーザが、重大な直接・間接的な被害を与える可能性があります。このようなユーザは内部ネットワークに対する正規のアクセス権を持っているので、感染を広げたり保有データを検索したりするワームをネットワークのセグメント内に解き放つことが可能です。

内部セキュリティ・ゲートウェイ(ISG)は、安全ではないまたは感染したエンドポイント(クライアントまたはサーバ)、および内部ハッカーからの未知の攻撃と既知の攻撃の両方を防御できなければなりません。未知の攻撃は、以下のような様々なセキュリティ方式で認識できます。

  • 標準を遵守していることを検証する。
  • 標準の想定使用方法を検証する。
  • 有害なアプリケーション操作を制御する。
  • ネットワーク・トラフィックに埋め込まれた危険な実行コードを分析してブロックする。

高度な技術を使用して、内部セキュリティ・ゲートウェイはネットワーク層とアプリケーション層の両方に対するプロトコルの異常と悪意のあるコードを検知します。旧来の侵入防御ソリューションとは異なり、内部セキュリティ・ゲートウェイは、内部ネットワークに特化して設計されており、適切な管理、防御、および確実に LAN プロトコルを認識する機能を備えています。内部セキュリティ・ゲートウェイは、脅威を認識すると、事前定義してあるセキュリティ・ポリシーに従ってトラフィックを制限します。

内部セキュリティ・ゲートウェイは、内部ネットワークをセキュリティ・ゾーンにセグメント化することができ、感染が発生した場合、必要に応じて感染したゾーンまたは個々のエンドポイントを隔離し、感染の広がりを防止します。内部セキュリティ・ゲートウェイは、セキュリティ・ゾーンから発着信するすべてのトラフィックが通過するように導入します。ゾーンは物理ゾーンまたは仮想ゾーンのどちらでもかまいません。ゾーンの構成は、企業の部門、建物のフロア、またはすべてのアクセス・ポイントを含む例などが考えられます。

3. ホスト・ベースのセキュリティ
一般的に、内部ネットワークには企業が保有する知的財産などが保存されているビジネスを遂行する上で不可欠なサーバがあり、ハッカーにとっては魅力的な攻撃対象になる可能性があります。したがって、効果的な内部セキュリティ戦略には、ホスト・サーバまたはPCから発着信されるトラフィックを監視する、個々のホストで実行されるホスト・ベースのセキュリティ・ソフトウェアが必要です。このソフトウェアには新しいホスト・ソフトウェアまたは構成の変更を検知し、派生する可能性のあるセキュリティ障害を判断する機能が備わっています。ホスト・ベースのセキュリティ・ソフトウェアは、通常のホスト機能およびトラフィックに関するデータを収集し、部外秘データにアクセスしようとする攻撃または不正コードを検知した場合はサーバをロックします。

内部セキュリティは必須
旧来のネットワーク境界があいまいになり、なくなるにつれ、内部ネットワークに対する脅威が拡大します。このような今日の多くの環境では、境界セキュリティを補完するため、内部セキュリティが必要です。内部セキュリティは境界セキュリティとは全く異なるセキュリティ要件が必要になるため、ネットワーク管理者やベンダはさまざまな課題に取り組まなければなりません。さまざまな課題を解決するためには、内部ネットワークの諸問題を解決し内部セキュリティに特化した専用のソリューションが必要です。

エンドポイント、内部ゲートウェイ、およびホスト・コンピュータに対するセキュリティ防御は、すべて矛盾無く機能しなければなりません。また、導入時、稼動開始後の日々の管理や、将来の拡張性も求められます。

内部セキュリティ・ソリューションを的確かつ確実に導入することで、侵入者や内部ハッカーから企業の重要なリソースを保護することができます。

著:Marius Nacht, Vice Chairman and Senior Vice President of Check Point Software Technologies.