境界ファイアウォールとアンチウィルス・ソフトウェアによるセキュリティ対策を導入していても、ワームとウィルスは驚異的な確率で内部ネットワークに入り込み、多大なダメージを与えます。急速に蔓延し、数時間でネットワーク全体をダウンさせることもあります。 ユーザは自分の仕事ができなくなり、ヘルプ・デスクの電話は鳴りっぱなしになります。 ネットワーク管理者は原因究明と、対策に追われ、システムを完全に復旧し正常な状態に回復するために数週間を要することもあります。 ネットワーク内部に一旦入り込んだワームは、永久に居座り続けます。
ワームはどこから侵入するか
ある種の境界防御では、脅威を認識できないことがあります。 ワームを含むさまざまな攻撃は、ネットワーク通信のアプリケーション層を通して送り込まれます。
SoBig 、Blaster 、Slammer などはその典型例です。SANS Institute の
2004年度の重要なインターネット・セキュリティ脆弱性の上位20 のうち、半分はアプリケーション層の脆弱性が占めています。しかし、一般的に利用されている境界ファイアウォールでは、ネットワーク層の攻撃しか検知することができません。
ハッカーのほうが速い
新種のワームやウィルスはインターネットのあらゆる脆弱なホストに数分間で増殖する力を持っています。毎週、アプリケーションやオペレーティング・システムの新たな脆弱性が発見されています。管理者は適切なパッチを選択し、検証後に内部コンピュータやリモート・コンピュータに導入しますが、ハッカーは、その一連の作業を行っている間に脆弱性を搾取することが可能です。このようなことから、ネットワーク上のいくつかの
PC およびホストは常に脆弱な状態になっていることをよく認識しなければなりません。 またパッチやアンチウィルスのアップデートによる対応は、事前の防御の役には立ちません。
強力なワームに対し、境界でのセキュリティ防御の強化に成功した企業でも、内部からの感染には無防備なことがあります。 多くの企業で、社員が外部からワームを持ち込む可能性があります。外部でワームに感染している自分のノート PC を社内ネットワークに接続することにより、ネットワーク上の他のデバイスに感染が広がるのです。 Blaster ワームに感染したある企業を例にとると、生産性の損失、システムのダウンタイム、システムの復旧、攻撃に対するその後の対応策などにより、内部で発生したセキュリティ上の問題により、何十億ドルもの損失が発生してしまいました。
内部感染経路は急速に増殖する
在宅勤務者やモバイル・ユーザが、ネットワーク管理者の管理下にない個人の PC やその他デバイス等、本来内部ネットワークでは利用されない機器類を内部ネットワークに直接接続する機会が増え、旧来の境界環境向けのセキュリティ防御では、このような要件に対応しきれないことが多くなりました。
さらに、契約業者、ビジネス・パートナー、顧客などのネットワークの一時利用者は、定期的に企業の Web ベースのアプリケーションやポータルへのリモート・アクセス権を付与されることがあります。
IT およびセキュリティの管理者はこれら社員以外の外部ユーザが利用するエンドポイントのセキュリティや設定をコントロールすることはできないので、内部ネットワーク環境におけるエンドポイント・セキュリティ・ポリシー遵守の確実な実施ができないことが大きな問題としてクローズアップされています。
部内者による攻撃
企業には、LAN に接続するすべてのエンドポイントのセキュリティを確実に実施することができる、効果的なソリューションが必要です。また、社内から発生したからワームの内部拡散と感染拡大を食い止めるソリューションも必要です。さらに、注目すべき内部セキュリティの要素がもうひとつあります。部内者によるアプリケーションやデータベースへのアクセスを制御できなければ、完全な内部セキュリティ・ソリューションとは言えません。どの企業でもファイル・キャビネットの錠はありますが、社員の多くは仕事で必要な以上の情報源へアクセスすることができるネットワークのアクセス権を持っています。また、不純な動機を持つ社員または契約業者が新たなハッキング・ツールを入手すれば、LAN
上にあるビジネス・アプリケーションまたは重要なデータに簡単に侵入することが可能です。このようにして、攻撃者はアプリケーション層のプロトコルやアプリケーションに潜むさまざまな脆弱性、および認証管理の弱点を搾取し、さらに問題を深刻化させます。