メッセージング環境のセキュリティを改善することは、多くの組織やセキュリティ管理者にとって、かねてより継続的な課題となっています。メッセージング環境を包括的に保護するためには、メッセージング・セキュリティ・ソリューションが3種類の脅威、すなわち最新のスパムおよびフィッシング、ウイルスなどのマルウェア、そしてメッセージング・インフラストラクチャそのものを狙った攻撃に対応していなければなりません。しかし残念ながら、多くのメッセージング・ソリューションはこのうちの1つか2つにしか対応しておらず、3つすべてに対応しているソリューションはほとんど存在していないのが現状です。
今日、メッセージング環境を保護することの重要性はかつてないほど高まっています。Osterman Research が2007年12月に発表した調査結果によると、インターネット上の全メールに占めるスパム・メールの割合は、過去最高水準となる80パーセント以上に達しています。また、全く新しい個人情報窃盗の手段として、フィッシングという手法も登場しました。加えて、2007年にはウイルスやワームなどのマルウェアも増加傾向を見せており、Osterman Research の調査では、電子メール経由で侵入したマルウェアによってネットワークに悪影響が生じたと回答した企業は全体の84パーセントにも上っています。
このような数字に表れる脅威のほか、さらなる注意が必要な問題も存在します。ウイルスの感染拡大の抑止がその1つです。いったんウイルスにネットワークの境界を突破されると、感染の拡大を封じ込めることは困難になってしまいます。また、これら脅威が出現した場合に、どれだけ早く防御態勢を整えられるかも重要となります。スパム・メールやフィッシング、電子メール経由で広まるマルウェアは、短期間に大量に出回るのが一般的であるからです。多くの企業は、あの手この手で拡散や侵入を試みるスパマーやウイルス作者に素早く適応できるまでには至っていないのです。
6層の防御戦略
統合脅威管理(UTM)ソリューションが登場する以前のセキュリティ・ソリューションは、1つまたは2つの限られた問題に焦点を絞ったものがほとんどでした。しかしながら、脅威が急増するのに伴い、この集中型の戦略ではネットワーク全体を保護できないケースが増えてきています。そこで現在では、多層的なアプローチを採用した境界
UTM アプライアンスを導入することが、メッセージング・セキュリティを強化する最良の方法であると考えられるようになっています。特に、次の6種類の機能を備えていることがポイントとなります。
- IP レピュテーションのチェック
- パターン・ベースのアンチスパム
- ホワイトリストとブラックリスト
- シグネチャ・ベースのアンチウイルス
- ゼロアワー・アウトブレイク保護機能
- 電子メール侵入防御システム
各メッセージに対して実施される IP レピュテーションのチェックは、第1の防御策として機能します。この機能では、電子メールの接続リクエストを網羅的な IP アドレス・データベースと照合し、その送信者が正規の送信者であるか、あるいはスパムやマルウェアの送信者であるかを判別します。
ここで望ましくない送信者であると判定された場合、その接続は、メッセージが受け付けられる前に切断されます。動的な IP アドレス・データベースは定期的に更新されるため、悪意ある振る舞いをしなくなった IP アドレスがいつまでもブロックされるということはありません。
次のパターン・ベースのアンチスパム機能は、独自のアルゴリズムを用いて、電子メール・メッセージの指紋とも言うべきシグネチャを作成します。電子メールを受信すると、そのパターンがオンザフライで計算されてこの既知の電子メール・パターン・データベースと照合されます。このアプローチは、メッセージの内容に依存しないため、実際のメッセージ本文を一切チェックすることなくスパム・メールを効果的にブロックすることができます。また、複数の言語や複雑な画像、画像の断片を使用するスパム・メールにも対処できます。
残りの機能がさらなる保護を提供します。ホワイトリストとブラックリストを使用すると、拒否あるいは許可する IP アドレスまたはドメインのリストを作成できます。この機能は追加のフィルタリング・レイヤとしての役割を果たし、信頼できる送信元からのアクセスを明示的に許可し、望ましくない送信元からのアクセスを明示的に拒否できるようにします。シグネチャ・ベースのアンチウイルス機能は、各種メール・プロトコル(POP3、SMTP、IMAP)を検査して、シグネチャに合致したさまざまなマルウェアによる攻撃をブロックします。
第5の防御策は、シグネチャが提供されるまでの間もできる限りネットワークを保護できるようにするゼロアワー・アウトブレイク保護機能です。この機能では、インターネット全体で流通している膨大な量のメッセージを分析し、新しい攻撃の発生を把握すると共に問題のメッセージを特定します。そして、特定の攻撃についての最新情報として、このメッセージ・パターンに「悪意あるメッセージである」というフラグを付けます。この情報により、発生したばかりの攻撃を通常0.5秒~2秒ほどでブロックすることが可能になります。
最後の防御策は、電子メール侵入防御システム(IPS)です。この機能は、ネットワークの境界におけるシグネチャ・ベースの防御機能として、メッセージング・インフラストラクチャに対する攻撃をブロックします。メッセージング・インフラストラクチャに対して行われる攻撃としては、保護されたネットワークに不正アクセスすることを目的としたもの、メッセージング・サーバの一部の機能を停止させようとするもの、DDoS 攻撃などの新たな攻撃を仕掛けるためのリソースとしてメッセージング・インフラストラクチャを利用しようとするものなどが考えられます。
チェック・ポイントのアプローチ
この6種類の防御策をすべて採り入れることで、97パーセント以上のスパム・メールをブロックすることが可能になります。また、既知と未知の両方のマルウェアを検出し、企業のメッセージング・インフラストラクチャを広範な攻撃から保護できます。チェック・ポイントの新製品である UTM-1 Total Security
アプライアンス は、この防御戦略を中核機能として採用しています。この統合アプライアンスは、ファイアウォール、VPN、IPS、アンチウイルス、およびメッセージング・セキュリティ機能を搭載しており、管理性に優れた単一プラットフォームで包括的なネットワーク・セキュリティを実現します。
また、電子メールに繰り返し見られるパターンを分析し、大規模な攻撃の発生を発見するという独自の機能も備えています。高精度なリアルタイムの攻撃発生分析機能も備えており、管理者が介在したりユーザからフィードバックを受けたりすることなく、スパムおよびマルウェアによる攻撃を自動的にブロックすることができます。メッセージング・セキュリティの改善という継続的な課題に対処するうえでは、柔軟性と拡張性に優れたこのようなアプローチが最良の対策となります。