ネットからの脅威には、ネットの総力戦で対抗すべし

2004/12/9

米シスコシステムズ ディレクター セキュリティ&テクノロジーグループ トム・ラッセル氏

 「ウイルスやワーム、クラッキングなどの脅威からネットワークを守るには、ファイアウォールなどの個別の対策を講じるだけでは不十分になってきている」。シスコシステムズ主催のイベント「NETWORKERS 2004」で基調講演を行った米シスコシステムズのディレクター トム・ラッセル(Tom Russel)氏はこう述べて、同社が主張する「自己防衛型ネットワーク」の必要性を説いた。

 ラッセル氏は、「2000年当時は、OSの脆弱性が発見されてからそれを利用したNimdaウイルスが登場するまで約1年の猶予があった。しかし最近のSasser.Aウイルスは、OSの脆弱性が発表されてから17日後に発見されている」とし、脆弱性が発見されたその日にあっという間にウイルスが広まる、いわゆる「ゼロデイアタック」が近づいていると警告する。「脅威を発見してから、それに対応するのではもう負け戦だ。タイムゼロの対策をとらなければならない」(ラッセル氏)。そのためには、人の関与はできるだけ減らして、ネットワークインフラの力でダイナミックに脅威に対抗できるようにしなければならないという。

 そのためのシスコの戦略が、セキュリティ対策を1つのプロダクトで実現するのではなく、ネットワークのシステムレベルのサービスにしていき、自己防衛型のネットワークを構築していくことだ。ラッセル氏はこれに必要な要素として、脅威をエッジ(水際)で防衛すること、ネットワークの内部の脅威に対する防衛、個人認証、安全なトランスポートといった要素をあげた。

 エッジでの防衛手段の1つがNAC(Network Admission Control)だ。PCがネットワークに接続する前に、正しくパッチが当たっているか、アンチウイルスのパターンファイルは最新か、バッファオーバーフローなどを起こしていないか、などを事前に確認し、問題のない場合だけ接続を許可する。また、エッジにあるルータやスイッチが、ポートスキャンなど不正なアクセスを発見した場合には、そのアクセスを遮断するといったポリシーを事前に決めておくことも有効だ。NACはシスコがシマンテック、マカフィー、トレンドマイクロなどと協力して推進しており、アンチウイルスソフトの最新バージョンなどにはNAC機能が組み込まれはじめているという。

 一方で、万が一ワームなどの侵入を許した場合には、Network Infection Containmenttと呼ばれる機能でネットワーク自身が感染防止処置を講じることが考えられている。例えば侵入検知システムがあるサーバへの不正侵入やワームを検知したとき、その検知を受けたセキュリティポリシーサーバがスイッチやルータに命じて、不正侵入されたサーバを別のVLANに切り出し、二次感染を未然に防止する。こうした仕組みをシスコは開発中で、2005年後半には発表できるという。

 さらに、シスコはトレンドマイクロと共同で、世界中のどこかで発見されたウイルスなどの脅威に対しての対応策も手がけているとした。例えばアジアのどこかで新しいウイルスが発見されると、世界中のネットワークがすぐに何らかのシールドを張り、数時間後にパターンファイルが配布され次第、直ちに侵入検知システムなどへ反映するといった、インターネットワイドな対応メカニズムとなる。

 ラッセル氏は、今後はルータやスイッチやPCなどの1つのデバイスが、豊富な防衛メカニズムを提供しなければならなくなるだろう、の見通しを述べた。さらに、各拠点ごとにファイアウォールや侵入検知システムを個別に導入していくと管理コストや導入コストがかさんでくるため、こうした機能の仮想化が進み、例えば1台のファイアウォールを仮想化して100のファイアウォールとして運用する、といった進化が起こるだろうとの予想を述べた。

(編集局 新野淳一)

[関連リンク]
シスコシステムズ

[関連記事]
人間の自己免疫がモデル、シスコが新セキュリティ戦略発表 (@ITNews)
シスコの下に集結したセキュリティベンダ3社のトップ (@ITNews)
エンジニアに資格は必要か? シスコの新セキュリティ認定資格 (@ITNews)
IDSを"オオカミ少年"にしないシスコの新技術 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)