ネットワーク内部のセキュリティに照準、チェック・ポイント

2005/2/10

 チェック・ポイント・ソフトウェア・テクノロジーは2月8日、エンドポイントセキュリティ製品の最新版「Check Point Integrity 6.0」と、セキュリティイベントマネジメント製品「Check Point Eventia Analyzer」を発売すると発表した。

チェック・ポイント・ソフトウェア・テクノロジーのセキュリティ技術本部長 卯城大士氏

 Integrityは、検疫ネットワークと呼ばれる分野の製品だ。事前にクライアントPCにソフトウェアをインストールしておくことで、コンピュータ・ウイルスや不正侵入などの攻撃を防御する。同社セキュリティ技術本部長の卯城大士氏は、「検疫はいまホットなソリューションとして注目されている。ゲートウェイやサーバ機器に比べるとクライアントPCの数は多い。Integrity 6.0では、セキュリティの機能面も当然ながら、どれだけ管理者の負担を減少できるかという管理運用面も重要視した製品となった」とコメントした。

 Integrity 6.0では、マルウェア(スパイウェアやアドウェアなど悪意のあるソフトウェア)への防御を強化したほか、Red Hat Linuxにも対応した。また、同社のWebセキュリティ製品「Connectra」に実装している「Malicious Code Protector」(MCP)を採用し、バッファオーバフローなどに代表されるアプリケーションやOSへの攻撃を自動的にブロックする。エンドポイントで防御するIntegrityと、ネットワークのセグメント単位で防御する同社製品「InterSpect 2.0」を併用することで内部セキュリティをより強固にできる。

 MCPは、トラフィックを流れるパケットをつなぎ、逆アセンブルをかけることでバイナリコードを検出する。発見された実行可能なコードはバーチャルシミュレータで悪意のあるコードかどうかを分析し、攻撃であれば通信を遮断する。同社のラボで既知の攻撃をテストしたところ、99.7%の攻撃をブロックすることに成功したという。MCPを利用するメリットとして、卯城氏は「シグネチャベースのセキュリティ製品ではないので、ゼロデイの攻撃でも防御することができる。脆弱性は日々攻撃されており、クライアント自身で防御できる利点は大きい」と語った。

 またIntegrity 6.0では、同社が提供している情報提供サービス「SmartDefenceサービス」(SDS)と連携した。同サービスには8万5000以上の攻撃サンプルが蓄積されており、日々アップデートされている。あるクライアントPCの未知のプログラムが、ネットワークへアクセスを試みた場合、IntegrityがSDSへ問い合わせを行う。すると、SDSがアクセスの内容を分析し“最良の実施内容”であるアクセスポリシーを返信し、問題があればアクセスを遮断する。

 最近ではパーソナルファイアウォールの導入が進み、怪しいネットワークアクセスが発生した場合、ポップアップによる警告文が表示されることが多い。しかし、一般のユーザーはポップアップによる警告内容が理解できず、警告を無視してしまうか、問題のない通信であってもアクセスをあきらめてしまうケースがある。企業ユーザーの場合、ヘルプデスクへの問い合わせが集中し、業務が停滞してしまう可能性もある。SDSでは、この部分を自動化することで手の掛からない管理を実現するという。

 さらに、管理サーバであるIntegrity Serverの機能も強化した。管理サーバそのものを二重化し、より安定性を確保したほか、クライアントPCにインストールするエージェントソフトの自動インストール/アップグレードにも対応し、漏れのないセキュアなエンドポイントセキュリティを構築可能となった。

セキュリティインフォメーション管理(SIM)分野に参入

 同日発表されたEventia Analyzerは、SIMと呼ばれる分野に分類される製品だ。ファイアウォールやIDS/IPS、そのほかのネットワーク機器に蓄積されるログデータを収集・分析することで、ネットワーク上で何が起きているのかを知るための製品となる。卯城氏は、「ログデータはあっという間に数百万件の記録が蓄積され、ギガバイト単位のデータとなる。マルチベンタ環境では当然のことだし、シスコシステムズやジュニパーネットワークスといった同一企業でも製品ごとにログのフォーマットがバラバラで、人力で分析することは事実上不可能」という。

 SIMの流れは、ログデータの収集、ログの正規化、集約処理、相関分析、レポートとなっている。正規化はそれぞれのログのフォーマットを共通フォーマットに変換する作業、集約処理は冗長または複数のイベントデータを取り除く作業だ。こうしてシンプルになったログデータを機器ごとにつき合わせて、特定のセキュリティアタックに該当するパターンが存在するかどうかを断定するためのデータを分析するのが相関分析である。

 Eventia Analyzerでは、リアルタイムにログを収集・分析するため、いま行われているポートスキャンが単なるいたずらによるものなのか、それとも本格的な攻撃につながる一連のイベントの一環なのかを判断し、深刻度に応じてアラートを発する。また、Firewall-1と連携してアクセスを遮断したり、管理者が事前に設定したスクリプトの起動など初期対応を自動的に行う。

 収集可能なログとして、インターネット・セキュリティ・システムズのIDS製品やSnort、シスコやジュニパーのネットワーク製品、Apacheなどのフォーマットに対応している。それ以外の製品でも、SyslogもしくはSNMPトラップを介することで収集可能だ。

 卯城氏によれば、「従来のSIM製品には導入や運用面に課題があった。Eventia AnalyzerではGUIによる管理画面を導入しセキュリティイベントが緊急度に応じて表示されるほか、ポリシーのテンプレートも準備されているため管理者の負担を減らすことに成功した」という。Eventia Analyzerは2005年第1四半期に投入し、最小構成(ログ収集対象が5つ)で288万円からとなっている。

(@IT 岡田大助)

[関連リンク]
チェック・ポイントの発表資料(Integrity 6.0)
チェック・ポイントの発表資料(Eventia Analyzer)

[関連記事]
チェック・ポイントがシスコ、ネットスクリーンを評価しない理由 (@ITNews)
買収進むセキュリティベンダ、チェック・ポイントの場合は? (@ITNews)
Webセキュリティに必要な第3の技術、チェックポイント (@ITNews)
チェック・ポイントがアプライアンスを出荷するのはなぜ? (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)