PR

 中小企業向けセキュリティ機器ベンダーの米SonicWALLは,電子メールのセキュリティ機能を集約したゲートウエイ・アプライアンスの新版「SonicWALL Email Security 5.0」を,2007年3月末に国内出荷する。新たに,画像スパムへの対処機能を追加したほか,内部統制向けにフィルタリング機能の強化やメール・アーカイブ機能を追加した。
 SonicWALL Email Securityは,SonicWALLが2006年2月に買収した米MailFrontierの製品ライン。MailFrontier時代の製品担当副社長で現在はSonicWALLでプロダクト・マネジメント担当シニア・ダイレクタを務めるGleb Budman氏に,メール・セキュリティのあるべき姿を聞いた。



SonicWALL Email Securityはメール・セキュリティに求められている機能と手段のほとんどをパッケージ化したオールインワン型だ。メール・セキュリティにとって必要なものは何か。


米SonicWALLでプロダクト・マネジメント担当シニア・ダイレクタを務めるGleb Budman氏
[画像のクリックで拡大表示]

 ユーザーからの報告をデータベース化して全ユーザーで共有するレピュテーションが重要だ。

 SonicWALLは,ファイアウォール/UTM(統合脅威管理),電子メールやWebアクセスを対象としたコンテンツ・セキュリティ,ディスクからディスクへのバックアップ機器(CDP),SSL-VPN装置,無線LAN機器など,情報システム全般のセキュリティ機器を扱っている。こうした中に,エンドユーザーのデスクトップ環境で使うセキュリティ・アプリケーションもある。MailFrontier時代からオンライン経由で提供してきたソフトであり,セキュリティ・ソフト「ZoneAlarm」を提供する米Zone LabsにOEM(相手先ブランドによる生産)供給している。

 デスクトップのセキュリティ・ソフトのエンドユーザーは100万人に達する。これらユーザーからの報告を束ねて全ユーザーで共有するレピュテーション・ネットワーク「SMART Network」を作った。アプリケーションが自動的に情報を報告するだけでなく,ユーザーが明示的に判断した情報を集約している。実際に存在するユーザーが自主的に判断を下した情報をデータベース化するという部分がセキュリティ対策にとって重要だと考えている。

 スパム用だけでなく,フィッシング用のベイジアン・フィルタを独立して持つことも重要だ。例えば,「Privacy」(プライバシー)という単語はフィッシング・メールに含まれている率が高いが,スパム・メールとの因果関係は薄い。スパム対策用のベイジアン辞書とフィッシング対策用のベイジアン辞書は,まったく異なるというわけだ。エンドユーザーは,届いたメールを正規のメール,スパム・メール,フィッシング・メールの3つに分類するのだ。もちろん,学習済みのすぐに使える辞書をベンダーが提供することも重要だ。

レピュテーションというと,ボットに感染したスパム送信者のIPアドレスを共有する,という印象が強い。IPアドレス以外の情報まで共有するのか。

 レピュテーションの仕組みがあるのなら,それを排除すべきIPアドレスの共有だけに使うのはもったいない。IPアドレスなど送信者の情報はもちろんだが,コンテンツの中身を判別した情報も共有できるほうが良い。確かに,IPアドレスだけでメールの多くを切り捨てればコンテンツの中身を調べるメールの数を減らすことができるが,メールの数を減らさなくても処理できる性能を持っていれば,そちらの方が良い。

 もちろん,DHA(Directory Harvest Attacks)やDoS(Denial of Service)攻撃など大量アクセスに対する接続管理は重要だ。この段階でブラック・リストを用いたスパム送信者の排除までやってしまう方法もあるが,SonicWALLの理念を言うと,スパムの判定はコンテンツの中身を調べてから実施した方が良いのではないかと思う。IPアドレスだけでは判断しきれない部分もある。

 IPアドレス以外の情報を共有するメリットの例として,もう1つ,画像スパム対策を挙げよう。今やスパムの3分の1がフィルタリングをすり抜ける画像スパムだが,ハニーポット(おとりシステム)で画像スパムをキャッチするよりも,画像スパムの情報をユーザーがレピュテーションで共有した方が便利だ。

 例えば,SonicWALL Email Security 5.0では,SMART Networkで画像スパムのシグネチャも共有する。イメージ・サムプリンティングと呼んでいるが,ユーザーが画像スパムをスパムとして判定することで,画像のハッシュ値のようなものを作り,SMART Networkに報告する仕組みだ。

SonicWALLのユーザー・ネットワークであるSMART Networkに日本人は少ない。日本向けのスパムはSMART Networkで対処できるのか。

 確かに,日本からSMART Networkに情報を報告してくれている人は少ないだろう。デクストップ・ソフトをダウンロードして使ってくれている人とZoneAlarmユーザーに限られる。だが,スパム送信者がピンポイントに日本だけに届くようメールを送信することは難しい。他の国にも同じメールが届くはずだ。他国にも届いていれば,日本から登録しなくてもデータベースに登録される。また,スパム送信者が日本向けのスパムだけでなく他国向けのスパムも送信していれば,スパム送信者として登録される。