PR

二木 真明氏 SSE エスシー・コムテクス・カンパニー ネットワークソリューション第1事業部 セキュリティシステム部副部長
吉田 柳太郎氏 SSE エスシー・コムテクス・カンパニー ネットワークソリューション第1事業部 セキュリティシステム部 セキュリティシステム営業第2課 NetSceenチーム長

ワーム対策が遅れ被害拡大
危険なポートは事前に対処

ウイルスやワームの流行など,突発的な事件が発生した場合,事件後にファイアウォールを設定し直していたのでは対応が遅れる。潜在的に危険なポートは事前に拒否ポリシーを用意しておけば,迅速に対応できる。

 製造業のC社は全国50拠点をインターネットVPNで接続している。2001年9月にワームの一種であるNimda(ニムダ)が大流行した時,VPN経由でニムダの感染を各拠点に広げた苦い経験を持つ。

 最初にニムダがどこに侵入したかは現在も不明だ。感染は主要な支店のイントラネット・サーバーを経由して,多くのパソコン端末に拡大した。ワームの駆除のため,C社はVPN接続を含むネットワーク接続をまる2日間停止せざるを得なかった。

集中管理型の機器で対処時間を短縮

図3 C社のとったワーム対策
2001年にワーム「Nimda」で被害を被ったC社は,対策として各拠点のファイアウォールのセキュリティ・ポリシーを本社で集中管理する形に変更。さらに,危険なプロトコルをあらかじめ,通過拒否のリストに実行しない形で加えた。この対策で,2003年1月のSQLスラマーには迅速に対処できた。
 C社では,同様な事件の再発に備えて,ワームの侵入を阻止したり,できるだけネットワーク全体を止めずに復旧させる方法を検討した。C社にとって,重要なポイントとなったのは,突然のワームの流行に対していかに早く対処できるかだった。それまでの,50拠点のファイアウォールを人手で設定し直すようなシステムでは,時間がかかりすぎるのである。

 検討の結果,C社はVPNゲートウエイとして,VPN機能を備えたファイアウォール製品を新規に導入。この製品が持つ集中管理機能を利用して,50拠点近くのVPN接続とインターネット接続のセキュリティ・ポリシーを,一括管理することにした(図3[拡大表示])。

修正パッチ情報をポリシーに反映

 その上でC社は,OSやアプリケーションの修正プログラム(パッチ)情報が出されるたびに,対応するプロトコルによるアクセスを遮断するポリシーを作成し,各ファイアウォールに追加設定した。修正パッチの適用が遅れているネットワークを標的に,ウイルスやワームが作られることも少なくないからだ。ただし,業務に利用するポートなどは,平常時はポリシーを実行しない状態に設定した。

 ワームの流行時には,本社側で対応する拒否ポリシーを有効にすれば,短時間で各拠点のファイアウォールの対策を終えられる。少なくとも,拒否ポリシーを一から作り直すより,ずっと早く対処できるようになった。操作自体も単純なことから,設定ミスを犯す危険性も減らすことができた。

 C社はその後,ウイルスやワームの深刻な被害は受けていない。2003年1月に起こったSQLスラマーの大流行の際は,このシステムを利用し,SQLポートあてのインバウンド通信を遮断するポリシーを全拠点で起動し,侵入を防ぐことに成功した。