PR
ウイルス対策をはじめとする企業のセキュリティ強化手法として,新たなソリューションが浮かび上がってきた。ウイルスが発見された場合には,各PCに搭載したアンチウイルス・ソフトのパターン・ファイル更新を強制実行。対策が遅れて危険度が高まっているPCは,ネットワークから自動的に隔離してしまう。こうした機能を持つ製品が,米国でいくつか登場している。これらの製品を使うと,比較的手軽に,セキュリティを強化できる。
(河井 保博=kawai@nikkeibp.co.jp)

表1●新たなセキュリティ強化ツールが登場
 アンチウイルス・ソフトを搭載していない,あるいはウイルスのパターン・ファイルを最新版に更新していないPCからの通信を,ファイアウォールで自動的に遮断する――。こんな仕組みを実現できる製品が徐々に登場し,企業ネットワークのセキュリティ強化策として期待が高まっている(表1[拡大表示])。

 例えば米ゾーン・ラボは,2002年6月,企業ネットワーク向けのセキュリティ製品「Zone Labs Integrity」の新バージョン(バージョン1.5)を発表した。社内のPCに搭載するパーソナル・ファイアウォールと,それぞれのPC上でのフィルタリング・ルールなどを一元管理できる製品で,目玉は,前述したようなアンチウイルス・ソフトとの連携機能である。米サイゲート・テクノロジーズの「Sygate Secure Enterprise」(SSE)も,パーソナル・ファイアウォールをベースにした製品で,Integrity1.5と同様の機能を搭載している。

 アプライアンス型のファイアウォールでも,よく似た機能を持つ製品がある。米ソニックウォールが2002年4月に発表した,同社製ファイアウォール用のオプション・ソフト「Network Antivirus」である。やはりPC上のアンチウイルス・ソフトとファイアウォールが連携し,特定のPCだけをネットワークから隔離できる。

 現状では,こうした機能を実装した製品はまだ少ない。ただ,今後のセキュリティ関連製品の機能拡張の1つの方向になりそうだ。

感染経路になりそうなPCは隔離

 ウイルスの感染経路を完全にふさぐには,最新ウイルスのパターン・ファイルが提供されるまで,インターネットへの接続性を遮断してしまう以外に有効な手立てはない。新しいパターンが提供されても,すべてのクライアントPCに適用するには時間がかかる。その間は,未更新のPCは感染経路になってしまう。といって,すべてのPCのパターン・ファイルを更新し終えるまでインターネット接続をすべて止めてしまうのは非現実的だ。

図1●ポリシー・エンフォースメントの実現例
ポリシー・エンフォースメントは,「ウイルスの最新パターン・ファイルを適用したPCの通信のみ許す」などのポリシーを,各PCに搭載したエージェント(パーソナル・ファイアウォール)に強制的に配布・適用する仕組み。ウイルスの感染経路や不正侵入の経路をふさぐことができる
 もちろん,インターネットとの出入り口に設置するアンチウイルス・ゲートウエイを使えば,こうした心配はあまりない。ただ,ゲートウエイ型では,社外で感染したPCを社内ネットワークに接続した場合の感染を防げない。たとえば,RAS(リモート・アクセス・サービス)サーバーを使ってゲートウエイを介さずにリモート・アクセスを実現する場合や,社外で利用するノートPCを社内ネットワークに接続する場合だ。

 この点,IntegrityやSSEなら,個々のPCごとにネットワークへのアクセスを制御できるため,社内/社外を問わず,感染経路をふさげる。しかも,新たなウイルスが見つかった場合などは,ネットワーク利用ポリシーを適宜更新し,管理サーバーから各PCに強制配布できる(図1[拡大表示])。

 ゾーン・ラボの場合,Integrityのエージェント・ソフト,またはゾーン・ラボ製の一部のパーソナル・ファイアウォールが,トレンドマイクロ,米シマンテック,米マカフィのアンチウイルス・ソフトと連携する。サイゲートのSSEもほぼ同じ動作をする。

VPNやIDSとの連携も

 ファイアウォールだけでなく,VPN(仮想プライベート・ネットワーク)機器と連携させて,リモート・アクセスによる感染も防止できる。たとえばIntegrityには,米シスコ・システムズのVPN製品との連携機能がある。シスコは,同社の「VPN3000」に同こんするVPNクライアント・ソフトに,ゾーン・ラボのIntegrityエージェントを組み込み済み。同時に,VPNゲートウエイ側では,ウイルス・パターンを更新していないクライアントなど,ポリシーに合わないユーザーからの接続要求を拒否するように設定できる。

 SSEの場合は,Integrityよりさらに一歩進んでいる。2002年6月に発表された新バージョン(SSE3.0)では,不正侵入検知(イントルージョン・ディテクション)の機能を持つソフトなどとも,アンチウイルスの場合と同様に連携させられるようになった。たとえば攻撃パターンのデータベースとなるシグニチャの更新を,ネットワーク利用のポリシーに反映できる。