BUSINESS CENTER / 特集 ASCII network PRO 2000年7月号
セキュリティパーフェクトガイド(その3)
2000年8月2日
侵入検出・監査・コンテンツフィルタリング
「セキュリティ対策といえばファイアウォール」は、インターネットが企業システムに浸透するにつれすっかり常識化した。しかし、クラッキング技術がますます巧妙かつ複雑になった昨今では、管理者は「セキュアソリューション」というトータルな視点でネットワークを守らなければならない。ここでは、ファイアウォールの機能を強化するソリューションを紹介する。
ファイアウォールは万能ではない
ファイアウォールはあくまで予防的な役割を果たす「防火壁」である。壁の外からの攻撃を防御する上では有効だが、内部への侵入を許してしまえば何の役にも立たない。しかも、ファイアウォールは利用者の利便性とリソースの保護という、いわば二律背反の側面を両立させて運用されている。そこでセキュリティポリシーの存在が不可欠になる。いくら高価なファイアウォールを導入しても、セキュリティポリシーがなかったり正しく機能していなければ効果はほとんど期待できない。
また、どんなシステムにもバグや設定ミスが付きものである。いわゆるセキュリティホールだ。システムが複雑になるほど、その遭遇率も高くなる。たった1つのセキュリティホールでも、放っておけばファイアウォールは形骸化したのも同然である。
さらに、不正な操作の大部分は内部からのものであるというのは今や常識である。利用者が不注意からアカウントを盗まれることもあれば、クラッカーが企業に入り込み正規ユーザーとして悪事を働くことすらある。そうなれば外からの攻撃にいくら対策を施していても、まったく意味はない。管理者としては、ファイアウォールがあるからといって安心していられるわけではない。壁を越えた、あるいは壁の内側に潜む不正侵入に対しても常に危機感を持たねばならない。そして、万一のときは速やかに侵入者を排除し、システムの復旧に努めることが求められているのである。
以上のように、セキュリティ対策はファイアウォールによる不正侵入の防御だけでは不十分であり、不正侵入の検知やセキュリティホールの調査もその一環になる。前節のファイアウォール製品にはそのための機能が搭載されているものもあるが、ない場合は別途ツールによって補う必要がある。以下、こうしたツールを紹介する。
不正侵入に対する防衛
侵入検知システムは、一般にセグメント上のネットワークパケットを監視するネットワークベースと、サーバのログを監視するサーバベースに分類され、どちらにも一長一短がある。たとえば、前者は最近の高速ネットワーク環境には対応できないことも多く、後者はシステム自体を停止させるDoS攻撃などには無力である。いずれも不正な侵入を見つけた場合は、管理者にアラームを発し、トラフィックのブロックやシステムの復旧、バックトレース(侵入者の動きを記録する)を行なうのが一般的である。
クラッカーには、ある程度「手口」がある。彼らはまずターゲット(攻撃対象または踏み台)となるホスト情報やセキュリティの甘いサービスの有無を調べる。手あたりしだいにICMPのエコーを見る「ping sweep」などは、ホストの稼働を調べるための常道である。また、侵入に成功したあとはroot権限の乗っ取りや不当なアクセス、ログの消去などを試みるだろう。このような一連の手口(侵入の兆候)のことを「シグネチャ」という。侵入検知ツールの多くは、最新のシグネチャ情報をWebからダウンロードして対応するようになっている。
一方、監査ツールはシステムの脆弱点を調査してセキュリティポリシーとのギャップを分析し、よりセキュアなネットワーク環境を構築するものである。事前にセキュリティホールを検出しておけば、最新パッチを当てて対処したり、不用意なサービスを停止しておくことができる。ただし、クラッカーに先を越されないように運用しなければ意味がないのはいうまでもない。
本格導入が始まるコンテンツフィルタリング
就業時における従業員のポルノサイトなどの閲覧は企業にとっての脅威であり、セキュリティ対策とともに、管理者の頭を悩ませる問題だ。ただし、政府推進のミレニアムプロジェクト(2001年度末までに全国の公立学校でIP接続をする)によって、有害コンテンツを排除する動きが活発になりツールも充実してきた。企業としてもそれを使わない手はない。ファイアウォール関連ツールとして、最後にコンテンツフィルタツールについてもまとめておく。
企業におけるフィルタリングは、当然学校に要求されるものとは異なるが、一般にフィルタリングには細かな制御が可能である。コンテンツは、「レイティング」という基準から作成されたデータベース(ラベルビューロ)を参照してフィルタされ、実装技術はW3Cにより標準化されている(PICS)。フィルタツールの多くはクライアントとプロキシの間に位置して処理するため、接続には余計な負荷がかかるが、独自にプロキシ機能を備える製品もある。レイティング基準としてはRSACiが定めたものが有名であり、国内では「電子ネットワーク協議会」を中心に取り組みがさかん。
(池田圭一、編集部)
CyberCop Intrusion Protection Suite
最先端の侵入検知・監査ツールに加え、クラッカーをおびき寄せる「おとりサーバ」
日本ネットワークアソシエイツ
侵入検知・監査機能でセキュアなネットワークを構築するとともに、おとりサーバを使ってよりアクティブなセキュリティ対策を可能にする米Network Associatesのスイート製品。「CyberCop Scanner(監査)」、「同Monitor(侵入検知)」、「同Sting(おとり)」「CASL(ツールキット)」の4つで構成される。
CyberCop Scannerで検査されたファイアウォール、ルータ、各種サーバの脆弱点は、分析レポート機能によりグラフィカルなチャートで表示され、セキュリティポリシーの侵害度などを一目で確認できる。問題の解決策は詳細レポートで提示される(レポートは近々日本語化される予定)。検査データ(脆弱点テスト)は自動アップデート機能で最新の状態に保たれるのはもちろん、CASL(Custom Audit Scripting Language)というスクリプトを使って独自に作成することも簡単である。
一方、マルチティアの検知アーキテクチャを備えるCyberCop Monitorはサーバベースの侵入検知エージェントで、スイッチベースの高速ネットワーク環境でのリアルタイムな監視をサポートしている。受信トラフィックはシステムイベントとログファイルの2系統から分析され、安全性をより確実にしている。こちらも、シグネチャやアタックライブラリ、モジュールの更新は自動で行なえる。
さらに、CyberCop StingはSolaris/NTサーバ、Ciscoルータをエミュレートする環境を構築し、侵入者をおびき寄せる「おとり」システムである。攻撃と防御のせめぎあいが続く現在、思い切って“にせもの”のシステムに侵入者を導こうという発想である。同時に、クラッキングの記録を収集して侵入者の特定や侵入手口の分析を可能にしている。おとりサーバは侵入者が用いる攻撃ツールなどによって見つけられるため、攻撃意図のないユーザーには存在が知られることはない。
ライセンスは、CyberCop Scannerが検査対象のマシンごと、MonitorがCPUごとに、1年間/2年間/永久使用の形態になる。
(池田圭一、編集部)
WebTrends Security Analyzer
新しいセキュリティホールに迅速対応する全米No.1の実績を誇る監査ツール
アズジェント
米WebTrendsのカスタマイズ可能な監査ツール。Windows NT 4.0上で動作し、UNIX、Windows NT/95/98で稼働するTCP/IPサービスを分析、各種サーバ/クライアント、ルータ、ファイアウォールのセキュリティホールを発見する。チェック項目は、AutoSync機能により同社のサーバから自動ダウンロードされた最新情報に基づいており、最近頻発しているDDoS攻撃にも対応している。さらに、同梱のSDK(Security Developer Kit)を使ってデバイスやプログラムに対する独自のチェック項目を追加することもできる(POSTアーキテクチャ)。スクリプトにはPerlまたはC言語を使う。同製品は、ワールドワイドな最新情報の取得と自社環境のカスタマイズという両極から、きめ細かな監査機能を提供する。
検査の結果レポートは、前回の分析結果と比較された上でHTML/Microsoft Word/ダイナミックビューア形式で作成されて、3段階に格付けされたセキュリティリスクをリストアップする。レポートにはリスク解決に必要な方法とパッチへのハイパーリンクも表示され、即座に対処できるよう態勢がバックアップされる。また、レポートはスケジュールで作成したり、FTPやEmailによって自動配布することも可能である。
実際の操作は、WindowsのツールからGUIベースで行なえる。管理者は慣れ親しんだ環境で操作できるが、レポートの表示を含め日本語対応はしていない。なお、マニュアルの日本語化は現在進められており、出来上がり次第、順次発送予定である。
ファミリー製品としては、WebTrends for Firewalls and VPNsがある。同製品では、ファイアウォールの動作記録(ログ)から、セキュリティの解析、帯域幅の有効活用、従業員の生産性/コストの分析、VPNの使用状況、Webサイトのトラフィック分析をレポートする。対応するファイアウォールには、FireWall-1、InterConclave、AltaVista、Axent Raptor Firewall、BorderWare、Cisco PIX Firewall、Microsoft Proxy Server、Gauntletなどがある。
(池田圭一、編集部)
SAFEsuite
ネットワークの随所に配置可能な多彩なラインアップとプラットフォーム展開
アイ・エス・エス
統合的なセキュアネットワークシステムを提案する米Internet Security Systemsの侵入検知・監査ツールの製品群。あらゆる管理者のさまざまな要望を満たせるよう、環境をネットワーク/システム(サーバ)/データベースと多極的に捉え、さらにはWindows NT/UNIXの両サーバプラットフォームをカバーする多彩な製品ラインアップを展開する。
侵入検知システムには、Engine/Agent/Managerの3コンポーネントからなる「RealSecure」が提供される。それぞれネットワーク監視/サーバ監視/管理コンソールとして機能し、HP OpenViewや日立JP1/Cm2といったシステム管理プログラムとの連携も可能である。同製品では、ネットワークとサーバを包括的に監視・管理することで、盲点のない侵入検知と優れた操作性の実現を図っている。シグネチャは最新のものを適宜自動ダウンロードし、独自に定義も行なえる。ドキュメント類やレポートなど、運用上重要な情報は日本語化済みである。
クラッカーにとっては侵入検知システムはやっかいな存在であり、最初の攻撃対象にされる場合も多い。RealSecure Engineはステルスモードという自身の存在隠蔽機能を備え、公開セグメントへの設置も安心である。
監査システムには、「Internet」、「System」、「Database」の各Scannerが提供される。Internet Scannerはさらに、「Intranet」、「Firewall」、「Web Security」の各Scannerから構成され、サーバ、クライアント、ルータ、X端末に至るまでくまなくネットワークに模擬攻撃を仕掛け、セキュリティホールや設定ミスから生じる脆弱点を検出する。調査の結果はセキュリティポリシーの分析や改善に役立てる。同時に「SAFEsuite Decisions」というセキュリティ意思決定システムに渡して活用することも可能だ。なお、Database Scannerに対応するDBMSは、Oracle/Microsoft SQL Server/Sybaseで、Windowsプラットフォームのみサポートされる(日本語未対応)。
(池田圭一、編集部)
BlackICE Defender
個人/SOHO向けの低価格侵入検知システム ホストベースで侵入者を自動ブロック
東陽テクニカ
ホストベースで動作する米Network ICEの低価格侵入検知システム。常時接続サービスの普及に伴い、一般に高価な侵入検知システムを個人やSOHOでも手に届く価格で販売する。DSLやCATVインターネット、ISDNといった常時接続はもちろん、ダイヤルアップ接続環境でも稼働する。
本製品は、企業向け侵入検知システム「ICEpac」で使われているエージェント(BlackICE Agent)を個人向けに販売したものである。ICEpacはBlackICE製品群をまとめたパッケージで、ホストベースに加え、ネットワークベースでの監視機能(BlackICE Sentry)、収集された侵入情報を分析・レポートする管理機能(ICEcap Manager)から構成される。ICEpacの稼働プラットフォームはNT/2000 Serverを含めたWindowsベースだが、現在Linux版もテスト中であるとのことだ。
BlackICE Defenderでは、エージェントによってポートを出入りするトラフィックを常時監視し、「パテントペンディング技術」により100Mbps Ethernetのフル帯域での検知が可能になっている。怪しげな操作が検出されると、エージェントは「不正侵入の可能性あり」として即座にモニタリングを始める。
また、モニタされた操作がシステムにダメージを与えるような危険性を内在していれば、バックトレースを開始し、同時に侵入者からのインバウンドトラフィックをすべてブロックするという仕組みである。もちろん、正当な通信はこの間でも妨げられることはない(ただし、セキュリティレベルの設定に依存する)。検出できるパターンのアップデータはWebから適宜ダウンロードする方式である。動作要件がPentium以上のCPU、32MBメモリと、かなり低スペックなマシンで稼動可能なのも特徴的だ。対応OSはWindows 95/98/NT Workstationで、2000は現在テスト中とのこと。GUIを含め、ドキュメント類などはすべて日本語化されている。価格は1ライセンス6500円。また、5ライセンス3万円のコーポレートパックも提供される。
(池田圭一、編集部)
サイバーパトロール
教育目的から企業の生産性向上まで
最も有名なインターネットフィルタ
アスキー
Webサイト上のコンテンツに対し、一定の条件で分別を行ない、ユーザーが不適切な情報を閲覧できないように規制するフィルタリングツール。米The Learning companyが開発、アスキーが日本総代理店として日本語化、日本の独自情報の追加、販売を行なっている。
今までは未成年や教育目的で用いられる家庭向けのスタンドアロン版(ダイヤルアップユーザーを対象)が中心だったようだが、最近では不要なインターネットアクセスを規制して企業の生産性を向上させる目的でも用いられることが多い。こうした用途に対応したラインアップとしては、クライアント/サーバ環境に組み込む「Corporate版」、さらに企業のプロキシサーバに組み込む「Proxy版」が用意されている。Proxy版の対応製品はWindows NT版がMicrosoft Proxy Server、Solaris版がSquid、Netscape Proxy Server、Firewall-1、Linux版がSquid。
インターネットコンテンツ(グラフィックスまたはテキスト)を独自の基準で分類し、不適切な「CyberNOTリスト」、推奨されるべき適切な「CyberYESリスト」にまとめている。なお、CyberNOTリストは、SafeSurfとRSACiを含むPICSのレイティング基準もサポートし、そのCyberNOTサイトへのアクセスを制限したり、CyberYESサイトへのアクセスのみを許可したりすることで、アクセス規制を行なう。
規制の対象となるインターネットサービスは、WWW、FTP、Gopher、IRCなどで、各サービスをドメイン単位、URL単位で規制できる。また、特定サイトのサービス(FTP、Telnet、SMTPなど)に対するアクセス規制も可能であり、コンテンツフィルタリングだけでなく、ファイルダウンロードによるコンピュータウィルスの感染なども防止できる。
ライセンス料は、スタンドアロン版が6800円、Corporate版(25ユーザー)が19万6000円〜、Proxy版(NT版)が60万円、Proxy版(UNIX版)が98万円などとなっている。
(池田圭一、編集部)
WebSENSE
導入実績で歴代1位を誇る高機能フィルタリングツール
アルプスシステムインテグレーション
米WebSENSEのフィルタリングソフト。毎日更新される規制データベースの自動アップデートや、詳細なコンテンツ指定など高い管理機能を搭載しており、サーバタイプのフィルタリングソフトとして圧倒的なシェアを誇る。アルプスシステムインテグレーションが日本語化を行なっており、その他複数の企業がサポートや製品バンドル、販売を行なう。
単独でプロキシサーバとして動作する「WebSENCE Proxy」をはじめ、各プラットフォームのプロキシサーバに組み込むタイプ、ファイアウォールに組み込むタイプなど、12パッケージをラインアップする。すべてサーバに組み込むタイプのため、企業での注目度が高いのが特徴だ。日本語の14万サイトを含む約100万ものURL(2000年4月現在)に対してアクセス規制を行なうことができ、その毎日更新されるデータベースをインターネット経由で自動的にアップデートできる。またアクセス履歴(IPアドレス、時間など)を記録、そのログを元に図や表で分析・管理が行なえるレポート機能を有している。さらに、規制対象URLにアクセスした場合に、ユーザーに任意のメッセージを表示したり、任意のURLへ転送したりできる機能、リモート管理機能、端末/ユーザー別の規制レベル設定機能などを装備する。
規制対象となるコンテンツは、独自の判定により、ポルノ/暴力/ギャンブルなど30項目に分類され、そこからアクセス対象URL群のどれを規制するか選択可能。また、管理者により特定のURLの追加・削除もできる。対応するインターネットサービスは、HTTP以外に、HTTPS、FTP、Gopher、IRC、telnet、RealAudioなど。NEWSやFTPなどプロトコルレベルでの規制も可能である。
製品価格はユーザー数によって定められており、アカデミックライセンスの場合25ユーザーで11万8800円(1年間)、シングルサーバの一般向け25ユーザーが19万8000円などとなっている。
(池田圭一、編集部)
eTrust Intrusion Detection
不法な侵入、情報漏洩を防ぐセキュリティ強化のための監視ツール
コンピュータ・アソシエイツ
旧製品名は、米PLATINUM technologyが開発したインターネットセキュリティ強化ツール「SessionWall-3」。同社が米Computer Associatesに買収されたのを受け、「eTrust Intrusion Detection」と名前を変えて登場した。なお、旧SessionWall-3は、国内ではアズジェントが販売していたが、eTrust Intrusion Detectionは、コンピュータ・アソシエイツが販売、サポートを行なう予定である。現在、英語の試用版がeTrust Intrusion DetectionのUS Webサイト(http://www.ca.com/solutions/enterprise/etrust/) からダウンロードできる。
eTrust Intrusion Detectionは、特定URLの閲覧、特定NEWSの購読などに対するアクセスを規制するだけでなく、IPアドレス、MACアドレスへのアクセス状況のモニタリングやブロック、RAS経由のユーザーに対する高度な管理機能、侵入を検知したときのルータ(Cisco社製品)制御など、コンテンツフィルタリングというよりも、セキュリティ対策全般を目指したツールである。
悪意のあるプログラムやコンピュータウィルスに対しても、システムに侵入したものを検出・削除するのではなく、不正なトラフィックを監視することで防ぐタイプである。また、ネットワークの内容/ディスプレイ/レポート/ログ/警告メッセージを監視・スキャンし、ビューアによりアクセス傾向や侵入記録をグラフなどで表示することができる。さらに、最近のWebサイト攻撃手段として顕著になりつつある、DDoS(Distributed Denial of Service)攻撃についても、ハッキングに利用される主要なツールを検出・削除するためのパターンファイルを備えている。
対応プラットフォームは、Windows 95/98、Windows NT 4.0(Windows 2000)で、監視対象プロトコルはTCP/IPとなっている。
(池田圭一、編集部)
eSafe Protect
フィルタリングに加えウィルス、バンダルの侵入を阻止
アラジンジャパン
インターネットコンピューティングが浸透、拡大するにつれ、教育的な目的はもちろん、業務効率を阻害しないためにも、コンテンツフィルタリングだけでは不十分になりつつある。コンピュータウィルスやJavaやActiveXなどで記述された悪意のあるプログラム(バンダル)の侵入に加え、プッシュクライアントを介してネットキャストされる膨大なデータなども、トラフィックを占有し、ときに情報漏洩やシステムダウンなどの重大なトラブルを引き起こす可能性があるからだ。こうしたシステムにダメージを与える活動をトータルに監視し、システムをインターネットから保護しようというのがアラジンジャパンの「eSafe Protect」シリーズである。
eSafe Protectに採用されている技術は、米eSafeが開発したものであるが、同社がイスラエルのAladdin Knowledge Systemsに、1988年に吸収合併されたことにより、現在は日本のアラジンジャパンが販売を行なっている。
eSafe Protectには、(1)主としてバンダルの侵入を防止するスタンドアロン版の「eSafe Protect Desktop」をはじめ、(2)サーバとクライアントの双方に組み込み、バンダルの侵入防止、ウィルス撃退、内部からの機密データの転送の防止、非生産的なWebブラウジングの制限などを一括管理することができる「同 Enterprise」(3)CVP API準拠のファイアウォールと連携して、ウィルススキャンやバンダルの除去、URLフィルタリングを目的とした有害サイトの学習、キーワードに基づく電子メールのフィルタリング(添付ファイルにも対応)などを行なう「同 Gateway」の3パッケージが用意されている。
eSafe Protect EnterpriseにはeConsole機能が搭載され、サーバのコンソールからネットワークの一元管理や各ユーザーのプロテクションの設定、サーバやワークステーションへの展開を行なえ、企業への導入に最適である。対応プラットフォームは、Windows NT/NetWare 3、4(Enterprise版)となっている。
(池田圭一、編集部)
| 
