現在地 HOME > 掲示板 > IT1 > 932.html ★阿修羅♪ |
|
(回答先: 攻撃パターンに見る難易度【サブタイトル:クリケット氏に見る詭弁、出鱈目、悪意に満ちた文体】 投稿者 クエスチョン 日時 2003 年 9 月 07 日 11:48:38)
この記事のポイント。専門家の間では、今やルーター等のファイアーウォ
ールは信用されていない。「まるでスイスチーズのようだ」つまり穴だら
けだということ。ファイアーウォールを使うにしても、インターネットと
接する外辺部でなく、それよりもパーソナルファイアーウォール、アプリ
ケーション専用のファイアーウォール等、どんどん使い手の近くでやるよ
うになっている。負荷分散の意味でも良いようだ。
********************************************************************************
エンタープライズ:コラム 2003/09/08 20:12:00 更新
Opinion:ネットワークの境界にあるのはファイアウォール? 穴あきチーズ?
http://www.zdnet.co.jp/enterprise/0309/08/epn10.html
MSBlastやSobigといったワームのまん延によって、ネットワークゲートウ
ェイ部にファイアウォールを設置するといった従来のアプローチの限界が
見え始めてきた。
スイスチーズにとっては迷惑な話だろう。幾つか穴が開いているせいで、
お粗末なセキュリティの例えとして「まるでスイスチーズのようだ」と言
われ続けるのだから。近ごろでは、この比喩はファイアウォールに対して
用いられることが多いようだ。ファイアウォール(個人ユーザー用のもの
を除く)は、悪質なトラフィックがネットワークに侵入するのを防ぐこと
を目的としたものだが、もはやかつてのように企業ネットワークや家庭内
ネットワークの外辺部のセキュリティを守ってくれるという保証はない。
昨今、インターネットアクセス機能とネットワークセキュリティという
相反する要求の間で適切なバランスをとるのがますます難しくなっている。
その背景には、インターネット機能を利用するために開けておかねばなら
ないネットワークポートを通じてトラフィックをやり取りするアプリケー
ションが増えていることがある。
筆者は先日、Zone Labsが最近発表したインスタントメッセージング
(IM)専用のパーソナルファイアウォールについて、同社のマーケティン
グ担当副社長フレッド・フェルドマン氏に話を聞く機会があった。フェル
ドマン氏はそのとき、各種のIMクライアントがポート80(HTTPトラフィッ
ク用のポート)を利用している現状についても触れたが、まるでそのよう
な「誤用」が普通であるかのような話しぶりだった。実際、それは事実な
のだが……。
ユーザーによってインストールされるアプリケーション(特にIMクライ
アント)の中には、本来はほかの目的のために用意されたポートを通じて
動作するものが増えている。加えて、最近ブームとなっているWebサービ
スは、もっぱらHTTP(ポート80)およびそのセキュア版であるHTTPS(ポ
ート443)を利用する。
このため、ネットワークの境界部にファイアウォールを配備するのは、
時間のむだではないかと思えてくるほどだ。開けておかなければならない
ポート(インターネットの電子メール用のポート25など)から「Sobig.F」
や「MSBlast」といった悪質なトラフィックが侵入し、HTTP(すなわちWeb)
用のポート80などの経路を通じてサービス拒否(DoS)攻撃を仕掛けるよ
うなケースでは、いかに強力なファイアウォールであろうとも役にも立た
ない。
ファイアウォールは、ステートフルなパケット検査と侵入検知を行うシ
ステムへと進化した(将来、これは歴史の一瞬の出来事として振り返られ
ることだろう)。すなわち、行き来するパケットをダブルチェックし、侵
入を狙ったパケットに一般的に見られる不適切なコードが含まれていない
か調べるのである。
残念ながら、HTTPに便乗する形でポート80を通過するアプリケーション
が増加するのに伴い、ステートフル方式のファイアウォールおよび侵入検
知システムにとっては、悪質なトラフィックと良性のトラフィックとを区
別するのがますます難しくなってきた。ファイアウォールがこれらのトラ
フィックの中身を検査するためには、強力なプロトコルアナライザに匹敵
する機能を装備し、すべてのワークステーションに送られるあらゆるスト
リームを監視する必要がある。これは、野球場の入り口で入場券の受け取
り係があらゆる入場者のバッグの中身を検査するのと同じである。
このような検査はトラフィックの渋滞を引き起こし、ファイアウォール
の両側のユーザーとアプリケーションにパフォーマンス面で深刻な影響を
与える。
しかも困ったことに、企業/家庭用ファイアウォールを通るトラフィッ
クが暗号化される割合も増えている。その結果、ステートフル型ファイア
ウォールや侵入検知システムが、不十分な防備のユーザーやワークステー
ションを狙う悪質なトラフィックを補足できる可能性が低くなる。ユーザ
ーセッションのセキュリティ対策としてSSLベースの暗号化(HTTPS)を施
すWebサイトが増えているのに加え、SSLベースのVPN(Virtual Private
Network)ソリューションも次々と市場に登場し始めている。その一方で、
インターネット上でIDの盗難などのセキュリティ侵犯事件が激増する中、
暗号化のサポートが必須とされるInternet Protocolの次期バージョン
(IPv6)への関心が高まりつつある。
その結果、外辺部に配備されたファイアウォールは、アプリケーション
が実行される場所(ワークステーションやサーバ)に物理的に近いところ
に置かれたファイアウォールや侵入検知システムの支援がなければ十分な
効果を発揮できない状況になりつつある。この方式は負荷を分散させるだ
けでなく、あらゆるものが暗号化されるトンネルの両端の外側に番兵を配
備するものだ。また、あらゆる検査ルーチンに対して各パケットの包みが
オープンにされるため、内部のファイアウォールおよび侵入検知システム
は、外辺部に配備されたファイアウォールと比べると、悪質なトラフィッ
クが企業や個人の情報資産を危険に陥れるのを阻止できる可能性が高い。
パーソナルファイアウォール(デスクトップPCやノートPC上で動作する
ファイアウォール)は、コンシューマー市場でヒットしたが、企業(特に
大手企業)はその価値をなかなか理解することができず、自社の既存のセ
キュリティフレームワークだけで十分だと考えがちだ。しかし社内ネット
ワークに野放図に侵入するSobigのようなウイルスが増加する中、企業の
IT部門は、既存の防御システムをすり抜ける悪質なトラフィックの伝送路
となる可能性のあるすべてのエンドユーザーデバイス(PDAを含む)にパ
ーソナルファイアウォールの搭載を義務付けるポリシーで対抗せざるを得
ないだろう。
パーソナルファイアウォールは、ワークステーションにSobigを送り込
む電子メールを阻止することはできないかもしれないが(この種の攻撃に
は電子メールベースのウイルス防止ソリューションが有効だ)、感染した
ワークステーションが、MSBlastなどによって引き起こされる分散型サー
ビス拒否(DDoS)攻撃に参加するのを容易に防ぐことができる。
パーソナルファイアウォールの利点の1つは、たとえワームが外辺部の
防御システムをすり抜けたとしても、それを隔離できる可能性があるとい
うことだ。
だがIT部門は警戒を怠ってはならない。セキュリティ担当スタッフは、
定期的にワークステーションにパッチを当てるだけでなく(ウイルス/ワ
ームが狙う脆弱性の多くは既にパッチが存在する)、最新のウイルス/ワ
ームの詳細を把握し、それに対応できるようにパーソナルファイアウォー
ルを構成する必要がある。
侵入をその場で阻止するためのポリシーを実施するのがいかに難しいか
は、MSBlastに対する一部のISP(インターネットサービスプロバイダー)
の対応を見ても分かる。これらのISPがファイアウォールを再構成したの
はいいのだが、MSBlastのDDoS攻撃のえじきとなるように「スケジュール」
されていたサイト以外のMicrosoftのサイトへのトラフィックも遮断して
しまったのだ。その結果、最新のパッチでコンピュータを更新するために
ユーザーが利用していたサービスであるWindows Updateの機能が使えなく
なってしまったのだ。
社内ネットワークにとって在宅勤務者が大きな危険要素になっているこ
とを認識し、パーソナルファイアウォールが稼動していないワークステー
ション(社内用、社外用を問わず)へのアクセスを禁止するという予防策
を検討している企業もある。単なるポリシーに過ぎない場合もあれば、
VPNサーバと、ファイアウォールの外側にあるワークステーション上のパ
ーソナルファイアウォールとの連携を自動化するという方式もある。後者
の場合、VPNサーバ(外辺部のファイアウォールの機能の1つであることが
多い)は、ファイアウォールを装備していないワークステーションのアク
セス要求を自動的に拒否するのである。
このような対策が必要なのは、ワークステーションがVPN経由で社内ネ
ットワークに接続するようになっていても(理屈の上ではそのワークステ
ーションは外辺部のファイアウォールの防護下に置かれるのだが)、その
ワークステーションが感染し、さらにそれがファイアウォールの内側で使
用されたときに、ファイアウォール内のほかのマシンにも感染することが
可能だからだ。例えば、モバイルシステムがファイアウォールによって全
く防護されない状態でインターネットに直接接続した場合に、そういった
ことが起きる可能性がある。
もちろん、ウイルスが社内ネットワークに容易に侵入する手段はほかに
もある(それはパーソナルファイアウォールを配備すべきもう1つの理由
でもある)。例えば、実行ファイルがシステムに忍び込むための代替経路
を与えるようなことをユーザーが行っている場合だ。具体的には、ユーザ
ーが電子メールクライアント(社内電子メールにアクセスするのに使用す
るのと同じもの)をプログラミングして個人用のPOP3受信ボックスをチェ
ックするようにする、「Kazaa」や「Morpheus」などのファイル共有サー
ビスを利用する、ファイル転送機能を備えたIMサービスを利用するといっ
たことだ。
最近では、この種のアプリケーションのダウンロードや実行を禁じてい
る企業が増えている。暗号化されたセッションを通じて悪質なトラフィッ
クの伝送路が用意されるという事実は、暗号化が施されるトンネルを抜け
て復号化される際にあらゆるパケットを検査する仕組みの必要性を強調す
るものにほかならない。
パーソナルファイアウォールは極めて広範な潜在的攻撃に対処するもの
ではあるが、アプリケーションの実行個所の近くに配備する必要がある番
兵はほかにもある。アプリケーション専用のファイアウォール(1つある
いは複数のアプリケーションの前で番をするファイアウォール)も登場し
ようとしている。例えば、KaVaDoの「InterDo」はWebアプリケーションの
セキュリティにフォーカスした製品であり、ZoneLabsの「IMSecure」はIM
プログラム専用のファイアウォールだ。
セキュリティの責任を負うべき個所が、アプリケーションの実行場所の
近くに移動し、ワークステーション/サーバ/アプリケーションベースの
ファイアウォールおよび侵入検知システムの重要性が高まるのに伴い、市
場の再編が促され、ネットワークの内部と外辺部のセキュリティの間で調
和のとれたソリューションが登場するものと予想される。その兆しは既に
見えている。
Ciscoは当初、ZoneLabsと提携し、アクセスを求めるワークステーショ
ン上でZoneLabsのパーソナルファイアウォール「ZoneAlarm」の正しいバ
ージョンが動作していなければ自社のVPN技術を利用したアクセスを許可
しないというソリューションを打ち出した。しかしそれよりもずっと深い
レベルで連携を行い、統合的なソリューション(一元的ポリシー管理コン
ソールによって管理する方式)を提供する必要性を認識したCiscoは、買
収戦略に転じ、パーソナル/アプリケーションファイアウォールを手がけ
るOkenaを獲得した。
Ciscoは現在、「Cisco Security Agent」という名前でOkenaの技術を提
供している。これは、ワークステーションレベルで動作するエージェント
で、「CiscoWorks」と呼ばれるCiscoの管理コンソールから一元的に管理
することができる。CiscoWorksは、多くの企業のネットワークの外辺部に
導入されているCiscoのファイアウォールアプライアンス「PIX」を管理す
るのに用いられているコンソールでもある。外辺部用とワークステーショ
ン用のファイアウォールは、CiscoWorksを通じて互いに連携して動作する。
前者は、後者が存在しなければワークステーションに接続を許可しないの
である。
Ciscoは4月にOkenaを買収したに過ぎず、またこの動きに反応した競争
相手もほとんどないようだ。しかしCiscoの周辺部/内部連携戦略が市場
である程度の成功を収め始めれば、Okenaの競争相手であるZoneLabs、
Sygate(「Sygate Personal Firewall」のメーカー)、Internet
Security Systems(「BlackICE」のメーカー)に加え、Network
Associates(「McAfee Personal Firewall」のメーカー)やSymantec(
「Norton Personal Firewall」のメーカー)などのビッグプレーヤーをも
巻き込んだ市場再編が一気に進むものと筆者はみている。アプリケーショ
ンセキュリティを専門とする企業(KaVaDo)や、一元的ポリシー開発/管
理製品を手がけるメーカー(Securify)なども、この再編の波を逃れるこ
とはできないだろう。
この再編に影響を与えるとみられるもう1つの市場力学が、家庭ユーザ
ー市場の状況である。この分野では、外辺部用ファイアウォール
(LinksysやNetgearなどが提供しているケーブル/DSL用モデム/ルータ
などに組み込まれたファイアウォール)とパーソナルファイアウォールと
の連携が簡単に行えるようになる必要がある。そのためには、従来よりも
はるかにスムーズな相互運用性が要求されるが、これは家庭ネットワーク
分野ではほとんど未開拓の領域である。
Ciscoはこの分野でもスムーズな連携を実現すべく、Okena獲得のわずか
数週間前にLinksysを買収した。Ciscoで製品/技術マーケティングを担当
するシニアディレクターのジェフ・プラトン氏は、次のように話している。
「当社はLinksysの買収を通じて、家庭ユーザー向けのソリューション
を提供するつもりだ。家庭内ネットワークは非常に原始的なものが多い。
このため、家庭/小規模オフィス向けソリューションを簡単なものにする
には、何を追加すればよいか検討している。これは、Ciscoが伝統的に取
り組んできたものとは異なる要求だ。われわれが数週間あるいは数カ月で、
この要求にこたえることはできないかもしれない。しかしわれわれは、中
小企業および大企業に提供しているのと同等のセキュリティを家庭ユーザ
ーに提供するための作業に真剣に取り組んでいる」
どうやら、LinksysとOkenaの買収時期が重なったのは偶然ではなかった
ようだ。
Sobigを取り上げた筆者のコラムに関して寄せられたメールから判断す
れば、コンシューマーおよび小規模企業は、悪質なワームやウイルスに満
ちあふれた現在の混乱から自分たちを救い出してくれる助け舟の登場を切
に願っているようだ。
CiscoがOkenaの技術とLinksysのアプライアンスを結び付けるという難
問を解決することができれば、決して過小評価できない結果がもたらされ
るだろう。家庭/小規模企業ユーザーがCisco製品を受け入れるだけでな
く、競合企業各社も反応し(それに伴って市場の再編が加速され)、最終
的にはインターネット全体のセキュリティに対する最大の脅威、すなわち
脆弱な家庭用コンピュータを安全なものにできるかもしれないのだ。
あなたの会社のネットワークの場合、パーソナル/アプリケーションフ
ァイアウォールの配備を既に決めているのだろうか、それとも古き良き外
辺部のセキュリティシステムだけで砦を守ろうとしているのだろうか?
原文へのリンク
関連記事
特集:Windowsを危険にさらすRPCのセキュリティホール
[David Berlind,ZDNet/USA]