アクセス性能の向上からパンデミック対策まで,ネット・セキュリティ製品の対応範囲が拡大 ―― Security Solution 2009レポート
2009年9月2日~4日の3日間,東京ビッグサイト(東京都江東区)にて,ネットワーク社会におけるセキュリティ・ビジネスに関する展示会「Security Solution 2009」が開催された(写真1).今回で8回目を迎える本展示会では,「脅威対策」,「情報漏えい対策」,「アクセス制御」,「セキュリティ・マネージメント」,「物理セキュリティ」などをテーマに,セキュリティ関連の技術や製品を紹介した.また,グローバル化に伴う企業のリスク管理やパンデミック(感染症の世界的流行)発生時の事業の継承などを意識した製品も展示されていた.出展企業・団体数は約70で,展示や商談会のほか39のセミナが実施された.
● セキュリティと負荷分散の機能を併せ持つネットワーク機器を展示
マクニカネットワークスは,米国Citrix Systems社製のネットワーク機器「Citrix NetScaler MPXシリーズ」を展示した(写真2).本シリーズは,アクセス性能の向上やセキュリティの確保,負荷分散など,ユーザによるWebへのアクセスをスムーズにするための複数の機能を備えたネットワーク機器である.
負荷分散については,ロード・バランサの基本機能に加えて,ラウンド・ロビン,リースト・コネクション,レスポンス・タイムなどのアルゴリズムに対応し,セッション機能も装備する.また,L7(アプリケーション層)の情報に基づいて,タスクをアプリケーションごとに適したサーバに振り分け,種別やプロトコルを分析し,細かいスイッチの切り替えを可能にしている.
セキュリティの確保については,ハードウェア・ベースの処理により,SSLコネクションの確立からデータの暗号化や復号化までを実行する.他のサーバに余計な負荷をかけずに,セキュリティを確保できる.MPXシリーズは,同一の筐体で1Gbps~3Gbpsの範囲のスループットに対応できる.
● 九つのセキュリティ管理機能を1台で実現
ピーエスアイは,米国FortiNet社のネットワーク機器「FortiGateシリーズ」を展示した(写真3).本機器は,企業のインターネット・ゲートウェイに必要な九つのセキュリティ機能を備える.すなわち,「ファイア・ウォール」,「IPsec-VPN(IP Security-Virtual Private Network」,「SSL-VPN」,「アンチウイルス」,「P2P(Peer to Peer)ファイル型交換ソフトウェア対策」,「インスタント・メッセンジャ対策」,「Webコンテンツ・フィルタリング」,「IPS(Intrusion Prevention System:不正進入検知/防御)」,「アンチスパム」の九つの機能である.
未知のウイルスに対しては,定義ファイルと比較してウイルスを検出するのではなく,プログラム・コードの動きそのものを監視してウイルスを検出する「ヒューリスティック(heuristic)」という技術で対応する.また,アンチウイルスなどスキャニングの高速処理のために,独自開発の専用ASIC「FortiASIC」と専用OS「FortiOS」を搭載している.このため,ネットワーク性能を損うことなく,アンチウイルスやコンテンツ・フィルタリングを実行できるという.
● 機密情報漏えいの危機管理能力をさまざまな技術で高める
米国Trend Micro社は,機密情報の漏えいをリアルタイムで防止するネットワーク機器「TREND MICRO LeakProof」を展示した(写真4).本機器では,利用を許可するUSBメモリをホワイト・リストとして登録できる.ただし,登録されているUSBメモリであっても,指定されている機密情報は,暗号化などを行わないと読み出すことができない.
アクティブ・ディレクトリとも連携しており,ユーザごとにポリシの設定を行える.これは1台のパソコンを複数ユーザで利用している企業などで有効な機能である.また,機密情報のネットワーク・プリンタからの出力を制限し,指定された機密文書については,プリントアウトできないようになっている.さらに,機密情報のクリップ・ボードへのコピーも禁止している.これにより,メールへの添付などによる情報漏えいを早い段階で防止できる.このほか,エージェントをインストールしていないエンドポイント(端末)が機密情報をコピーしようとした場合,その行為をブロックする機能も装備している.
● パンデミック対策に有効なリモート・アクセスVPN
NTTアイティは,専用USBキーを用いて接続認証を行う「magicConnect」と,端末情報を用いて接続認証を行う「端末認証型 magicConnect」のデモンストレーションを行った(写真5).本システムでは,リモート・アクセスの際の接続認証に,アカウントIDとパスワード,使用するパソコンや通信カードといったハードウェアの固有情報,およびハードウェアに保存した証明書を用いている.アカウントIDとパスワードだけの接続認証と比較すると,高い安全性を実現できるという.
今後,厚生労働省による新型インフルエンザのパンデミック・フェーズがレベル5Bや6Bに引き上げられた場合,保守契約を締結している購入企業に対して,全社員分の期間限定アカウントを無償で提供する.パンデミックが発生した際には,全社員が自宅からテレワークにより業務を継続できるという.
● ブラック・リストのデータ・パターンによってWeb攻撃から保護
NECシステムテクノロジーは,ブラック・リスト方式のソフトウェア型Webアプリケーション・ファイアウォール(WAF)「SiteShell」のデモンストレーションを行った(写真6).本ファイア・ウォールは,同社が提供するブラック・リストに定義されたデータ・パターン(シグネチャ)を利用して,「SQLインジェクション」や「クロスサイト・スクリプティング」といったWebサイトを狙った攻撃からデータを保護する.
例えば,新しい攻撃が発見された場合,データ・パターンの自動更新やブラウザ・ベースの運用管理コンソール,24時間×365日の体制での監視や情報収集などを実行する.本ファイヤ・ウォールは「WebOTX」,「Weblogic」,「Tomcat」,「IIS」などの主要なアプリケーション・サーバとWebサーバに対応する.