新しいセキュリティ対策の アプローチ

郷間佳市郎 （Kyoma Keiichiro）
京セラコミュニケーションシステム　セキュリティ事業部 技術部長
古くから通信事業者系ネットワークのセキュリティ設計に携わるなど、豊富な知識と経験を持つ。NetWorld＋Interop 2004 Tokyoでは、NOC（Network Operations Center）チームとして参加、コアメンバーとして全体のセキュリティ運営に従事した。


第2回・なぜ「脆弱性管理」が必要なのか？
Point1>>
外部から攻撃を受けても被害を受けない強固なセキュリティシステムに対するニーズが高まり、そのための情報を提供する手段として「脆弱性管理」が注目を集めている。
Point2>>
「脆弱性管理」に対するニーズは、「攻撃に対して耐性のあるネットワークシステムを構築したい」「企業のセキュリティポリシーの遵守状況を把握するための情報がほしい」の2つ。
Point3>>
脆弱性情報は、IDSの効率的な運用にも活用できる。
Point4>>
脆弱性の診断は、できるだけ短い間隔で実施することが必要。


ネットワークシステムへの攻撃に対して、どのような対策を講じるべきであろうか。
一般にこうした対策は、生身の人間の戦いにたとえられ、「盾」や「城壁」が引き合いに出される。攻撃に対して、人間が弱い存在であるので、盾や城壁で守るのだ。これに対し、実際のネットワークの世界では、攻撃の対象となる機器やシステムを強くすることは、生身の人間を強くするのに比べれば容易である。そこで、あらかじめ強固なセキュリティ対策を施したネットワークを構築しておけば、攻撃を受けても被害が発生することを抑えることが可能だ。ネットワークセキュリティ分野では最近、このようなアプローチが一般化してきている。

境界防衛だけでは
限界にきている
ネットワークのセキュリティ対策は、ひと昔前と比べると格段に進歩し、効果を上げている。
たとえば、ファイアウォールは、インターネットと社内システムの間の「境界」に設置され、攻撃が内部に及ぶことを防ぐ。このようなアプローチは、「境界防衛」と呼ばれる。この境界防衛のメリットは、守るべきネットワークの境界部分にだけ注目すればよく、ネットワークの中身の安全性をそれほど考慮しなくても、それなりの効果を上げられる点にある。
ただし最近は、境界部分だけでは十分でなく、ネットワークの中身にも注意を払う必要が再認識されてきている。
このことを端的に示したのが、2003年夏のMS Blasterワーム［＊1］による被害である。「持ち込みPC」という感染ルートによって、ワームが社内ネットワークに一挙に広がった。このような、経路をはっきりと想定できない攻撃に対しては、境界防衛のアプローチでは効果を上げられないという問題を改めて露見させたのだ。すなわち、社内ネットワークの外がどうなっているのかだけでなく、その内部についても注意を払う必要があるという教訓である。


［＊1］MS Blasterワーム
Windows 2000およびWindows XPを対象にしたワーム。ネットワークに接続しているだけで、こちらからアクションを起こさなくても、Windows上で動作しているサービスの弱点を突き、PCに感染する。