使ってわかったオールインワン製品の実力

最新のセキュリティの課題とSEPの概要

2008年03月31日 16時00分更新

文● 大谷イビサ（ネットワークマガジン編集部）

ウイルス感染や情報漏えいなどの事件が相次いでいる昨今、企業のクライアントPCでのセキュリティ対策はきわめて難しい課題となっている。この2つの課題を解決するために提供されるのが、シマンテックのSEPである。本企画では、こうしたクライアントPCのセキュリティ対策製品である「Symantec Endpoint Protection（SEP）」の機能を紹介すると共に、現場のエンジニアとともに製品自体を検証していく。

クライアントPCのセキュリティは頭痛の種

　ユーザー自身は意識しないかもしれないが、企業のクライアントPCは実にさまざまな攻撃に晒されている。あらゆる手段でPCに侵入し、悪事を働くウイルスやスパイウェアなど、いわゆるマルウェアはますます凶悪化し、ウイルス対策ソフトをすり抜けるための工夫を搭載している。最新のウイルスはPCにダウンロードされたときには安全なのにもかかわらず、ハードディスクに保存されるとインターネットから動的にコードをダウンロードして自身にアップデートを施したりする。また、ユーザーやウイルス対策ソフトから完全に存在を隠してしまう「ステルス化」も最近のウイルスやスパイウェアの特徴である。こうなると、通常のウイルス対策ソフトでは太刀打ちできない。

　これに対して、クライアントPCを守るための企業側の体制は果たして充分といえるだろうか？　情報システム部が管理を管轄するサーバやネットワーク機器と異なり、クライアントPCの管理は必ずしもスキルの高いわけではないエンドユーザー自身に任せなければならない。しかし、エンドユーザーは、定義ファイルやパッチの更新を怠ったり、設定ミスや誤動作などにより、クライアントPCのセキュリティを脆弱な状態に陥れてしまう。この結果、ウイルスからの攻撃を受けたり、情報漏えいのような自体につながってしまう。攻撃が凶悪化しているだけではなく、それを迎え撃つ企業側のセキュリティ対策にも問題があるというわけだ。

　この2つの課題を同時に解決するのが、シマンテックが提供する「Symantec Endpoint Protection」（以下SEP）である。ではSEPとはなにを実現する製品なのだろうか？

管理の一元化を実現した企業向けのセキュリティ対策ソリューション

　SEPはクライアントPCにインストールし、そのPC自体をさまざまなセキュリティ侵害から防御するセキュリティ対策ソフトである。しかし、SEPはクライアントPC単体での利用を想定しているわけではない。個人向けのウイルス対策ソフトに欠けている集中管理を実現した、いわゆる「企業向けのセキュリティ対策」ソリューションである。

　SEPの製品名にあるEndpoint（エンドポイント）とは、単なるクライアントという意味より、サーバを含むネットワークやシステムの末端となるクライアントPCを意味している。インターネットとLANの境界線にあるゲートウェイ、重要な情報やアプリケーションが保管されているサーバとあわせて、このエンドポイントを防御することで、万全のセキュリティを目指すわけだ。

　こうした企業向けのセキュリティ対策ソリューションは、管理者用の集中管理ツールを用いて、専用のクライアントソフトウェアをネットワーク経由で一元管理するというものだ。こうした企業向けのセキュリティ対策は、インターネットの常時接続環境が一般化してきた2000年代から企業に普及した。

　SEPも集中管理ツールである「Symantec Endpoint Protection Manager（以下SEPM）」によって一元的に管理される。個人向けのウイルス対策ソフトと異なり、SEPMを用いると、ウイルスの検査や定義ファイルの更新などを一元的に行なえるのが特徴だ。

画面1　クライアントに導入されたSEPクライアント

画面2　SEPクライアントを統合管理するSEPM

複数の脅威にまとめて対処できるSEP

　しかし、SEPが既存のセキュリティ対策と異なるのは、この集中管理の機能だけではない。従来のウイルス対策だけではなく、冒頭に話したようなさまざまな脅威に対抗する総合的な防御機能を持っている点だ。

　シマンテックは従来、企業向けウイルス対策ソフトとして「Symantec AntiVirus Corporate Edition（SAVCE）」、ウイルス/スパイウェア対策とファイアウォールとIPS機能を備えた「Symantec Client Security（SCS）」などの製品を投入してきたが、SEPではこれらの機能が統合されている。これにより単に不正プログラムの侵入や攻撃を遮断するだけではなく、セキュリティレベルの低いPCの接続を拒否したり、情報漏えいを未然に防ぐことが可能になる。複数の攻撃にまとめて対抗できるのが、SEPの最大の特徴といえる。

　SEPでは大きく以下のような機能を搭載する。

図1　SEPが提供する4つの機能

・ウイルス・スパイウェア対策

　実績の高い同社の定義ファイルを利用したスキャン技術で、ウイルスやスパイウェアを検出し、駆除する。常駐するAuto Protectにより、ファイルや電子メールの送受信時にもチェック。メモリ内に常駐するプロセス等も対応でき、プロセスを強制終了できる。

・ルートキット対策

　Windowsのファイルシステムを欺くことで、自身を隠ぺいするルートキット技術を用いたマルウェアを捕捉する。ファイルシステムを迂回し、RAWボリュームに直接アクセスする。これにはベリタスのVERITAS Mapping Service（VxMS）」という技術を用いる。

・ネットワーク脅威防止

　OSやアプリケーションの脆弱性を狙った攻撃への対策。特定のアドレスやポートを用いた通信を制御するファイアウォールや、定義ファイルと呼ばれる攻撃の手口データベースを比較するIPS（Intrusion Prevention System）を用いる。場所によって適用するポリシーを動的に変更する「オートロケーションスイッチング」などの機能も搭載する。

・プロアクティブ脅威防止

　定義ファイルが提供されていない未知のセキュリティ脅威への対策。アプリケーションの挙動を分析することで、定義ファイルに依存せずに攻撃や不正プログラムを検出する機能、ピアツーピアのファイル交換ソフトなどリスクの高いプログラムの実行を予め禁止する機能、感染の元となる外部デバイスの接続を禁止する機能などを提供する。

・ネットワークアクセスコントロール

　クライアントPCがネットワークに接続する前に、認証を行なったうえ、セキュリティの状態などを検査するいわゆる検疫ネットワークの機能。定義ファイルの更新状態やファイアウォールの起動状態、OSのサービスパックやパッチの適用状況などを調べ、条件を満たさなかった場合は、接続を拒否し、アップデート等を促す。SEPのエージェントがあれば、別途SNACのエージェントを導入する必要はない。ただし、別途「Symantec Network Access Control（SNAC）」のライセンスを必要とする。

　以上、SEPの概要と機能について見てきた。次回は、実際SEPの設定や操作を試すことで、どのようなセキュリティ対策が実現するのかを検証していきたい。

■関連サイト