リアルタイムに脅威に対抗！クラウドの力を活かせ

2010年11月02日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp　記事協力●マカフィー

アプリケーションの可視化・制御に加え、McAfee Firewall Enterpriseが持つもう1つの大きな特徴がGTI(Global Threat Intelligence)であるここではクラウドの力を用いて、リアルタイムに脅威に対抗できるGTIの仕組みやGeo Locationなどの機能を紹介していく。

巧妙化する攻撃にクラウドの力を！

　昨今、アプリケーションの脆弱性を突くことで、情報漏えいや誤動作を起こさせるマルウェアが増えている。もちろん、こうした脆弱性が発見されると、かなり早いタイミングでその脆弱性を修正にするパッチが開発元から提供される。しかし、問題なのは脆弱性発見から実際の攻撃の発生までの期間がきわめて短くなっていること。ゼロデイ攻撃も、攻撃者はユーザーがパッチを適用する前にマルウェアを仕掛け、大きな被害を与えようとしているのだ。

　また、ユーザー情報の詐取や金銭目当ての攻撃が増加したこともあり、今までのように不特定多数に攻撃を仕掛けるのではなく、よりターゲットを絞った攻撃に移っているのも昨今の傾向だ。たとえば、特定の嗜好を持つSNSのユーザーや特定の金融機関の利用者などをねらい打ちにして、不正なコードを埋め込んだサイトに誘導するといった事例だ。

　固定したポリシーをベースにアクセス制御を行なう従来のファイアウォールは、こうしたゼロデイ攻撃やターゲット攻撃に対応できなかった。攻撃の認識から保護の提供までのリアルタイム性に欠けていたからだ。そのため、多くの企業はダイナミックにシグネチャをダウンロードすることで、最新の攻撃を遮断するIPS（Intrusion Prevention System）を導入する必要があった。

　これに対して、McAfee Firewall Enterprise v8ではGTIというシステムを用いて、最新の攻撃に対応するほか、ユーザーの環境にあわせたリスク管理ができるようになっている。

　GTIを簡単にいってしまえば、セキュリティ情報を集めるマカフィーのクラウドサービスといってよいだろう。GTIでは全世界規模で張り巡らされた1億台以上のセンサーの情報を元に脅威の傾向を把握し製品と連携したリアルタイム性の高い保護を提供したり、400名規模のMcAfee Labの専任研究員が日々さまざまな脅威や脆弱性のリスク評価を行なっている。このリスク評価がご存じ「レピュテーション」と呼ばれるサービスである。

GTIのレピュテーションサービス

　GTIでは、IPアドレス、URL、アプリケーション、ファイルなど4つに対して、リスク評価を行ない、その結果をアプライアンスやソフトウェアなどにレピュテーション情報として連携する。レピュテーションでは、危険か、安全かという二者択一ではなく、収集した複数の情報を参照してリスクが段階的に評価されるので、ユーザーはリスクレベルをアクセス制御に活用することができる。これにより、さまざまな脅威に対して先んじて防御策を講じることが可能になり、セキュリティ侵害のリスクを大幅に軽減できる。

幅広い評価対象、高い実績を誇るGTI

　GTIのメリットの1つは、IPアドレス、URL、アプリケーション、ファイルなど評価対象が広範なこと。McAfee Firewall Enterprise v8では、このうちIPアドレス、URL、アプリケーションの3つをベースにアクセス制御できるため、URLフィルタのように信頼できるグループに属していてもリスクの高い傾向がみられるときにはアクセスを禁止することができる。

　評価対象が広いため、複数の手段を用いた複合的な攻撃に対しても有効に機能する。複数のホスト、ネットワーク、Web、メールとメディアなどの脅威を適切に関連づけ、巧妙化している攻撃をきちんと識別する。

　そして、さらに評価したいのは実績である。クラウドと連携するセキュリティ対策を謳うベンダーは数あれど、思い出したかのように大流行する古典的な攻撃までカバーできる実績とノウハウを持っているところがあまりない。その点、GTIは「TrustedSource」と「SiteAdvisor」、「Artemis」という３つの歴史あるレピュテーション技術をベースにしており、Webで6年間、IPアドレスで7年間、ファイルに至ってはすでに20年というデータを蓄積している。この実績がクラウドサービスにおける他社との差別化だ。現在も毎日5万件のマルウェア、3500万サイトのフィルタリング分類、約200億件のスパム／フィッシングのクエリ分析、約3億のIPS攻撃分析を行ない、精度の高い情報収集を実現している。

　McAfee Firewall Enterpriseでの実際の設定は、設定画面の「Enable TrustedSource」のチェックボックスをオンにし、「Low Risk」「Unverified」「Medium」「High Risk」など4段階のうちのどのリスクまでを許容するかを設定すればよい。これにより、GTIによるリアルタイム性の高い情報をいち早く防御に活かすことができる。

TruetedSourceの設定は左下のチェックボックスをオンにし、レベルを選択する

Geo Locationで地域ごとの通信を制御

　さらに、もう1つ売りといえるのが、Geo Locationという機能だ。これはIPアドレスなどを指定せず、国ごとのトラフィックを制御するためのフィルタリング条件。昨今、犯罪組織のサイトはグローバルに展開しており、国によっては犯罪者のサーバーが大量にホストされているところもある。これに対して、Geo Locationでは、たとえば「スロバキアから日本へのトラフィックを一切遮断する」といた設定が簡単に行なえる。

　これは国ごとのIPアドレスをリスト化したデータベースを元に、実現している。リストは逐一更新されるため、最新の攻撃にも対応できる。