このページの本文へ

[特別企画]SEPはエンドポイントを守れるのか? 第3回

画面を見ながら設定をチェック

アンチウイルスとファイアウォール・IPSの実力

2008年04月08日 16時00分更新

文● 大谷イビサ(ネットワークマガジン編集部)

  • この記事をはてなブックマークに追加
  • 本文印刷

SEPMの準備やSEPクライアントの配置が無事完了したところで、次は各機能の設定やポリシーの設計について見ていこう。

不正プログラムを確実にブロックする ウイルス・スパイウェア対策

 セキュリティ機能として基本となるのが、アンチウイルス・アンチスパイウェアである。ご存じの通り、シマンテックのアンチウイルス技術は長らく個人向け製品にも搭載され、「LiveUpdate」の定義ファイルの自動更新により、高い検出率を誇っている。

 こうしたアンチウイルス・スパイウェア機能のポリシーとしては、定時スキャンでのスケジューリングや、ファイルシステムや電子メールに対するリアルタイムスキャンであるAuto-Protectのオンオフ、そしてマルウェア等を検出した場合のアクションなどが設定できる。さすがに歴史が古いだけあり、圧縮ファイルのスキャンの有無やCPUの使用率など細かい設定も行なえる。こうした設定はエンドユーザーに変更されてしまうと困るため、SEPのユーザー側で変更できないようにロックをかけることも可能だ。逆に、外出先などではユーザーが任意にスキャンを延期できるようにするといったポリシーも設定できる。

設定は「ポリシー」-「ポリシーの表示」-「ウイルス対策とスパイウェア対策」をクリック

設定は「ポリシー」-「ポリシーの表示」-「ウイルス対策とスパイウェア対策」をクリック

 また、こうした定義ファイルベースの検出・駆除のほか、SEPではデータベースに登録されていない不正プログラムや攻撃を防ぐ「プロアクティブ脅威防止」機能が用意されている。プロアクティブとは「予防的」という意味で、定義ファイルを用いずにウイルスやスパイウェアを検出する機能を指す。定義ファイルによる検出をすり抜けるウイルスやスパイウェアが非常に増えてきたことから、こうした技術は高い注目を集めている。

 具体的には120種類あまりのプロセスの挙動を監視し、善と悪の両方の挙動をスコアリングし、不正プログラムを見付けるもの。トロイの木馬やワーム、キーロガー、スパイウェアなどの悪質なプログラムを定義ファイルに依存せずに検出することが可能だ。また、ファイルやレジストリに対するアクセスやDLLの読み込みなど、Windows APIをチェックし、不審な動作をするプログラムがいないかなどもチェックする。

画面2 左に表示されるメニューから各ポリシーを編集できる

画面2 左に表示されるメニューから各ポリシーを編集できる

 ウイルスやスパイウェアとして検出された疑わしいファイルは、もちろんクリーニング(修復)も可能だが、「検疫」も選択できる。つまり、いったん疑わしいファイルを隔離し、チェックした後、適切な措置を行なうわけだ。

 検疫はローカルハードディスクに実行不能な形式として保存するローカル検疫と、別途構築した「中央検疫サーバ」に送信する方法がある。中央検疫サーバに送信すると、シマンテックのラボであるセキュリティレスポンスセンターに感染したファイルを送信する。レスポンスセンターはファイルをチェックし、これを反映した新たな定義ファイルを戻してくることになる。

ファイアウォールとIPSを組み合わせた ネットワーク脅威防止

 ネットワーク脅威防止は、クラッキングや不正アクセスと呼ばれるネットワーク攻撃を防止するものだ。IPアドレスやポートなどを条件に不正なパケットを遮断するファイアウォール、そしてウイルス対策と同じく攻撃の手口をデータベース化したシグネチャを元にトラフィックから攻撃をあぶり出す侵入防止(IPS:Intrusion Prevention System)という2つのテクノロジーを用いる。単純なポートベースのファイアウォールはWindowsなどでも搭載されているが、SEPはより高度な防御が可能になっている。

 まずファイアウォールに関しては、「ポリシー」-「ポリシーの表示」-「ファイアウォール」を選択し、「タスク」から既存のポリシーの編集やポリシーの新規追加を行なう。ファイアウォールのポリシーには、送受信されるトラフィックの条件と許可を行なう「ルール」、IPネットワークで一般的に利用されるDHCP、DNS、WINSなどのアプリケーションを許可する「スマートトラックフィルタ」、そして特殊なトラフィックの制御やHTTPヘッダに書かれている情報の隠ぺいを実現する「トラフィックとステルスの設定」などが用意されている。

 ファイアウォールのルールでは、「アプリケーション」「ホスト(宛先・送信元のIPアドレス)」「ネットワークサービス(宛先・送信元のポート)」、「空白(設定なし)」4つの「トリガ」を組み合わせることで、詳細なトラフィックの管理が行なえる。このうちパケットフィルタリングベースのファイアウォールには搭載していない「アプリケーション」というトリガはなかなかユニークだ。これを用いると、同じポート80番を用いるHTTPの通信でも、Internet Explorerは許可、Firefoxは禁止といった制御が可能になる。

 これらのルールも、サーバ側で一元管理するだけではなく、クライアント側でもルールを変更できるように変更することも可能だ。

画面3 アイコンを多用して、わかりやすいファイアウォールのポリシー設定

画面3 アイコンを多用して、わかりやすいファイアウォールのポリシー設定

 こうしたポリシーは、組織や部署ごと、適用する場所によっても異なる。たとえば、ファイアウォール配下にいる社内クライアントと、外出先のクライアントではファイアウォールのルールを変更した方がよいだろう。こうしたニーズに対応し、SEPにはネットワーク状態から場所を自動的に特定し、適用するポリシーを変更する「オートロケーションスイッチング」の機能がある。この機能を利用するには、社内用と外出先と複数のポリシーを設定しておいた方がよい。また、後述するNAC(Network Access Control)を運用する場合は、セキュリティポリシーを満たさないPCの隔離用ポリシーも作ったほうがよい。

 侵入防止も同様に、「侵入防止」のメニューからポリシーの追加や編集を行なえる。いわゆるシグネチャベースの侵入防止のほか、DDoS攻撃やポートスキャンなどの検出の有無を設定できる。また、アプリケーション個別の攻撃に対応したカスタムシグネチャも作成できる。

図2 SEPで導入されているIPSでの不正アクセス防御

図2 SEPで導入されているIPSでの不正アクセス防御

画面4 用途に合わせ、強度の異なる4つのポリシーを生成した

画面4 用途に合わせ、強度の異なる4つのポリシーを生成した

 IPSのシグネチャに関しては、ユーザーオリジナルのカスタムシグネチャも作成できる。デモでは「2ちゃんねるへの通信を遮断する」という例で、HTTP経由の発信で2ch.netという文字列があった場合に通信を禁止するシグネチャを作成してもらった。

画面5 2ch.netの接続を禁止するシグネチャも容易に作成できる

画面5 2ch.netの接続を禁止するシグネチャも容易に作成できる

■関連サイト

カテゴリートップへ

この連載の記事
ピックアップ