オープン・ネットワークに潜在する未知の脅威に対抗

掲載月：2007年9月

図1 セキュリティー脅威と対
　　応策マップとFISC必要技
　　術要件(弊社事例による) 金融機関におけるセキュリティー対策について、IBMでは多くの事例からの考察に基づき、脅威の種類と対応策をFISC((財)金融情報システムセンター)安全対策基準の必要技術要件を充たす観点からまとめています。特に昨今では、金融機関のインフラとして、TCP/IPを中心としたオープン・ネットワークの採用が進んでおり、インターネット・セキュリティーの強化が求められます。本稿ではオープン・ネットワークにかかわる脅威に絞って、セキュリティー脅威への対応の留意点について紹介します。

2003年に相次いで発生した広域ワーム、SQL SlammerおよびMS Blasterワームは、システムの脆弱(ぜいじゃく)性を悪用しネットワーク経由で感染を広げ、極めて短時間で世界中のコンピューターに感染を拡大しました。感染してしまった企業では、システムやネットワークが正常に稼働しなくなり、業務の継続が困難となったり、生産ラインが停止したりして、莫大な被害と損失がもたらされました。ファイアウォールやアンチウイルスが導入されていたにもかかわらず、なぜこのような大きな被害が出てしまったのでしょうか。これは、脆弱性を標的とするワームがファイアウォールやアンチウイルスでは検知されにくいという性質を持っていたからです。
この脆弱性に対するパッチは、マイクロソフト社より、ワームが発生する以前の2003年7月16日から提供されていました。しかし、パッチは稼働中のアプリケーションに影響を与える可能性があり、すぐには適用できないのが実情です。このタイムラグがシステムへの脅威であり、現在も解決困難なリスクとして存在しています。

2003年以降、広域ワームの発生も減少し、被害も減少の傾向にあると言われています。しかし、残念ながら、現在でも過去のワームが使用した方法と同じように脆弱性を標的としたコンピューター・ウイルスが蔓延しています。過去のワームとの違いは、感染したことを隠ぺいし、目立つ活動をしないという点です。このウイルスは、ボットと呼ばれ自己改変を繰り返しながらシステムに潜伏します。ボットはイントラネット内にも感染を広げ、感染したコンピューターは、外部の攻撃者から遠隔操作され、ボットネットという数十から数百万台の膨大なネットワークを形成し、スパムメールの送信、フィッシング、DDoS攻撃※1、企業や顧客情報の搾取を行います。
この脅威の基盤とも言えるボットへの感染を防止し、不正なパケットの流入を防御することが重要な課題となります。

^※1 DDoS(Distributed Denial of Service attack)。分散型サービス不能攻撃という。多数のネットワークにある数十から数万台規模のコンピューターより特定のサーバーなどに向けて一斉に攻撃を仕掛け、機能を停止させる攻撃のこと。

図2 MS Blasterワームの
　　バーチャル・パッチの事例 ボットなどの不正プログラムに対する確実な対策は、セキュリティー・ホールが発見された時点で、メーカーから提供されるパッチを適用することです。しかし、パッチを適用するためには、稼働しているアプリケーションに影響がないか十分なテストを実施する必要があります。テストが不十分であればシステムに障害を発生させ、可用性に重大な影響を及ぼします。一方、パッチの適用が遅れればウイルスの侵入を許し、甚大な損害を被る危険性を保有することになります。その解決策として、インターネット セキュリティ システムズ(以下ISS)が提唱しているのがバーチャル・パッチです。バーチャル・パッチは、インライン型IPS※2であるProventiaをネットワーク上の適所に配置し、脆弱性を標的にした不正パケットをリアルタイムに遮断し、システムを防御します。また、万一内部から発生した場合でも、Proventiaが配置されているセグメントに被害を封じ込めることができます。
ISSは、脆弱性研究専門チームの研究活動によって脆弱性発表以前または同時に防御アルゴリズムを作成し、稼働中のProventiaに配信します。これは攻撃者が攻撃コードを完成させる前に対策することができることを意味します。バーチャル・パッチが防御を行っている間に、適用すべきパッチのテストを実施することが可能となり、パッチ・リリースのたびに緊急に実施していたテストを効率化し運用コストを削減する効果を期待できます。

※2 IPS(Intrusion Protection System)。不正侵入防御システムと呼ばれる。

バーチャル・パッチに代表されるISSの技術は、X-Force(エックスフォース)という、民間企業では世界最大級の脆弱性研究専門チームにより支えられています。X-Forceが2006年に取り扱った脆弱性は、7,247件に上りました。また、リモートからの不正侵入を可能とする高危険度の脆弱性については、1998年以来、約半数をX-Forceが発見しています。
X-Forceは脆弱性の発見だけでなく、さまざまな先進的防御システムを考案し製品に実装しています。
X-Forceが作成する防御アルゴリズムは、標的とされる脆弱性自体を防御するため、亜種の発生に対しても有効に機能します。これらの研究成果は製品に反映され、さらに、ISSの専門エンジニアが世界6カ所のオペレーション・センターで24時間体制で対応する監視サービスに活用されます。「脆弱性研究」、「製品開発」、「監視サービス」の3つの柱を持ち、それぞれが高い実績とシェアを持っていることが、他社の追随を許さないISSの強みと言えます。

IBMは2006年にISSの買収を発表しました。日本でも2007年10月から日本IBMに統合され、サービス事業の一員となります。ISSは、商用ソフトウェアとして世界初の自動化された脆弱性検査診断ツールInternet Scannerと不正侵入検知システムRealSecureを開発し、両分野のトップシェアを維持しています。また、本稿でご紹介したProventiaシリーズは、ウイルスと同じ振る舞いをするプログラムを検出するVPS※3など未知の脆弱性に対応するための多様な機能を持ち、多層防御(マルチ・レイヤー・プロテクション)を実現します。IBMのセキュリティー・ソリューションはISSの優れたインターネット・セキュリティーを加えることによって、より充実しました。高度なセキュリティー対策が求められる金融機関様に対し、ビジネスの継続性の維持をご支援してまいります。

^※3 VPS(Virus Prevention System)。従来のシグネチャーベースのアンチウィルス・ソフトでは検出できない未知のウイルスを仮想PC内で実際に動作させ、その振る舞いを分析によって検出する新しい手法。