ネットワークのトラブルは、機器構成にまつわるトラブルや設定に関するトラブルだけではない。サイバー攻撃の脅威が注目される昨今、当然ながらセキュリティがらみのトラブルというものも考えられる。しかしセキュリティの場合、トラブルが起きてから慌てるよりも、平素から安全な体制を構築することの方が先決だ。

ネットワークセキュリティは終わりのない課題

もともとヤマハのルータは強力なファイアウォールを備えていることで定評があるが、それだけでは安心できない。防御する側が進歩すれば、攻撃側も進歩するのが世の常である。

ウィルスが添付ファイルとして送信されるような初歩的な形、あるいはネットワーク経由の不正侵入といった手口に始まり、オペレーティング・システムやアプリケーション・ソフトウェアの脆弱性を利用した攻撃、それと関連して不正攻撃用Webサイトへの誘導。そして近年では、それっぽく偽装した電子メールを利用してRAT(Remote Access Trojan)を送り込む標的型攻撃といった具合に、脅威が多様化しているだけでなく、手口が巧妙になってきている。昔と同じ考え方だけでは対処できない。

ことに標的型攻撃のような「狙い撃ち」のことを考えると、ネットワーク経由の不正侵入だけでなく、電子メールのセキュリティに関する一層の対策強化が求められている。単に「添付ファイルを開かない」とか「添付ファイルに気をつける」とかいうだけの話では済まなくなってきている。第一、添付ファイルはすべて開かない、という対処では仕事にならない。

しかも、個人のレベルで「気をつける」だけでは、個人の知識・才覚・カンといったものに依存するので、どうしても防禦のレベルがばらついてしまう。組織全体で同等のセキュリティ・レベルを、それもできるだけ無理のない、負担のかからない形で実現する方策はないものだろうか。

日々成長する脅威への対処

脅威が日々成長するのであれば、それに対処する側も、常に最新の対応策を備えることが求められる。それに対して、個々の組織の管理者が個人レベルで情報を収集するとともに、手作業で対策を講じていくのは、たとえ専任管理者がいる組織であっても負担が大きい。ましてや、専任管理者を置く余裕がない中小規模の組織においては、もはや非現実的というしかないだろう。

だから、組織内ですべて完結させようと無理をするのではなく、外部のリソースをも活用する必要がある。つまり、成長・高度化する脅威に関する情報と対策といったところで外部のリソースの力を借りて、それを自動的に取り込んで活用できる仕組みを作る。そうすることで、常に最新の情報に立脚したセキュリティ対策を講じる。これなら、静的な情報に立脚して常に同じセキュリティ対策を取るよりも確実性が高いのではないだろうか。

では、そういった仕組みを作るにはどうすればよいか。単品のハードウェアやソフトウェアを買い集めてきて、そういったシステムを自力で構築する手も考えられないわけではない。だが、それには製品情報の収集やシステム構築といった手間がかかってしまうし、見落としが生じる危険性もある。

その点、最初からそのつもりで作られたセキュリティアプライアンスがあれば、専任の管理者を置く余裕がない中小企業でも、脅威の進化に対応する形で進化するセキュリティ機能を実現できるはずだ。

そこで登場するのが、ヤマハのファイアウォール製品「FWX120」というわけだ。もともと、基本的なセキュリティ関連機能として、侵入防止のための諸機能や、好ましからざるWebサイトへのアクセスを強制的に阻止するURLフィルタなど、多様なセキュリティ関連機能を実現している。 しかし、それだけで満足するのではなく、新たなメールセキュリティ機能の強化を図ってきた。

ヤマハのファイアウォールFWX120

二段構えのメールセキュリティ

前述した標的型攻撃が典型例だが、近年では電子メールが攻撃手段に用いられる事例が多い。それも、実行形式ファイルをそのまま添付して送りつけるような手法ではなくなってきた。

たとえば、警戒されやすい実行形式ファイルではなくPDFファイルを使ったり、攻撃用Webサイトへのリンクを踏ませようとしたり、といった具合に手口が多様化している。さらに、spamメールやフィッシング詐欺といった馴染みの攻撃もあり、これらも電子メールを利用している。

こうした事情があるので、電子メールに関するセキュリティ対策の強化は喫緊の課題といえる。そこでFWX120では、クラウド方式のセキュリティ対策を取り入れた。それも二段構えだ。

まず、ウィルススキャンを行う手段として、ヤマハが自ら運用するYSC(Yamaha Security Cloud)がある。そこからさらに、マカフィー社が運用するMcAfee GTI(Global Threat Intelligence)にメッセージを転送して、spam判定を実施する仕組みになっている。

FWX120のメールセキュリティは、ヤマハとマカフィーが分担するクラウド・サービスによって実現する(ヤマハのWebより転載)

spamメール対策でも、あるいはウィルス対策でも、判定の基準になる材料が要る。つまり、サンプルを大量にストックして解析しなければ、spamメールかどうか、ウィルスが含まれているかどうか、といった判断ができない。これはユーザーが自らやろうとしても難しい話で、やはり「餅は餅屋」となる。しかも、最新の情報に基づいて対策を常にアップデートする必要がある。

そこで、自社ですべて解決しようとするのではなく、ノウハウとデータの蓄積を持っているベンダ(今回の場合にはマカフィー)と組むのは、現実的な解決方法といえる。そしてFWX1200では、自社で対処できる部分と、対処が難しかったり対処に手間がかかったりする部分を、ヤマハとマカフィーで分業する体制をとったのだそうだ。

当然、他社のサービスを利用して機能を提供するのであれば対価が必要になるので、FWX120ではメールセキュリティ機能についてサブスクリプションサービスの形態を取り入れた。1年、3年、5年といった単位でライセンスを購入する形である。

ネットワークに負荷をかけないためには機器の内部ですべて完結させる方がよいのだが、そうすると、日々新しくなる脅威情報をどのように配布・管理するかという問題が生じる。ひょっとすると、ウィルス対策のようにパターン・ファイルを配布すれば済む話では済まず、判断を担当するエンジンそのものの更新が必要になるかも知れない。

そのことを考えると、FWX120ですべて抱え込むのではなく、判定の機能をクラウド・サービスに依存する方式の方が望ましい。常に最新のデータやエンジンを用いた判定ができるし、ユーザーにとっては更新や保守の負担がかからないからだ。

ちなみに、この機能もやはり実際に動作させてテストしなければならないので、担当者は手元にspamメールやウィルス付きメールなどをストックして、サンプルに使ったそうである。もちろん、社内のネットワークからは切り離して、迷惑がかからないような形にした上でのことだ。

かく申す筆者自身も、たとえばフィッシング詐欺くさいメールが来ると「これはサンプルになるからとっておこう」といって保存している。機器やサービスのテストに使うことがなくても、原稿のネタにはなる。ということで、その一例を蔵出ししてみよう。

このメール、三菱東京UFJ銀行の名を騙っているが、どう見てもフィッシング詐欺である。もっとも、文字化けしているし、ヘッダを見ると文字コード設定が「簡体字中国語」なのだからレベルが低い

メールセキュリティならではの難しさ

難しいのは、メールセキュリティはWebサイトと違って「単純ブロック」では話が済まないところだ。つまり、危険そうなメッセージを単に阻止するだけでよいのか、という話である。

たとえば、誤認識によって、本来は必要とされるはずのメッセージが阻止されて消えてしまうリスクが考えられる。そうした可能性を考慮すると、「このメッセージは危険そうだからユーザーの元には届けません」という対応では、トラブルの原因になるかも知れない。

そのため、FWX120では件名に注意喚起のための文字列を付加するものの、メッセージが受信者のところに届かないように阻止することはしていない。受信者も、相応の注意は払わなければならないのだが、決まった内容の文字列を付加する形態であれば、メーラの自動振り分け機能を使う手もあるから、ユーザー個人の注意力に全面的に依存するよりは確実だろう。