[製品サーベイ]

通信パケットを解析して脆弱性への攻撃を防御 サーバーへのパッチ適用に伴う作業負荷を軽減

2011年2月9日(水)

システムの脆弱性を解消する上でセキュリティパッチの適用は必須だが、パッチ公開の度に事前検証するのは企業にとって大きな負担となる。その解決策として、通信内容を解析して攻撃を防ぎ、パッチ適用と同等の効果を得る「仮想パッチ」製品が増えている。

ソフトウェアの脆弱性を悪用する攻撃は後を絶たない。ベンダーの脆弱性公開日(ゼロデイ)から、その脆弱性を悪用する攻撃プログラムが登場するまでの期間も、「以前は数カ月かかっていたものが、最近では2、3日に短縮しており、パッチ公開前に攻撃プログラムが登場する『ゼロデイ攻撃』が頻発している」(日本ヒューレット・パッカードTippingPoint営業部のジャック・マーティン担当マネージャー)。

脆弱性に対する外部からの攻撃を防ぐためには、各ベンダーから提供されるセキュリティパッチの適用が必須だ。しかし、パッチ適用は既存のシステムの挙動に影響を与えるケースも少なくないため、事前検証が不可欠となる。多種多様のソフトで構成する企業システムにおいて動作検証は容易ではなく、「正式なパッチの適用には、1カ月以上かかることも珍しくない」(トレンドマイクロ エンタープライズマーケティング部の大田原 忠雄部長代行)。

こうしたパッチ適用の負担を軽減する手段として、社内ネットワークに流入するパケットを解析し、ソフトウェアの脆弱性を悪用する攻撃を未然に食い止めるセキュリティ製品が登場している。パッチを適用したのと実質的に同等な効果を得られることから「仮想パッチ製品」とも呼ばれる。トヨタ自動車やブリヂストンの海外法人、大和ライフネクストなどの国内企業がすでに導入を始め、活用事例は増えている。

[製品のメリット(1)]
パッチ適用時期をコントロール

ソフトウェアベンダーのパッチ提供の頻度は決して少なくない。例えばマイクロソフトだけを見ても、毎月1回以上、年間12回以上のペースで脆弱性やパッチを公開する。ゼロデイ攻撃などの可能性を考慮すると、事前検証にのんびり時間を費やすような計画が立てにくいのが現状だ。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】
  • 1
  • 2
バックナンバー
製品サーベイ一覧へ
関連記事

通信パケットを解析して脆弱性への攻撃を防御 サーバーへのパッチ適用に伴う作業負荷を軽減システムの脆弱性を解消する上でセキュリティパッチの適用は必須だが、パッチ公開の度に事前検証するのは企業にとって大きな負担となる。その解決策として、通信内容を解析して攻撃を防ぎ、パッチ適用と同等の効果を得る「仮想パッチ」製品が増えている。

PAGE TOP