RYU'S IT Room

 IT関連ニュースなどの旬な情報をもとにインターネットやコンピュータ、情報通信技術などについてわかりやすく解説を進めます。

セキュリティの穴をふさぐ仮想パッチ機能とは

Network security Software

Sponsored Link

最近「仮想パッチ」という言葉をよく耳にします。「しないよ」「え~。そうなんですかぁ~」とまあ、お決まりの突っ込みとボケです。でもこの仮想パッチ、セキュリティの穴をふさいでくれるというありがたい機能を持っています。

f:id:freedomlife:20140424222601j:plain

photo credit: Dave Dugdale via photopin cc

セキュリティの穴ってなあに?

でも、そもそもセキュリティの穴って何でしょうか。靴下の穴やパンツの穴はたまに見るものの、セキュリティの穴なんか見たことないですよね。いったいどこにあいているんでしょうか。

セキュリティの穴のことをセキュリティホールと呼びます。「なんだ、セキュリティホールのことかよ」「あ、すみません」

セキュリティホール(security hole)とは、ソフトウェアの設計ミスやバグ、つまりプログラムミスなどによって生じるシステムにおけるセキュリティ上の脆弱点をいいます。

最近のコンピュータの多くは、常時インターネットに接続されていますよね。サーバなんかは特にですが。ということは、常に誰かがアクセスできる状態にあることが少なくないわけです。

このため、不正に侵入されないように、ファイアウォールやセキュリティソフトでガードしているわけですが、本来は想定しなっかったような設計ミスで、それを許してしまうことがあるんですね。つまり穴があいてる状態なわけです。これがセキュリティホールであり、セキュリティの穴です。

この穴、何とかふさがなければなりませんよね。だって、不正侵入をされたら、重要な情報が漏洩してしまうかもしれませんものね。

そこで登場するパッチ

穴はふさいでおかなければならないわけですが、これをパッチプログラムなどと呼びます。パッチ(patch)とは、パッチワークのパッチをイメージしていただければと思います。穴を補修するためのあて布やつぎあてのことです。

実際には、完成したプログラムやシステムの一部分を修正することを意味します。パッチは差分などと呼ばれることもあります。

昨今、WindowsXPのサポートが終了したことから、今後WindowsXPを使い続けると危ないことになりますっていわれていますよね。Windowsもまた、人の手で作られたものですから、時にセキュリティホールが見つかることがあります。

でも、即座にマイクロソフト社がパッチプログラムを用意してこれを配布しているんです。また、Windowsはこれを読み込んでセキュリティホールを閉じることを自動でやっているんですね。このため、開いた穴もすぐに閉じられるので、比較的安全な状態を保つことができたわけです。

ところが、サポート期間が過ぎてしまうと、この対応をしてくれなくなってしまうんです。すると、どうなるかというと、発覚した穴はそのまま開き続けることになります。

「小さな穴なら問題ないんじゃない?」

とまあ、そう思われるかもしれません。でも結構危険です。なぜなら、穴が開いたPCやサーバを見つけるためのプログラムって、セキュリティホールにもよりますが、比較的簡単に書けるんです。で、これをネット上に巡回させれば、数多くの該当PCやサーバを見つけることができます。

さてさて。次にこのPCやサーバを攻撃するためのプログラムを作ります。するとあら不思議。面白いほどに、情報を抜き出すことができてしまうこともあるんです。ですから、セキュリティホールは、パッチによって極力ふさいでおく必要があるわけです。

でも、たとえばパッチプログラムの開発が遅れたり、サポート終了で配布されなくなったらどうでしょう。セキュリティホールはずっと開きっぱなしということになりますよね。これ、怖いです。そこで登場するのが、仮想パッチです。

仮想パッチは普通のパッチと違うわけ?

サポート期限切れのOSの場合は、開きっぱなしなんで致命的なんですが、サポート期間中のOSであったとしても、開発元がセキュリティホールの発覚を確認し、対応パッチを作って配布するまでは、そこそこの時間がかかるものです。

すると、その間は穴が開いた状態にあるわけで、結構危険ですよね。パンツの穴から、ずっと中が見えてしまうわけですから。

そこで考えられたのが仮想パッチの概念です。仮想パッチは、不正侵入を試みるプログラムやその攻撃手法を、あらかじめ想定して判断することで侵入を防ぎます。もともと穴は開いているわけですが、その穴に入り込もうとする輩を、ある程度の攻撃パターンから判断し、それを阻止する機能です。つまり既知ではなく未知の攻撃を防御する、とってもお利口な機能なわけです。

ちなみに仮想パッチは、高価なファイアウォールのUTM(Unified Threat Management:統合脅威管理)やIPS(Intrusion Prevention System:侵入防止システム)などに実装される場合もあります。また、最近では個々のセキュリティにもこの概念や機能を実装しようとする試みが始まりつつあります。

ただし仮想パッチは、あくまでも未知の相手を判断するにすぎず、穴を閉じる機能はありません。また、攻撃の誤認識のリスクもあります。最近の仮想パッチは、とても高度な機能を有しますが、やはりパンツの穴は塞いでおく必要があるわけです。