Q. 武蔵大学が、ネットワークウイルス対策に本格的に取り組むようになった経緯は何でしょうか。

2003年にブラスターワームが学内に蔓延したことが直接のきっかけですね。学外でブラスターに感染したPCが、その後、学内ネットワークにつながれてしまい、しかもその日は休日だったので、ブラスターが一日かけて、学内に蔓延する結果となってしまいました。この事故を契機に、セキュリティ体制の刷新が必要視されてきました。

Q. ブラスター以前はどのようなセキュリティ対策を取っていたのでしょうか。

それ以前も、Snortなどにより自前のシステムを組んだりして、ネットワークを監視していましたが、ブラスターの一件で、やはりそうした体制には限界があることを悟らされました。その後の方針として、まずセキュリティの「ポリシー」を策定し、次いで、セキュリティ「システム」を構築し、その二つを車の両輪として運営していこうと考えました。今回のCounterACT導入は、その「システム」の整備の一環です。

Q. ワーム対策のシステム整備はどのような手順で進めたのでしょうか。

最初は、CounterACTのようなワーム対応の製品ではなく、本格的な検疫システムの導入を考えていました（※）。しかしシステム会社の説明を聞くうち、これはちょっと無理があるなと思えてきました。

Q. どのような点が無理に思えたのでしょうか。

検疫システムの場合、「シグネチャのメンテナンスが必要」であり、かつ｢各クライアントにエージェントをインストールしなければならない｣とのことでした。それは話が重すぎる。特にエージェントのインストールが必要という仕様は大学のネットワーク運用ポリシーには合いません。

Q. 大学の運用ポリシーとはどのように合わないのでしょうか？

これが企業ネットワークであれば、私物PCは持ち込み禁止、社内ネットワークへの接続も厳禁という運用も可能でしょうが、大学のネットワークの場合、「研究」が使用目的なので、先生の私物PC（＝研究用PC）の接続を禁ずるわけにはいきません。つまり、大学ネットワークにはどんなPCもつながりえます。したがって、全てのクライアントにエージェントのインストールを強要することは無理なのです。

Q. その後、CounterACTを検討するに至った経緯はどのような？

Q. 動作原理については、どのような説明があったのでしょうか。

この製品の、ネットワークウイルス（あるいは不正攻撃者、不正プログラム）の検出原理は以下のようなものであるとのことでした。

1. 1.ポートスキャンなどの「非常に怪しい動き」を検出した場合、警戒レベルを一段上げる。
2. 2.その上で、その発信者に向けて、「偽の返答」を返してみる。
3. 3.その「偽の返答」に、もし反応してきたなら、その段階で「発信者」を「悪質攻撃者（または、ネットワークウイルス）」と見なし、通信を遮断する

ざっと、上記のような説明でした。この説明を聞いて、なるほどこの動作原理は以下のような喩えで理解すればいいのかなと思いました。 通常の検疫システムは、空港の入国管理所のようなものである。

1. 1.入国管理所は警察の発行した指名手配書（これがシグネチャ）を全部持っている。
2. 2.これと入国希望者のパスポートを突き合わせてチェックする。

この手法は、確実かもしれないが、手間もかかるし高価でもある。だがベテランの税関は

1. 1.不審者をまず挙動で見分ける。
2. 2.グレーな不審者に対しては、「カマ」をかけたりして、シロかクロかを判定できる。

この手法の場合、手配書が回ってきていない犯罪者（これが未知の脅威）にも対応できる。

こう考えると確かに、シグネチャ無しでも誤認は出にくそうです。HoneyPotの原理に似ていますが、HoneyPotは解析するだけで防御は行わない。一方CounterACTは、偽の返答をして、攻撃者をつかまえにいくわけで、これは新しいやり方だと思いました。その他、ネットワーク負荷を与えない仕様になっているのも良いと思いました。

Q. それはどのような仕様だったのでしょうか。

送受信の間に、インラインで割り込んで、直接に監視するのではなく、ミラーポートを流れるデータを検査する仕様だとのことで、なるほど、それならネットワークにも負荷がかからないと納得できました。

Q. 現在の使用感はいかがでしょうか。

使ってみてわかりましたが、さすがに誤認が「ゼロ」とはいかず、最初の頃は、不思議なアラートが何度が発生したことがあります。しかし学習機能がしっかりしているので、そうした問題は最初のうちだけで、最近はまったく発生していません。ということは「誤認ゼロ」という謳い文句は、トータルな意味では、正しいと見て良いだろうという印象を持っています。

Q. 運用面ではいかがでしょうか。

例のブラスターの一件以来、学内にネットワークウイルスが持ち込まれることもなく、その意味では、CounterACTが直接発動することもなく、月に一回レポートが飛んでくる以外は、いたって静かな運用です。しかし、この「静かで何も起きない」というのもCounterACTの仕様の優秀性だと思います。

Q. なぜそう思えるのでしょうか。

例えばSnortのようなIDS系の製品はレポートやアラームがガンガン飛んできます。そうした警告は、決して無用な情報とは言えませんが、あまりにもアラームの量が多いと、重要な情報が日常的なレポートに埋もれてしまい、本当の脅威を見逃すという事故が起きる可能性があります。それを思うと、本当の攻撃者が来たときだけ、アラームを発し、それ以外の時にはじっと黙っているというCounterACTの仕様は、なかなか良いやり方だと思います。

Q. CounterACTはなぜ静かなのでしょうか。

シグネチャがないからでしょうね。ウイルス対策ソフトなどを使っていると、すぐ気づくことですが、シグネチャが更新される度にレポートが来ます。シグネチャは頻繁に更新されるので、レポートも半端でない頻度でやってきます。CounterACTは、それが一切無いから静かなのでしょう。また、エージェント無しという仕様も非常に良いですね。

Q. やはり「エージェント無し」は重要なポイントでしょうか。

重要です。システム管理者にしてみれば、管理対象の数は少なければ少ないほど良いのです。このことを表すエピソードとして、こんな話を聞いたことがあります。ある有名なグループウエアにおいて、クライアント側ソフトのバージョンアップが必要になったので、システム管理者が一台一台、手作業でバージョンアップして回っていたところ、バージョンアップが完了した頃には、次のバージョンが出ていたという…。

Q. それはちょっと、笑うに笑えない話ですね。

特に大学の場合、先ほど述べたように、先生のPCをシステム管理者が管理することは事実上、不可能です。ですからエージェントレスというのは絶対の条件ですね。

Q. 今後のCounterACTに期待することなどお聞かせください。

CounterACTも、今後は、ワーム対策の機能の他に、検疫の機能もつくと聞きました。そうなると「検疫システムが、シグネチャレス、エージェントレスで組める」ということになり、当初は検疫システムの構築を狙っていた我々としてはまさに望むところです。

Q. 今後のソリトンに期待するのはどのようなことでしょうか

ソリトンの事は、TCP/IPスタックの時代からのユニークな技術の会社として認識していました。今回のCounterACTは、ForeScout社の製品ですが、今後も、自前の技術であるとないとに関わらず、技術の会社として選んだ「おもしろい製品」をいろいろ提案してほしいですね。私としては、ソリトンは非常にユニークな立場にあると思っていますので。

Q. どういう点がユニークに思えるのでしょうか。

例えば、外国からおもしろい商品を見つけてくるのが上手な会社というのはソリトンでなくてもいくつもあります。しかし、そういう会社の場合、製品の発掘力はあっても、技術がないので、導入する側としてはどうも不安なのです。一方、ソリトンは、今回のCounterACTのように、ユニークな動作原理を持つ製品を見つけてきて、しかもそれを実装する技術も備えており、これはユーザーとしては理想的です。今後も、ユニークな製品をどんどんご提案ください。楽しみにしております。