“最新”セキュリティソリューションにひと泡吹かせる、“枯れた”Webフィルタリング技術でサイバー攻撃を防ぐオドロキの方法～アルプスシステムインテグレーション（ALSI ）

　Webフィルタリングとは、Webサイトの URL をデータベース化して、カテゴライズとスコアリングを行うことで、子供が危険なサイトにアクセスするのを防いだり、従業員が業務上必要のないサイトを閲覧することを制限する技術である。

　児童生徒がネットの危険に遭遇することを回避したり、仕事の業務効率を上げるための定番となった、ある意味「枯れた」セキュリティ対策と言えるだろう。

　正直この Webフィルタリングが、近年高度化・複雑化が進行する、いわゆる高度なサイバー攻撃に対して、基礎対策としてはともかくも、直接有効と思える理由は、ひとつたりとも浮かんで来ない。たとえば、高度なサイバー攻撃で使われる C&C サーバは数時間ごとに所在を変える。およそフィルタリングには手にあまる相手にしか思えない。

　高度なサイバー攻撃に対しては近年、Sandboxを嚆矢として、SOC の構築やアウトソーシング、SIEM を設置したトラフィック解析、UBA によるユーザー挙動分析、デセプション製品によるニセクレデンシャル情報散布、人工知能や Threat Intelligenceの活用、被害発生後のための CSIRT 設立、サイバー保険の利用等々、実にさまざまなアプローチが行われている。

　そんな先端製品や技術がしのぎを削る状況のもとで、20年以上前に誕生した「枯れた」セキュリティ対策技術を用いて、最新のサイバー脅威に対抗する。そんな難問に挑んだのがアルプスシステムインテグレーション株式会社（以下 ALSI ）だ。2017 年末に公開された同社旗艦ソリューション InterSafe WebFilter Ver. 9.0 は、サイバー攻撃対策を高らかに謳う。

　何をどうやって Webフィルタリングで高度なサイバー攻撃対策を実現するのか、それ以前に、そもそもそんなことが可能なのか。真偽を取材した。

　ALSI は 1996 年、日本で初めて Webフィルタリング事業を開始した。最初は海外製品の国内販売を行っていたが、単なるリセラーだったかというと決してそうではなく、海外製品の日本語化はもちろん、その製品が当時カバーしていなかった日本語圏の Webサイトの URL データベース、いわば製品の心臓部となる DB をすべて ALSI が独自に収集・分類していた。

　やがて ALSI は、日本市場のニーズに対応するため、西暦 2000 年に自社開発製品「InterSafe」をリリースする。記念すべき法人向け国産 Webフィルタリングソフト第一号の誕生である。

　翌 2001 年にはトレンドマイクロ株式会社と共同で、URL を収集しデータベース化を行うため、ネットスター株式会社を立ち上げる（ 2013 年 ALSI が完全子会社化）。Webフィルタリングの DB 作成のために専業会社を設立する試みは、国内では前後に例がないが、それもそのはず、ALSI の Webフィルタリング事業立ち上げメンバーが当時掲げていた目標は、「地球上のすべての Webサイトのデータベース化」だった。ALSI は Google が設立される 2 年前に、後の Google が抱いたのと同じ野望を抱いた。当時 Web サイトの数自体がまだまだ少なかったということを加味しても、野心的目標であるといえる。

　確かに、良いサイトも悪いサイトも、存在する Web すべてをデータベース化できたなら、完璧なコントロールが実現することは間違いない。しかしそれはあくまで理論上の話である。まるで神話のような、SF のようなこのワイルドな夢を、その後 ALSI は 20 年以上にわたって追い続けていく。

　InterSafe ブランドはその後、「違法サイト遮断」「掲示板書き込み規制」「個人情報漏えい防止」など、それぞれの時代ごとに移り変わる脅威とセキュリティ管理需要の変遷に、Webフィルタリングの特性を活かして応え続ける。

　やがて事業開始から 16 年。2012 年 7 月に販売開始した Ver. 8.0 は、網羅率 98 ％というデータベース精度を達成する。ただしこれは「InterSafe WebFilter ユーザー企業のイントラネットからアクセスが試みられた外部通信のうち 98 ％」という意味だ。

　「地球上のすべて」という野望にはほど遠いが、社員がアクセスしないサイトは管理上存在しないことと同義であり、アクセス先 URL の網羅率こそが対策上有為であるという現実的仕様といえる。

　そして Ver. 8.0 のリリースから約 5 年半の年月を経て 2017 年 11 月に発表された InterSafe WebFilter Ver. 9.0 は、アクセス可否の判定や URL の再分類を行う「高度分類クラウド IWCC（ Intelligent Web Classifier Cloud ）」機能を追加、高度なサイバー攻撃への対策用途を本格的に前面に打ち出した。

　InterSafe WebFilter ユーザー企業のインターネット利用において 100 件の通信先があった場合（ 100 件のアクセスではなく 100 件の通信先の種類）、98件（ 98％）の通信先は InterSafe WebFilter の DBに網羅済である。

　DBで判定できなかった未知の 2 件（ 2％）の通信先は、アクセスが微少なニッチサイトや、一時的に開設される悪性サイトなどの情報を収集更新する、クラウド上の第2のデータベース「高度分類クラウド（ IWCC ）」によって再分類される。

　この 2 段階の判定でも該当しない場合に限り InterSafe WebFilter Ver. 9.0 は、通信しようとしているユーザーに対して警告を表示したり、「接続」ボタン押下やパスワード入力の要請、あるいは接続ブロックなど、要はリスクが潜在する可能性のある通信をすべて管理下に置くことができる。冒頭で挙げた短いサイクルで所在を変えるような C&C サーバは、こうして管理下に置かれる。

　また、InterSafe WebFilter は、ブラウザによる Web アクセスだけでなく、イントラネットから発する全ての HTTP／HTTPS 通信の精査を行うため、マルウェアが試みる正規を装った外部への通信もその対象となる。未知の接続先と通信を行うのは人間だけではない。マルウェアは「接続」ボタンを押下したり、パスワード入力を行うことは当然できないため、高度なサイバー攻撃のほとんどで行われる C&C サーバへの通信を遮断することができる。

　さて、ここまで読んできた ScanNetSecurity 読者は、要は Ver. 9.0 の手法は例の「アレ」ではないかとお気づきのことだろう。

　アレとは、つまりアレ、「ホワイトリスト」のことだ。

　実は取材時に ALSI 担当氏は「『ホワイトリスト』という言葉には、一朝一夕には拭い去ることが難しい、ある一定の『アレ』なイメージがあり、もし記事でホワイトリストという言葉を使ったら、読者に『アレ』な誤解を与えはしまいか」という懸念を編集部に語ったことを、ここで告白しておく（担当氏の言葉は本稿執筆時若干脚色を加えた）。

　なぜホワイトリストと見られることを ALSI は恐れるのか。言うまでもない。要はホワイトリストと聞くやいなや、セキュリティで実務経験を持つ人であればあるほど、さまざまな懸念や不安が浮かんでくるからに他ならない。

　その懸念とは大きく次のふたつである。ひとつはホワイトリストに記載がない通信を止めてしまうことによってユーザーの自由度を下げること（これによりクレームが発生）。ふたつめはホワイトリストのメンテナンスを行う管理者負荷の高さ（これにより作業が増大）である。

　「信頼できる相手先とだけ通信を行う」これだけ聞けば理想郷のようなコンセプトだが、実際にその理想郷を運用して出会うのは、ユーザーからのクレームと管理負荷増というディストピアだったというアレな結末がこれまで決して少なくなかった。そのため、学校や研究施設、あるいは制御系や工場など、ホワイトリストによるセキュリティ管理は、相手と場所を大いに選んできたのが実状だった。

　ALSI の営業担当者が客先で Ver. 9.0 の機能を紹介すると、ほぼ必ずこのふたつに対する懸念と心理的抵抗に出くわすという。要は極端に言えば、おまえはユートピアを語りディストピアへ導く輩（やから）ではないのか、ということだ。

　では果たして Ver. 9.0 にこのふたつの懸念は当たっているのか。

　検証してみよう。

　まず運用管理の負荷については、たとえば初期の WAF のように、ホワイトリストを自分で書いたりメンテする必要はそもそもなく、データベースは ALSI のサーバから配信される。したがって、第一の懸念は Ver. 9.0 に関してはあてはまらないだろう。

　次にユーザーの自由度だが、データベースの網羅率が 98 ％とそもそも高く、加えて IWCC による再評価のシステムもあるため、100 件通信先があった場合「接続」ボタンの押下やパスワード入力を求められる通信の理論上の平均値は 1 件以下となる（「100回のWebアクセスのうち1件以下」ではなく、「100種類の通信先のうち1件以下」の意）。この数字を業務効率低下や管理負荷の影響因子として、多いと思うのか少ないと思うのかは、究極的には当該企業が個人情報や知的財産を窃取されるリスクとのトレードオフをどう考えるかという問題になるだろう。

　サイバー攻撃の手法は多様であり、遠隔からマルウェア感染させ、横展開や探索を行わせて、目当てを見つけたマルウェアが C&C と通信するタイプの攻撃ばかりではもちろん無い。しかし、この InterSafe WebFilter Ver. 9.0 のホワイトリストによる管理であれば、標的型攻撃メールに記載された URL をうっかりクリックして知らずに感染したり、感染後にマルウェアが行う未知の通信を規制することで、情報の窃取を防ぐ一定の効果が見込めるだろう。

　最後の重要なポイントは、この Ver. 9.0 の機能が InterSafe WebFilter に標準搭載されており、追加コストをかけずに利用できることだ。

　Webフィルタリングという枯れた既存のセキュリティ対策技術、いわば「ローテク」を創意工夫することから生まれた Ver. 9.0 は、Sandbox や SIEM を設置し、集めたデータをアナリストが SOC で Threat Intelligence の情報とつきあわせて監視・分析するような、いわゆる「ロールスロイスやフェラーリ的な投資」とは、目的は同じだが費用面で真逆だ。近年、ハイテク化と投資額増大のハイウェイを爆走するかに見えるセキュリティ対策市場の流れに一石を投じる意味を持つだろう。