TMG仮想パッチ

皆様こんにちは

セキュリティチームです。
本日は、Forefront Threat Management Gateway (TMG) の仮想パッチという機能についてお話を致します。

TMGは、ISA 2006 の後継製品で、ISA 2006の機能を踏襲しつつも、新機能を実装することで、よりUTM化を推し進めた製品になります。
本日のお話である仮想パッチは、一般的に言うところの、IPS の機能です。

企業環境の場合、セキュリティ更新プログラムの適用までのリードタイムが非常に危険な時間帯と言えますが、常時稼動を必須とされるようなサーバー等、現実的には、即座にセキュリティ更新プログラムを適用する事は難しい状態となっています。また、ミッションクリティカルなシステム全般に言える事ですが、適用すべきセキュリティ更新プログラムの選定、検証、展開等のプロセスを経て適用が行われる以上、適用までの時間を短縮するには限界が出てしまいます。

こういった時に、TMGの仮想パッチ機能が役に立ちます。

TMGの仮想パッチ機能では、脆弱性を狙った攻撃に対する定義ファイルを随時更新しておくことで、攻撃ペイロードを含む通信自体を切断する事で、セキュリティ更新プログラムが、サーバーやクライアントに適用されていない状態でも、攻撃を食らうリスクを低減する事ができます。

下記がTMG仮想パッチ機能の実際の画面ですが、ご覧の通り、TMGの仮想パッチ機能では、定義ファイルとセキュリティ更新プログラムの型番が紐づいて提供されますので、どの型番を狙った攻撃に対応しているかが一目で分かるようになっています。

パケットをドロップし、通信自体を切断することもできますし、「検出のみ」を行うこともできます。
この手の機能は、導入する際に懸念となるのが、誤検出によって正常な業務の通信まで止めてしまうことですが、「検出のみ」にしていると、攻撃の検出やログへの記録は行いますが、通信自体は止めずに通してしまう運用が可能になりますので、検証にも最適です。

このTMGを、守りたいサーバーの前に置くだけで、バックエンドのサーバーにセキュリティ更新プログラムが適用されていなくても、攻撃をうけるリスクを低減する事ができますので、ご興味のある方は、評価版を使って、是非お試しください！

TMG評価版
http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx

TMG Technet
http://technet.microsoft.com/ja-jp/library/ff355324.aspx