Ciscoがウィルス対策ソフトに戦いを挑み始めてる

2010/3/25-2

先日プレスイベントに呼んで頂いたCiscoさんが提唱し始めた「ボーダレスネットワーク」構想の一部として3月3日に発表されたAnyConnectは、ウィルス対策ソフトの世界を変えようとしているのかも知れないと感じました。この構想が普及すると、ウィルス対策ソフトは必要なくなってしまうかも知れません。

「ボーダレスネットワーク」という構想が理解しにくい概念であることや、アーキテクチャ全体を導入する実際のコストがまだ良くわからないので、AnyConnectが急激に普及するという状況はあまり想像できませんが、設計思想や全体的なビジョンは非常に面白いと思いました。

AnyConnectの仕組み

AnyConnectの仕組みは非常に単純です。「全ての通信をVPN経由で行う」というだけの仕組みです。この仕組みは「Always-On」と呼ばれているようです。

AnyConnectそのものの仕組みは非常に単純なのですが、「何故それをするか？」の部分が非常に面白みがあると思いました。 VPNで接続する先の「ネットワーク」が、常にクリーンで検疫されたネットワークであれば、ウィルス対策ソフトがいらなくなるという思想です。

ウィルスやマルウェアやワームを全てシャットアウトできるネットワークがあって、そのネットワーク経由でしか通信が出来ないPCがあれば、そのPCにネットワーク経由でウィルスが入り込む事は無いというものです。

この仕組みの巧みなところは、「常にVPNに繋がり続ける」という機能がユーザ端末にかける負荷が非常に小さいことと、実装が容易であることです。これらの特徴があるので、PC以外のポータブル端末への実装も容易に可能となります。

一方で、ウィルス対策ソフトは、ウィルスなどのパターンとのマッチを計算する作業をユーザ端末に求めるので負荷が高くなりがちですし、パターンファイル更新のためにファイルダウンロードが必要になりがちです。

「VPNに繋がり続ける」という単純な仕組みだけで、ポータブル機器とPCを同等に扱いつつセキュリティを確保しようという発想は面白いと思いました。

クラウド化するウィルス対策ソフト

AnyConnectの方向性が何故生まれてくるのかを理解するには、ユーザ側のPC等で動作するウィルス対策ソフトの現状を知る必要があります。

昨今、各種ウィルス対策ソフトベンダが「クラウド」を活用したウィルス対策ソフトを発表しています。詳細はあまり公表されていませんが、fingerprintをDNS queryとして送信して、ウィルスであるかないかの結果を受け取るというシステムを「クラウド」と言っていることが多い気がしています。このような「クラウド」システムのなかには、未知のfingerprintを持つ実行ファイルを自動的にウィルス対策ソフトベンダに送信して、ベンダが提供している巨大な自動解析システムで解析されてから判定結果を受け取るというものもあります。

このようなクラウドシステムへとウィルス対策ソフトベンダが移行しようとする理由は非常に簡単です。「もう無理だから」です。ウィルス対策ソフトを騙すための手法も年々巧妙になってきており、変種や亜種がやたらと増えてしまい、ウィルスやマルウェアの種類が爆発的に増加しているので、ユーザの手元で全部計算しきるのが限界に近づきつつあります。

もはや、非力なデバイスでは十分なウィルス対策を実施するのは難しくなりつつあるのかも知れません。そういった経緯や、「クラウド」というバズワードの流行も手伝って、ウィルス対策もネット側に移りつつあるのかも知れません。

そのような状況の中で、「だったらユーザの手元では何もしないで、ネット側で全てをクリーンにしようよ！」という割り切りに出たのがAnyConnectだと感じました。

AnyConnect方式の課題

しかし、AnyConnect方式が完璧というわけでは恐らくありません。

AnyConnectは全ての通信を検疫機能付きネットワーク経由に変更しますが、 AnyConnectを行ったとしても、PCにローカルなネットワークでのIPアドレスがついていることに変わりはないので、ポートスキャン等を行って来るワーム経由で感染する可能性は残されています。これに対抗するには、AnyConnectで接続する先で取得出来るVPN内のIPアドレス以外は全てパーソナルファイアウォール等のローカルPC内ファイアウォールでブロックする必要があります。

また、手元のファイル経由での感染や、既に感染しているPCからウィルスを除去できるわけでも無いという点にも注意が必要だろうと思います。

一番大きな課題は、常時VPN接続になることによる通信速度の低下かも知れません。インターネット接続性を確保する場所と、VPNを経由して「外部ネットワーク」に出る場所が離れていると、余計な経路をパケットが通過するため、通信速度が低下します。 Webやメールなど、インターネット上の多くの通信はTCPを利用して行われますが、RTT(Round Trip Time)の低下による性能低下は顕著です。特に、大きなファイルのダウンロードなどが大きな影響を受けます。

ただし、日本だけのネット環境を見た場合、いまやFTTH回線がADSL回線数を超え、一般家庭もブロードバンド化したので、RTT増加問題は何とかなるレベルなのかも知れません。日本は国土が狭く、ユーザが密集しているというのもRTTを小さくする要因としてありそうです。なお、日本国内で使う分にはいいのですが、海外出張のときには苦労しそうだと思います。

ウィルス対策ソフトメーカーはパターン提供ベンダーに変化するか？

AnyConnectのような仕組みが普及した場合、ウィルス対策ソフトのマーケットが縮小するのではないかと妄想しています。そうするとウィルス対策ソフトの売り上げは減少しそうです。

しかし、だからといってウィルス対策ソフトベンダが絶滅するわけでも無いとは思います。個人的には、AnyConnectのような仕組みが普及したとしても、恐らく、ウィルス対策ベンダは必要な存在として残り続ける気がしています。その生き残りの道ですが、恐らく、ウィルス解析やパターンデータを提供する形になるのではないかと妄想しています。

常に最新の攻撃手法を解析し、新ウィルスの発生を発見しつつ解析して、パターンファイルの作成し続けることは専門家でなければ行えません。既存のウィルス対策ベンダは、今までのようにウィルス対策ソフト販売という形で直接的にユーザと接するのではなく、ネット側でウィルス検疫を行う機器に新鮮なパターンデータを提供し続ける形で、間接的にユーザと接するようになるのではないかという妄想です。

さらに、パターンデータ提供の手法として、ユーザ数に応じたライセンスを販売する方式であれば、ウィルス対策ソフト販売数が今と比べて激減しても収益は減らないかも知れません。むしろ、そうなって収益が減るのは膨大な数のウィルス対策ソフトユーザに最新のパターンファイルを配布することを請け負っている、某AkamaiなどのCDN事業者かも知れません。

ネットのインテリジェンス向上とDPIとネット検閲

AnyConnectそのものの仕組みは単なる常時接続VPNですが、これを有効なものにするためには、「ネット側」のインテリジェンスが高くなければなりません。言い換えると、通信路側でウィルスやマルウェアを検知して駆除するという仕組みがパッチリ動かない限りは、AnyConnectは無駄なシステムとなってしまいます。

「ネット側」が十分にウィルス駆除をするには、ファイアウォールなどの性能向上が常に求められますが、それが商業的に成り立つということは、DPI(Deep Packet Inspection)に関する研究が劇的に進む事も意味します。

たとえば、HTTPの中身が「何であるか？」を明確に知る必要があります。 RSA Conference 2010にて、Ciscoセキュリティテクノロジ担当Vice President兼General ManagerのTom Gillis氏は「HTTP is the new TCP」と述べています。もう既にHTTPが色々なものを運ぶための基本的な通信路そのものであるという認識です。これを実現するためには、転送されるIPパケットがTCPであるということだけではなく、一連のセッションがHTTPであり、そのHTTPセッションが運んでいるデータの内容までを深く調べなければなりません。まさにDPIです。

DPIそのものは、単に「通信内容を明確に判別する」というものですが、これが非常に安価に行えるようになるということは、ネット検閲が簡単に行えるようになるという負の側面もあります。現時点では、ネット検閲システムを大規模に実装するのはコストがかかりますが、それが非常に安価に行えて、しかも正確になるということは、技術的な裏付けを持ったうえで各種ネット検閲方式や法案を提案しやすくなることを意味します。

ネットのインテリジェンス向上への流れは、今後一層加速すると妄想していますが、その副作用が数年もしくは10年後ぐらいに出現しはじめるのかも知れません。

最後に

現時点では、AnyConnectのような仕組みによってウィルス対策ソフトが必要なくなると言い切ることはできません。 AnyConnectそのものの発売は今年の2Qと言われているので、発売されてみないとどれだけ普及するのかは不明です。結局は構想だけで鳴かず飛ばすの可能性も大いにあり得ます。

大企業がうちだす「ビジョン」というものは、自社に有利な世界を設定するものです。「ボーダーレスネットワーク」というビジョンも例外ではなく、これに含まれる一連のセキュリティやアーキテクチャ(ソリューションとは言わないらしい)は、強烈な囲い込み戦略です。 AnyConnectを使うためにCisco ASAとCisco IronPortが必要と言ってますし。そのため、ボーダレスネットワークというビジョンが成功するかどうかは、囲い込みがどこまで出来るかの勝負でもありそうです。

なお、Secure Borderless Networks構想全体という視点から見れば、認証の方式や、認証システム全体がシームレスにAnyConnect以外の仕組みでも応用可能である点が重要なのだろうと思うのですが、ちょっと焦点がブレてしまうので、ここでは割愛します。

ウィルスやマルウェアの勢いは増しており、ウィルス対策ソフトが旧来の手法だけでは追いつけなくなっているという現状は依然として存在しています。そのため、この記事で紹介しているCiscoのビジョンであるかないかに関わらず、今後はウィルス対策のための仕組みが「ネット側」に実装されて行くというトレンドは止めようがないのかもと妄想している今日この頃です。