 |
IPSアプライアンスカタログ2005[前編]
セキュリティの次の一手となる不正侵入防御システム
岡田大助@IT編集部
2005/6/24
 |
Proventia G(ISS) |
「Proventia G」シリーズは、インターネットセキュリティシステムズ(ISS)のIPSアプライアンス。製品名はProtectとPreventを組み合わせた造語だ。ISS製品の特徴として、不正侵入防御エンジンであるPAM(Protocol Analysis Module)と、セキュリティ研究機関X-Forceの存在が挙げられる。
Proventia Gシリーズのラインアップは、100Mbpsから2Gbpsのスループットに対応している。実装方法には、Inline Preventionモード(IPS)、Passiveモード(IDS)、Inline Simulationモード(インラインで設置するIDS)の3種類が提供されている。IPSとしては1台で最大4セグメントまでを監視可能で、非対称ルーティングネットワークにも対応する。
インラインフェイルオーバーをサポートしているほか、冗長化されたネットワークにおいてProventia Gシリーズを並列に設置することで、万が一どちらかのネットワークがダウンしてもセッションフェイルオーバーされるオプションも用意されている。
●ネットワークの可用性を第一に考えるISS
ISSでは、IPSを単なるIDSの発展形ととらえておらず、必要に応じてProventia Aシリーズ(IDS)との併用も提案している。同社が提案するIPSの利用方法とは、セキュリティパッチをスムーズに導入しにくいサーバ群の前に設置しIPSを仮想的なパッチとして運用するもの(Virtual Patch)と、ネットワーク内部から外部あるいは内部から内部へのリスクの拡散防止だ。
どちらの考え方もネットワークの可用性を第一に考えている。業務の遂行にクリティカルなサーバの保護はセキュリティの課題の中でも上位に挙げられるが、パッチが提供されたからといって無条件にそれを適用するのは難しい。パッチを当てたことで業務に支障が生じてしまっては、何のためのパッチなのか分からなくなってしまうからだ。
そのため、ほとんどの企業ではパッチの適用によって何が起こるかを検証してから導入しているはずだが、その期間サーバをリスクにさらしたままでいいはずがない。そこで、Virtual PatchとしてIPSを利用するのが同社の戦略の1つとなっている。
いわゆる脆弱性シグネチャが、同社が誇る研究機関であるX-ForceからX-Press Updateという自動更新機能で提供される。従来のシグネチャ(攻撃シグネチャ)が特定の攻撃手法の特徴をパターンマッチして攻撃を検知するのに対して、脆弱性シグネチャは脆弱性を引き起こす要因そのものをベースに作られたものだ。そのため、同じ脆弱性を突く攻撃が、既知の手法とは異なる方法を利用してきたとしても攻撃を検知することが可能となる。
参考記事:IPSを実装する場所と考慮すべき点 |
また、X-Forceが蓄積したノウハウは、ユーザーのネットワーク環境に応じてカスタマイズされた検知・防御ポリシーの作成にも役立つだろう。同社の担当者も「単純な攻撃シグネチャにしても他社とは記述の仕方が異なっており、より精度の高い検知ができる」という。
攻撃の検出に用いられるPAMは、110種類以上のプロトコル上でのステートフルパケットインスペクションを実施する。また、攻撃コードのデコードやTCPリアセンブル、IPv6ネイティブトラフィック解析、ポートプローブ(偵察活動)検知などさまざまな検知手法を組み合わせて侵入を検知・防御する。
検知した攻撃は、ファイアウォールのルールを定義しトラフィックのアクセス制御やフィルタリングを行う「Firewall Rule」、攻撃パケット(UCP、ICMP、TCP)を1パケット単位でドロップする「Drop Packet」、攻撃を行っているTCPコネクションのすべてのパケットをドロップする「Drop Connection」、加えてResetパケットを送信しコネクションを切断する「Drop Connection with Reset」といった手段を用いて防御する。
さらに、これら防御手段と連携してファイアウォールのルールを動的に変更し、攻撃トラフィックを一定期間遮断する「Dynamic Blocking」という手法もある。この方法は、トロイの木馬やワームに効果的だ。
管理コンソールとしては、複数のISS製品を統合管理できる「SiteProtector」が提供されている。なお、400シリーズと2000シリーズのみWebベースのローカルマネジメントインターフェイスも用意されている。
| G2000 | G1200 | G400 | G200 | G100 | |
|---|---|---|---|---|---|
| 価格 | 1350万円 |
780万円 |
475万円 |
198万円 |
144万円 |
性能
|
|||||
| スループット | 2Gbps |
1.2Gbps |
400Mbps |
200Mbps |
100Mbps |
| 監視セグメント数 | 4 |
4 |
4 |
1 |
1 |
| 監視用ポート数 | |||||
| 10/100/1000 Copper | 8 |
8 |
8 |
2 |
- |
| 10/100 Copper | - |
- |
- |
- |
2 |
(G2000、G1200、G400シリーズにはGigabit Fiber対応バージョンあり) |
|||||
| サイズ | |||||
| 筐体 | 2U |
2U |
2U |
1U |
1U |
 |
| 写真はG2000 |
 |
2/3 |
|
| Index | |
| セキュリティの次の一手となる不正侵入防御システム | |
| Page1 IDSの限界 IPS選定のポイント |
|
 |
Page2 Proventia G(ISS) |
| Page3 IntruShield(マカフィー) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
