 |
IPSアプライアンスカタログ2005[前編]
セキュリティの次の一手となる不正侵入防御システム
岡田大助@IT編集部
2005/6/24
 |
IntruShield(マカフィー) |
マカフィーといえばウイルス対策ベンダとして名を成しているが、実はIPSアプライアンスのトップシェアをISSと争っている。「IntruShield」は、もともとIntruVertというベンチャー企業が開発したIPSアプライアンスで、マカフィーは同社を2003年4月に買収した。
IntruVertの創業は2000年10月であり、不正侵入対策機器ベンダとしては後発だ。しかし、創業当初から優れたIPSを生み出すことを目標としており、今後重要になるだろうと予測されていたアノーマリ分析技術を徹底して開発した。目指したのは「不正なパケットを特定し、不正なものだけをドロップすること」。IDSが持つ「誤検知の多さ」の解消だった。
アプライアンスそのものの完成度は非常に高く、製品リリースから2年程度で米国の政府機関や金融機関に導入された。最近になってようやくバージョン2.1がリリースされたが、長い間バージョン1.8でも十分な性能をもって市場に受け入れられていたことからも基本設計の高さがうかがえる。
IntruShieldはインラインモードで運用することを念頭に設計された(IDSとしてパッシブでも運用できる)。ネットワークの遅延を限りなく少なくすることが求められるため、ASICベースで開発され高速なスループットを実現している。IDSを運用してきた多くのセキュリティ(ネットワーク)管理者は、インラインでの設置に抵抗を感じるだろう。しかし、同社によれば導入企業の8〜9割でインラインでの運用を行っているという。IntruShieldのスループットは100Mbpsから最大2Gbpsである。
●不正なものだけをドロップするマカフィー
検知技術は、シグネチャによるパターンマッチングと3種類のアノーマリ分析(統計異常、プロトコル異常、アプリケーション異常)、ステートフルトラフィック検査などを組み合わせている。アノーマリ分析にしても、単純なしきい値を使ったものではなく、攻撃が対象としているものは何かという要素を加えた判断を行っている。余計なチェックを発生させることは間違った判断を下す確率を上げてしまうことになり、IntruShieldが目指す「不正なものだけをドロップ」という理想から外れてしまうからだ。
この思想を実現するのがVIDS/VIPS(Virtual IDS/IPS)技術だ。これは1台のIntruShieldセンサで複数の防御対象を切り分けて検知・防御を行うもの。具体的には1つのポートに対してVLANごとやCIDR(Classless Inter-Domain Routing)ごとにあらかじめ用意したルールセットやポリシーを適用できる。このため、UNIXだけで構成されたサーバセグメントに対するWindowsの脆弱性を突いた攻撃や、Windowsクライアントしか存在しない営業部のLANに対するWindows以外への攻撃を誤検出することがなくなる。
IDSでこのような検知をする場合、セグメントごとに機器を設置する必要があったが、VIDS/VIPSを利用することで機器数を大幅に削減できる。同社によれば、225台のIDSを34台のIPSに収れんできた事例があるという。機器数が削減できれば、管理者の運用コストも下げることができ、セキュリティに関する費用対効果(ROSI)が向上する。
ルールセットについては、IntruShieldの設置場所やサーバアプリケーション、OSごとにテンプレートとなるルールセットが準備されている。特にバージョン2.1から提供されるRFB(Recommended For Blocking)は、240種以上のビジネスインパクトの大きい攻撃をブロックする基本セットとして、管理者に深い知識を要求することなく効果的なIPS運用を手助けする推奨設定となっている。
このほか、2.1の新機能として出色なのは、SSL(HTTPS)通信上の攻撃検知と防御技術だろう。SSLで暗号化されることにより通信の機密性は向上したが、攻撃そのものが暗号化されていた場合に従来のIDSでは検知できなかった。IntruShieldでは、Webサーバやアプリケーションが生成するプライベートキーを事前にインポートしておくことで、SSL通信の復号を行い、攻撃を検知する。
管理ツールとして、「IntruShield Manager」が提供される。攻撃の結果(成功、成否不明、影響なし、偵察攻撃などの予兆、ドロップ)に分類してリアルタイムに表示するほか、DoSのような短時間に関連する攻撃が続く場合は一定時間リスニングを行い、集約して表示することも可能だ。
マカフィーにはAVERTというウイルス研究機関が存在するが、IntruVert買収によって同社のスタッフもAVERTに合流し不正侵入に関する研究も行っている。マカフィーでは2004年8月にFoundstoneという脆弱性管理技術を持つ企業を買収した。当然、Foundstoneに所属していた研究者もAVERTと共同研究することとなり、シグネチャやアノーマリ分析の精度が向上することが予想される。ちなみにAVERTを中心とする合併シナジー効果はすでに現れており、マカフィーの企業向けウイルス対策ソフト「VirusScan Enterprise 8.0i」の「i」はIPSの「I」を意味している。
| I-4010 | I-4000 | I-3000 | I-2700 | I-1400 | I-1200 | |
|---|---|---|---|---|---|---|
| 価格 | 1390万円 |
1150万円 |
815万円 |
590万円 |
198万円 |
132万円 |
性能
|
||||||
| スループット | 2Gbps |
2Gbps |
1Gbps |
600Mbps |
200Mbps |
100Mbps |
| 同時セッション数 | 1,000,000 |
1,000,000 |
500,000 |
250,000 |
80,000 |
40,000 |
| 監視セグメント数 (VIDS/VIPS) |
1000 |
1000 |
1000 |
100 |
32 |
16 |
| 監視用ポート数 | ||||||
| Gigabit Ethernet | 12 |
4 |
12 |
2 |
- |
- |
| 10/100 BASE-T | - |
- |
- |
6 |
4 |
2 |
| サイズ | ||||||
| 筐体 | 2U |
2U |
2U |
2U |
1U |
1U |
 |
| 写真はI-4010 |
次回は、DefensePro(日本ラドウェア)、Symantec Network Security 7100(シマンテック)などを取り上げる予定だ。
 |
3/3 |
| Index | |
| セキュリティの次の一手となる不正侵入防御システム | |
| Page1 IDSの限界 IPS選定のポイント |
|
| Page2 Proventia G(ISS) |
|
 |
Page3 IntruShield(マカフィー) |
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
