IPSアプライアンスカタログ2005[前編]

セキュリティの次の一手となる不正侵入防御システム

岡田大助
@IT編集部
2005/6/24

  IntruShield(マカフィー)

 マカフィーといえばウイルス対策ベンダとして名を成しているが、実はIPSアプライアンスのトップシェアをISSと争っている。「IntruShield」は、もともとIntruVertというベンチャー企業が開発したIPSアプライアンスで、マカフィーは同社を2003年4月に買収した。

 IntruVertの創業は2000年10月であり、不正侵入対策機器ベンダとしては後発だ。しかし、創業当初から優れたIPSを生み出すことを目標としており、今後重要になるだろうと予測されていたアノーマリ分析技術を徹底して開発した。目指したのは「不正なパケットを特定し、不正なものだけをドロップすること」。IDSが持つ「誤検知の多さ」の解消だった。

 アプライアンスそのものの完成度は非常に高く、製品リリースから2年程度で米国の政府機関や金融機関に導入された。最近になってようやくバージョン2.1がリリースされたが、長い間バージョン1.8でも十分な性能をもって市場に受け入れられていたことからも基本設計の高さがうかがえる。

 IntruShieldはインラインモードで運用することを念頭に設計された(IDSとしてパッシブでも運用できる)。ネットワークの遅延を限りなく少なくすることが求められるため、ASICベースで開発され高速なスループットを実現している。IDSを運用してきた多くのセキュリティ(ネットワーク)管理者は、インラインでの設置に抵抗を感じるだろう。しかし、同社によれば導入企業の8〜9割でインラインでの運用を行っているという。IntruShieldのスループットは100Mbpsから最大2Gbpsである。

●不正なものだけをドロップするマカフィー

 検知技術は、シグネチャによるパターンマッチングと3種類のアノーマリ分析(統計異常、プロトコル異常、アプリケーション異常)、ステートフルトラフィック検査などを組み合わせている。アノーマリ分析にしても、単純なしきい値を使ったものではなく、攻撃が対象としているものは何かという要素を加えた判断を行っている。余計なチェックを発生させることは間違った判断を下す確率を上げてしまうことになり、IntruShieldが目指す「不正なものだけをドロップ」という理想から外れてしまうからだ。

 この思想を実現するのがVIDS/VIPS(Virtual IDS/IPS)技術だ。これは1台のIntruShieldセンサで複数の防御対象を切り分けて検知・防御を行うもの。具体的には1つのポートに対してVLANごとやCIDR(Classless Inter-Domain Routing)ごとにあらかじめ用意したルールセットやポリシーを適用できる。このため、UNIXだけで構成されたサーバセグメントに対するWindowsの脆弱性を突いた攻撃や、Windowsクライアントしか存在しない営業部のLANに対するWindows以外への攻撃を誤検出することがなくなる。

 IDSでこのような検知をする場合、セグメントごとに機器を設置する必要があったが、VIDS/VIPSを利用することで機器数を大幅に削減できる。同社によれば、225台のIDSを34台のIPSに収れんできた事例があるという。機器数が削減できれば、管理者の運用コストも下げることができ、セキュリティに関する費用対効果(ROSI)が向上する。

 ルールセットについては、IntruShieldの設置場所やサーバアプリケーション、OSごとにテンプレートとなるルールセットが準備されている。特にバージョン2.1から提供されるRFB(Recommended For Blocking)は、240種以上のビジネスインパクトの大きい攻撃をブロックする基本セットとして、管理者に深い知識を要求することなく効果的なIPS運用を手助けする推奨設定となっている。

 このほか、2.1の新機能として出色なのは、SSL(HTTPS)通信上の攻撃検知と防御技術だろう。SSLで暗号化されることにより通信の機密性は向上したが、攻撃そのものが暗号化されていた場合に従来のIDSでは検知できなかった。IntruShieldでは、Webサーバやアプリケーションが生成するプライベートキーを事前にインポートしておくことで、SSL通信の復号を行い、攻撃を検知する。

 管理ツールとして、「IntruShield Manager」が提供される。攻撃の結果(成功、成否不明、影響なし、偵察攻撃などの予兆、ドロップ)に分類してリアルタイムに表示するほか、DoSのような短時間に関連する攻撃が続く場合は一定時間リスニングを行い、集約して表示することも可能だ。

 マカフィーにはAVERTというウイルス研究機関が存在するが、IntruVert買収によって同社のスタッフもAVERTに合流し不正侵入に関する研究も行っている。マカフィーでは2004年8月にFoundstoneという脆弱性管理技術を持つ企業を買収した。当然、Foundstoneに所属していた研究者もAVERTと共同研究することとなり、シグネチャやアノーマリ分析の精度が向上することが予想される。ちなみにAVERTを中心とする合併シナジー効果はすでに現れており、マカフィーの企業向けウイルス対策ソフト「VirusScan Enterprise 8.0i」の「i」はIPSの「I」を意味している。

  I-4010 I-4000 I-3000 I-2700 I-1400 I-1200
価格
1390万円
1150万円
815万円
590万円
198万円
132万円
性能
スループット
2Gbps
2Gbps
1Gbps
600Mbps
200Mbps
100Mbps
同時セッション数
1,000,000
1,000,000
500,000
250,000
80,000
40,000
監視セグメント数
(VIDS/VIPS)
1000
1000
1000
100
32
16
監視用ポート数
Gigabit Ethernet
12
4
12
2
-
-
10/100 BASE-T
-
-
-
6
4
2
サイズ
筐体
2U
2U
2U
2U
1U
1U

写真はI-4010

 次回は、DefensePro(日本ラドウェア)、Symantec Network Security 7100(シマンテック)などを取り上げる予定だ。

3/3


Index
セキュリティの次の一手となる不正侵入防御システム
  Page1
IDSの限界
IPS選定のポイント
  Page2
Proventia G(ISS)
Page3
IntruShield(マカフィー)

関連リンク
  IPSの実装方法と防御技術とは
  IPSを実装する場所と考慮すべき点

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH