 |
IPSアプライアンスカタログ2005[後編]
ワームの拡散を防ぐ不正侵入防御システム
岡田大助@IT編集部
2005/9/29
 |
SecureSoft Absolute IPS(セキュアソフト) |
セキュアソフトは1996年に韓国で創業されたセキュリティ機器ベンダで、今日も韓国国内で高いシェアを持っている。韓国で初めてソフトウェアベースのファイアウォールを発表し、その後アプライアンス製品やファイアウォールやIDSなどの機能を統合した「SecureSoft Tシリーズ」を投入している。2002年には日本法人を設立した。
今回紹介するAbsolute IPSは2004年10月に発表された同社期待の新製品であり、韓国国内ではISPやデータセンター、大企業、大学、官公庁を中心に幅広い支持を受けている。
ラインアップは3製品(NP10G、NP5G、NP2G)。専用のネットワークプロセッサを開発し、ディープパケットインスペクションを実施しながらも最大8Gbpsというスループットを実現した。なお、3機種ともに4Uというかなり大型の筐体なので十分なスペースを確保する必要がある。
●韓国をまひさせたSlammerから得た教訓を生かして
韓国といえば、日本よりも早くブロードバンド化を推し進めたIT先進国であった。しかし、2003年にSlammerの大規模感染を引き起こしネットワークが長時間にわたって停止した事件も記憶に新しい。
この事件に衝撃を受けた同社では、「予測のつかない攻撃が再び発生したとしても、耐えられるだけの高いスペックを持つハードウェアを作ろう」という理念の下でAbsolute IPSの開発に着手した。この理念を第1の目標として最大8Gbpsという他社製品と一線を画す高スループットを実現し、IPSの機能は状況に応じて追加コンポーネントで対応している。
攻撃の検知は、オーソドックスなシグネチャマッチングとしきい値を設定するトラフィックアノーマリを組み合わせて、既知/未知の攻撃に対応する。しきい値の設定には、管理者の直感に頼らない自己学習機能を使って、ポート別、ホスト別にプロファイルを作成する。このプロファイルをベースにしきい値を設定する。DoS攻撃についても、それぞれの攻撃をDoSプロファイルとして記録する。
Absolute IPSでは、1台で最大200セグメントを監視できる「バーチャルセンサー」機能が用意されている。セグメント分けは、IPレンジ、物理的なポートごと、VLANタグといった3種類で設定できる。
この結果、部署別、位置別、機能別といったセグメントごとのルール設定ができる。例えば、大学のネットワークにおいて、事務や経営を担う部門に対してはセキュリティを高めに設定し、学生寮に対しては緩やかに設定するといった使い分けが可能となる。
PtoPソフトウェアやインスタントメッセンジャー(IM)に対してAbsolute IPSで制御することも可能だ。単純なログイン制限のみならず、ダウンロード制限、検索制限、状態維持チェック制限などきめ細かな運用ができるほか、ネットワーク帯域の中でこれらソフトウェアが利用するパケット量を制限する帯域制御機能も提供されている。このような柔軟な運用機能を提供できるのは、PtoPソフトウェアやIMの利用率が高い韓国ベンダならではの強みだろう。
Slammer被害の教訓として、高い冗長性を持つことも設計思想に含められた。エントリモデルのNP2Gを除く上位2機種では、標準でバイパススイッチが付属する。電源は二重化されておりホットスワップに対応している。Active-StandbyのHA構成を取ることも可能だ。
また、新種のワームが出現し、大量のトラフィックによってネットワークインフラを構成するハードウェアがダウンしないようにインフラ保護機能「IPF」を備えている。IPFの対象となるのはスイッチ、ルータ、メールサーバ、Webサーバなど主要なネットワークインフラで、それぞれの機器のステータスをリアルタイムで常時記録している。新種ワームなどの発生によりトラフィック量が急増した場合にはIPFが異常を検知し、有害トラフィックのドロップもしくは帯域制御を実行して悪意のあるコードが拡散することを防御する。
セキュアソフトでは今後、アプリケーション制御の充実やIPSアプライアンスにファイアウォールの機能を組み込んだ新しい製品を開発していきたいとしている。
| NP10G | NP5G | NP2G | |
|---|---|---|---|
| 価格 | 1980万円 |
1400万円 |
980万円 |
(NP10GとNP5Gにはバイパス装置が付属)
|
|||
性能
|
|||
| スループット | 8Gbps |
4Gbps |
2Gbps |
| 同時セッション数 | 3,000,000 |
2,000,000 |
1,500,000 |
| 監視セグメント数 (バーチャルセンサー) |
最大200 |
||
| 監視用ポート数 | |||
4(1000Base SX)or
4(10/100/1000Base-T) |
|||
| サイズ | |||
| 筐体 | 4U |
4U |
4U |
 |
| 写真はNP10G |
 |
3/4 |
|
| Index | |
| ワームの拡散を防ぐ不正侵入防御システム | |
| Page1 IPSをどのように評価すべきか |
|
| Page2 Attack Mitigator IPS 5500(トップレイヤーネットワークス) |
|
 |
Page3 SecureSoft Absolute IPS(セキュアソフト) |
| Page4 UnityOne(TippingPoint) |
|
| IPSアプライアンスカタログ | |
| セキュリティの次の一手となる不正侵入防御システム (ISS、マカフィー) |
|
| DoS攻撃やスパイウェアにも効く不正侵入防御システム (日本ラドウェア、シマンテック、ジュニパーネットワークス) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
