 |
IPSアプライアンスカタログ2005[後編]
ワームの拡散を防ぐ不正侵入防御システム
岡田大助@IT編集部
2005/9/29
 |
UnityOne(TippingPoint) |
TippingPointは日本ではあまりなじみがないが、米国ではIPSの専業ベンダとして支持を得ている。実際、このIPSカタログで取材したほかのベンダの担当者からも「米国内では強力な競合である」という声を聞いた。
TippingPointの創業は2000年。インラインで動作するIPSアプライアンスを作るために、ネットワーク製品のチップを主に開発していたスタッフが起業したため、同社製品「UnityOne」におけるASICやFPGAなどの使い方はユニークだ。これが最大5Gbpsの高スループットと250μ秒未満のレイテンシ(遅延)を両立させている。
TippingPointは2004年末に3COMに買収された。吸収された、というよりは3Comが持っていたセキュリティ関連部門を統合して「TippingPoint, a division of 3Com」という独立関連会社になったという位置付けにある。この結果、3ComはIPネットワーク、VoIP製品に注力することとなった。
なお、日本では3Comによる買収以前よりテリロジーが総代理店としてUnityOneの販売を行っている。ラインアップは7種でスループットは50Mbpsから5Gbps。基本的には別売りの管理用アプライアンス「TippingPoint Security Management System(SMS)」と併用する。
●性能に自信があるのでインラインモード以外はない
UnityOneの開発目的がインラインでの動作だったこともあり、他社製品のようなTAPモード、IDSモードのような設定が存在しない(ネットワーク上の設置の仕方によりそれっぽく運用することはできる)。UnityOne-400以上の機種では1台当たり4セグメントまで、UnityOne-200では2セグメントまでを同時に監視することが可能だ。
攻撃の検知手段は、シグネチャ、プロトコルアノーマリ、脆弱性、トラフィックアノーマリの4種類。攻撃を検知した後は、当該トラフィックを破棄する「Block」、フォワードする「Permit」、チェックせずにフォワードする「Trust」、イベントやアクションを通知する「Notify」、パケットを保存する「Trace」、帯域制御をかける「RateLimit」といった動作を行う。
検知された攻撃は、脆弱性フィルタ、エクスプロイトフィルタ、プロトコルアノーマリフィルタ、ポリシーフィルタという4つのフィルタにより防御される。2005年5月の時点で約1900のフィルタが提供されているが、そのうち700程度が推奨設定によって適用される。
大規模なワーム発生の場合には、どのフィルタを適用すればいいのかをフィルタ番号によって通知してくれる。記憶に新しいZotobの場合は「3677番のフィルタを適用せよ」といった具合だ。Zotobを引き起こした脆弱性「MS05-039」はほかの5つの脆弱性と同時に発表されたが、TippingPointでは当日のうちにそれぞれの脆弱性に対して有効なフィルタ番号を通知したという。
TippingPointの脆弱性フィルタが脆弱性発表日に対応できた理由に「Virtual Software Patch」が挙げられる。既存のシグネチャが脆弱性を突く攻撃手法そのものをパターンマッチするのに対して、Virtual Software Patchは脆弱性に対する攻撃になり得そうなポイントをチェックするため、攻撃手法の亜種が登場しても未然に攻撃を防ぐことが可能となる。
これらフィルタは通常1週間に1回のペースで「デジタルワクチン」として自動的にアップデートされる。もちろん緊急時には即座に配布される。デジタルワクチンを作成しているのは、オースティンにある同社のセキュリティチーム「Threat Management Center(TMC)」だ。TMCは、多くのセキュリティ担当者が情報を集めるのに利用するSANS Instituteから発行される「@Risk Weekly Report」を主管している。
今後はVoIPプロトコルやPtoPプロトコルへの対応の充実を目指すとしている。担当者によれば「VoIPプロトコルそのものにまだまだ穴が残されている」という。TippingPointのディレクターであるDavid Endler氏は、VoIPに関するセキュリティ研究の業界団体「VoIP Security Alliance」のチェアマンを務めている。
また、PtoPアプリケーションについては「Skype」や「WinMX」などについてはすでに対応済みだ。「Winny」などの国産PtoPアプリケーションと、同じく国産のVPNソフト「SoftEther」についても対応中とのことだ。
| 5000E | 2400 | 1200 | 400 | 200 | 100E | 50 | |
|---|---|---|---|---|---|---|---|
| 価格 | 3380万円 |
1780万円 |
1280万円 |
848万円 |
498万円 |
498万円 |
198万円 |
(型番にEがついているのはAdvanced DDoS Protection対応モデル)
|
|||||||
性能
|
|||||||
| スループット | 5Gbps |
2Gbps |
1.2Gbps |
400Mbps |
200Mbps |
100Mbps |
50Mbps |
| 同時セッション数 | 2,000,000 |
2,000,000 |
2,000,000 |
2,000,000 |
2,000,000 |
1,000,000 |
500,000 |
| 監視セグメント数 | 4 |
4 |
4 |
4 |
2 |
1 |
1 |
| 監視用ポート数 | |||||||
| Gigabit Ethernet | 4or2or0 |
4or2or0 |
4or2or0 |
4or2or0 |
- |
- |
- |
| Fast Ethernet | 0or2or4 |
0or2or4 |
0or2or4 |
0or2or4 |
4 |
2 |
2 |
(5000E、2400、1200、400にはGigabit Fiber対応バージョンあり) |
|||||||
| サイズ | |||||||
| 筐体 | 2U |
2U |
2U |
2U |
2U |
1U |
1U |
 |
| 写真は2400 |
 |
4/4 |
| Index | |
| ワームの拡散を防ぐ不正侵入防御システム | |
| Page1 IPSをどのように評価すべきか |
|
| Page2 Attack Mitigator IPS 5500(トップレイヤーネットワークス) |
|
| Page3 SecureSoft Absolute IPS(セキュアソフト) |
|
 |
Page4 UnityOne(TippingPoint) |
| IPSアプライアンスカタログ | |
| セキュリティの次の一手となる不正侵入防御システム (ISS、マカフィー) |
|
| DoS攻撃やスパイウェアにも効く不正侵入防御システム (日本ラドウェア、シマンテック、ジュニパーネットワークス) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
