IDSを“オオカミ少年”にしないシスコの新技術

2003/6/10

 シスコシステムズは、ファイアウォールや不正侵入検知システム(IDS)が出す誤検出によるアラーム件数を大幅に減少させる新技術「Cisco Threat Response」(CTR)を組み込んだソリューションを、今夏にも発表する考えを示した。ファイアウォールやIDSは正常なアクセスを不正アクセスと誤って検出し、セキュリティ管理者に対してアラームを出すことは多い。誤検出によるアラームが続くことで、IDSが“オオカミ少年”になり、管理者が実際のアラームを見逃す危険が指摘されている。シスコの新技術はこの危険を解決する。

シスコシステムズのエンタープライズ・ネットワークシステム本部 西日本第一ネットワークシステム部 シニアシステムズエンジニア 西豪宏氏

 シスコシステムズのエンタープライズ・ネットワークシステム本部 西日本第一ネットワークシステム部 シニアシステムズエンジニア 西豪宏氏が、イベント「Cisco Wave 2003」(6月5日〜6日)で明らかにした。

 一般的なファイアウォールやIDSが攻撃を受けた場合に、その都度管理者に対してアラームを発するのと異なり、CTRでは攻撃対象に注目し、アタックが成功したかどうかを確認した後にアラームを出すのが特徴。例えば、IDSセンサーが不信なアクセスを感知すると、CTRは不正アクセスのターゲットになったOSなどを調査。OSがアタックに対して脆弱性があるかや、アタックが成功した形跡、ログなどを素早く確認する。

 CTRでは、システムが攻撃を受けてもOSに脆弱性がなく、影響が出ない場合はアラートが発生しないため、管理者は重大な攻撃だけに対処できる。西氏は「必要な時に必要な形の必要な分だけの調査を行う」とCTRの特徴を説明した。

 西氏は、シスコが今年4月に買収した米OKENAのポリシーベースの不正侵入防御ツール(IPS:Intrusion Prevention System)についても説明。従来のIDSが不正アクセスのシグネチャで対応するのに対して、IPSはアクセスの“振る舞い”によってアクセスの可否を決める仕組みで、新しいタイプの攻撃やコンピュータ・ウイルスに対しても対応できるという。主にクライアントPCやWebサーバを保護する。シスコでは、この技術を「シスコ・ソリューション・エージェント」(CSA)と呼んでいる。早ければ年内にも国内で発表することを目指している。

(垣内郁栄)

[関連リンク]
シスコシステムズ

[関連記事]
シスコがIPテレフォニーベンダに変貌する日 (@ITNews)
インテルの"情シス部"に学ぶ正しいクライアントPC管理 (@ITNews)
月額2万円のファイアウォール監視サービス、セキュアソフト (@ITNews)
セコム、「情報セキュリティに力を入れたいが実需が……」 (@ITNews)
シスコが首位、国内セキュリティアプライアンス市場 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -