IDSを“オオカミ少年”にしないシスコの新技術

2003/6/10

　シスコシステムズは、ファイアウォールや不正侵入検知システム（IDS）が出す誤検出によるアラーム件数を大幅に減少させる新技術「Cisco Threat Response」（CTR）を組み込んだソリューションを、今夏にも発表する考えを示した。ファイアウォールやIDSは正常なアクセスを不正アクセスと誤って検出し、セキュリティ管理者に対してアラームを出すことは多い。誤検出によるアラームが続くことで、IDSが“オオカミ少年”になり、管理者が実際のアラームを見逃す危険が指摘されている。シスコの新技術はこの危険を解決する。

シスコシステムズのエンタープライズ・ネットワークシステム本部 西日本第一ネットワークシステム部 シニアシステムズエンジニア 西豪宏氏

　シスコシステムズのエンタープライズ・ネットワークシステム本部 西日本第一ネットワークシステム部 シニアシステムズエンジニア 西豪宏氏が、イベント「Cisco Wave 2003」（6月5日〜6日）で明らかにした。

　一般的なファイアウォールやIDSが攻撃を受けた場合に、その都度管理者に対してアラームを発するのと異なり、CTRでは攻撃対象に注目し、アタックが成功したかどうかを確認した後にアラームを出すのが特徴。例えば、IDSセンサーが不信なアクセスを感知すると、CTRは不正アクセスのターゲットになったOSなどを調査。OSがアタックに対して脆弱性があるかや、アタックが成功した形跡、ログなどを素早く確認する。

　CTRでは、システムが攻撃を受けてもOSに脆弱性がなく、影響が出ない場合はアラートが発生しないため、管理者は重大な攻撃だけに対処できる。西氏は「必要な時に必要な形の必要な分だけの調査を行う」とCTRの特徴を説明した。

　西氏は、シスコが今年4月に買収した米OKENAのポリシーベースの不正侵入防御ツール（IPS：Intrusion Prevention System）についても説明。従来のIDSが不正アクセスのシグネチャで対応するのに対して、IPSはアクセスの“振る舞い”によってアクセスの可否を決める仕組みで、新しいタイプの攻撃やコンピュータ・ウイルスに対しても対応できるという。主にクライアントPCやWebサーバを保護する。シスコでは、この技術を「シスコ・ソリューション・エージェント」（CSA）と呼んでいる。早ければ年内にも国内で発表することを目指している。

（垣内郁栄）

[関連リンク]
シスコシステムズ

[関連記事]
シスコがIPテレフォニーベンダに変貌する日 （＠ITNews）
インテルの"情シス部"に学ぶ正しいクライアントPC管理 （＠ITNews）
月額2万円のファイアウォール監視サービス、セキュアソフト （＠ITNews）
セコム、「情報セキュリティに力を入れたいが実需が……」 （＠ITNews）
シスコが首位、国内セキュリティアプライアンス市場 （＠ITNews）

情報をお寄せください：

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）