SnortベースのIDSアプライアンスが登場

【海外記事】2002.2.21

 最近ではやや落ち着いた感のある不正侵入検知システム(IDS)市場に,オープンソースをベースとした新製品が参入した。

 米ソースファイアの「OpenSnort Sensor」がそれだ。オープンソースで提供され,これまで50万以上がダウンロードされたネットワーク型IDSソフトウェア「OpenSnort」を組み込んだアプライアンス製品だ。筐体は1Uサイズで,100BASE-TXポートを2個搭載している。

 OpenSnort Sensorは,独自開発によるデータベースを搭載することで検索処理を高速化し,100Mbpsのトラフィックも取りこぼすことなくモニタできるという。不正侵入の検出に用いるシグネチャのすばやい更新も武器に,エンタープライズやセキュリティサービスプロバイダー市場の開拓を狙っている。

 RSA Conference 2002で製品を展示した同社の説明によれば,OpenSnort Sensorは大規模なエンタープライズを第1のターゲットとしている。そのため,Webブラウザベースのコンソールを通じ,容易に設定・管理作業を行えるようにした。さらに,監視・管理に要するコストを抑えるため,OpenSnort Sensorが収集した情報を一元的に管理し,総合的な分析を行うための専用コンソール「OpenSnort Management Console」も提供する。OpenSnort Management Consoleでは,最大25個までOpenSnort Sensorを管理できるという。

 ソースファイアは,OpenSnortの開発者であるマーティン・ロエシュ氏が自ら設立した企業だ。同社の担当者は「既に幾つか商用IDS製品が登場しているが,OpenSnort Sensorは使いやすく,また商用製品の平均的な価格よりもずっと低いコストで導入できる」と語っている。

下が「OpenSnort Management Console」,その上に乗っているのが「OpenSnort Sensor」だ<

 OpenSnort Sensorの価格は1万ドル,OpenSnort Management Consolrの価格は2万ドルで,既に出荷可能な状態にある。日本市場についても「魅力的な市場であり,現在代理店候補を探している段階」といい,進出に意欲を見せた。

盛りだくさんの機能とパフォーマンスを両立する「UnityOne」

 一方,米ティッピングポイント・テクノロジーズは,同じくSnortをベースとしたIDS機能に,「Nessus」ベースの脆弱性検査機能,さらにファイアウォールとVPN機能を1つの筐体に詰め込んだアプライアンス型の新製品「UnityOne-2000」と「UnityOne-600」を紹介した。

 UnityOneシリーズの特徴は,同社が独自に開発したプログラマブルASICとネットワークプロセッサ,さらに「Threat Suppression Engine」機能と専用OSの搭載によって,柔軟性を備えながら,極めて高いパフォーマンスを実現していることだ。中小規模の企業をターゲットとしたUnityOne-600は600Mbps,大規模エンタープライズ向けのUnityOne-2000では,実に2Gbpsのスループットを実現するという。

 同社は,「UnityOneは,これまでばらばらに導入・運用してきたVPNやIDS,脆弱性検査といった機能をたった1つの筐体で提供するものだ。この結果,管理に要する手間や運用コストを削減できる」と述べている。機器に障害が発生した場合にネットワーク運用に影響を与えないよう,ホットスタンバイ機能も搭載している。

最大2Gbpsのスループットでファイアウォール/VPN,IDS,脆弱点検査を行う「UnityOne-2000」(下)

 UnityOne-600の価格は2万ドル,UnityOne-2000は5万ドルだ。米国では今年6月に出荷される予定である。

他社製IDSの情報まで集約できる「ManHunt 2.0」

 一方,別記事で紹介した「iForce Integrated Security Solution」に組み込まれている「ManHunt」も,RSA Conference 2002に合わせてバージョンアップした。

 ManHuntは不正アクセスの判断に,シグネチャではなく,アノーマリ検出と統計的な相関分析という2つの技術を採用している。これらの技術によって通常とは異なるアクセスパターンを判断し,侵入検知を行うことが特徴だ。

 同社によれば,ManHuntはギガビットクラスのパフォーマンスを実現しているが,これには,シグネチャデータベースの検索が不要な,独自の侵入検知アーキテクチャが大きく寄与しているという。当然,シグネチャのアップデート作業を行う必要はないため,管理コストの削減にもつながる。さらに,複数のManHuntを連携させることで,攻撃元の情報を追跡するというユニークな機能も搭載している。

 新バージョンではユーザーインタフェースが改良され,ドリルダウン形式で詳細な情報を把握できる。また,従来の形式による侵入検知に加え,カスタマイズしたシグネチャファイルを追加することで,ハイブリッド形式の侵入検知が行えるようになるという。

 さらに,大規模企業での利用を想定し,離れた場所にある複数のManHuntを,リモートから集中的に管理できるようになるほか,他社のIDS製品が収集した情報までも一元的に管理・分析できる「ManHunt Smart Agent」が追加される。この機能はISSやエンテラシス・ネットワークス,シスコシステムズのIDS製品のほかSnortをサポートするという。

 開発元であるリコース・テクノロジーズは,「新バージョンでは,マルチベンダーのIDSが収集した情報を集約することで,広範かつ漏れの少ない侵入検知が可能となり,セキュリティを高めることができる」と述べている。

 他に,DoSやDDoSを検知し,内部ネットワークに影響が及ぶ前にコネクションを切断する機能やインシデント管理機能が追加された。ManHunt 2.0の米国での価格は2万5000ドルで,3月より出荷されるという。

関連リンク

▼RSAセキュリティ

▼米ソースファイア

▼米ティッピングポイント・テクノロジーズ

▼米リコース・テクノロジーズ

[高橋睦美 ,ITmedia]



Special

- PR -

Special

- PR -