| エンタープライズ:トピックス | 2002年5月10日更新 |
IDSのトレンドはシグネチャベースからインテリジェント化へ
 |
|
|
|
当初の,そして現在も市場で主流となっているIDS製品は,既知の不正アクセスのパターンを記したシグネチャデータベースと,トラフィックを突き合わせて不正アクセスを検出するタイプだ。
だがこうしたIDSの場合,新たな攻撃手法に対応するにはシグネチャをアップデートする必要があり,迅速な対応が取りにくいこと,またシグネチャのチェックに処理能力を要し,帯域が太くなると「取りこぼし」の可能性が出てくることといった問題点がある。
こうした問題を解決すべく,シグネチャに頼るのではなく,トラフィックパターンをダイナミックに分析し,インテリジェントに不正侵入を検出する第2世代のIDSが生まれつつある。NetWorld+Interop 2002 LasVegas(N+I 2002 LasVegas)の展示会では,こうした新しいタイプのIDSが複数登場した。
その1つが,米ランコープの「StealthWatch」だ。これはフローベースのダイナミック・スレート・マネジメント技術をベースとしたアプライアンス型のIDS製品で,外部からの不正アクセスの試みだけでなく,内部ユーザーによる不正アクセスや誤操作,内部に仕掛けられたトロイの木馬などを検出する。UDPトラフィックの監視も可能だ。
同製品はまた,サービスプロファイリングという機能を備えている。一体誰が不正アクセスを仕掛けているのかを把握し,その重要度に応じてレーティング(格付け)を行うもので,効率的にセキュリティ監視と管理を行えるという。製品は既に出荷されており,価格は2万ドルからだ。
また,米イントルバートも,アプライアンス型のIDS製品「IntruShield 2600」「同4000」を紹介した。特徴としては,シグネチャを利用しての検出に加え,アノーマリ分析を元にした動的な不正侵入検出が可能なこと,インラインモードだけでなく,タップモードやSPANポートに接続してのモニタリングなど,ネットワーク構成に応じて柔軟な配置が可能なことが挙げられる。こちらは今年半ば以降に,出荷される予定という。
StealthWatch,IntruShieldはともに,動的に不正侵入を検出できることに加え,DoS攻撃の検出が可能なこと,ギガビットクラスのスループットを実現することも特徴に挙げている。
脆弱性検査ツールにも新世代が
一方,脆弱性検査ツールの部類でも,同様にユニークな製品が登場した。米センジックの「Hailstorm」だ。センジックではHailstormを,「セキュリティ品質保証」ツールと表現している。
Hailstormは,既知の脆弱性情報を集めたデータベースを元にチェックを行うのではなく,特許申請中の独自技術をベースに,擬似的な攻撃を行うスクリプトを自動的に作成して脆弱性を検査する製品である。
同社によると,HailstormではOSを問わず,あらゆるアプリケーションに対して,レイヤ2からレイヤ7までの脆弱性を検査できるという。具体的にはバッファオーバーフローのほか,DoS,クロスサイトスクリプティングや文字エンコーディングに関する脆弱性,SQL構文の脆弱性などを検出できるとのことだ。
またHailstormでは,商用製品だけでなく,自社開発のカスタムアプリケーションに対しても同様に検査を行うことができる。アプリケーション開発時には最初からセキュリティを織り込んで作業を進めることが望ましいが,Hailstormは,こうした開発時のセキュリティチェックにも利用できるという。
関連リンク
NetWorld+Interop LasVegas 2002
[高橋睦美,ITmedia]
