エンタープライズ:トピックス | 2002年6月11日更新 |
「監視」から「防御・対応」へと進化した新タイプの連携IDSシステム
Dynamic Defense Systemは、既に単体で市場に投入されている幾つかのセキュリティ製品から構成されている。ディアイティが代理店となっている米リコース・テクノロジーズ(リコース)のIDS製品「ManHunt」と、ハニーポッドの「ManTrap」、CTCが販売する米トップレイヤー・ネットワークス(トップレイヤー)の「Secure Edge Controller」と「Attack Mitigator」だ。
これらはいずれも、単体でもユニークなセキュリティ機能を提供してくれる。
例えばリコースのManHuntは、最近知られるようになってきたアノーマリ型の不正侵入検知システム(IDS)だ。シグネチャを基に不正侵入を判断する従来型のIDSに比べ、相関分析などの手法によって、新しいタイプの攻撃にも対応できること、またギガビットクラスのネットワークにおいても、パケットを取りこぼすことなく不正侵入を発見できることなどが特徴だ。最新バージョンでは「Smart Agent」によって、サードパーティ製のシグネチャ型のIDS製品との連携も可能になっている。
またManTrapは、おとりとなる複数のサービスを動かし、そこにアクセスしてきた不正侵入者の動きを、詳細なログの形で記録する。
Secure Edge ControllerとAttack Mitigatorはいずれも、レイヤ7対応のコンテンツスイッチ「AppSwitch」とトップレイヤー独自のASICを下敷きにした製品だ。Secure Edge Controllerは、レイヤ7レベルのQoSとアクセス制御を実現する。一方Attack Mitigatorは、対DoS/DDoSに特化したアプライアンスだ。DoS攻撃で送られてくるパケットを緩和させ,たとえ攻撃があってもWebサービス自体は継続させることができる。
各製品を連携させて「インシデント対応」
ディアイティでは、CTCやトップレイヤーの協力を得て、ManHunt/ManTrapとトップレイヤー製品を連携させた。具体的には、ManHuntにSecure Edge ControllerのAPIコマンドを組み込むことによって、各製品が連動しての不正侵入対応を実現している。
たとえば外部からのポートスキャンなど、何らかの不審なパケットが見られると、ManTrapがその情報を分析。不正侵入と判断すれば、Secure Edge Controllerではそのトラフィックを、正規ユーザー向けのネットワークとは異なるセグメント、つまりManTrapへリダイレクトする。ManTrapは攻撃者がどういった動きを取り、何を試みようとしたかを記録する仕組みだ。DoS攻撃や大量送信型のワームについては、ManHuntと連携したAttack Mitigatorでブロックする。
ここで懸念されるのは、攻撃者によって、ログそのものに改ざんが加えられないかということだ。事実、不正侵入が成功した場合、攻撃者はしばしばログを改ざんして、自分の足跡を隠そうとする。
だが、Dynamic Defense System、正確にはManTrapではその点も考慮されている。「iButton」という暗号システムを利用し、電子署名を用いて、ログに改ざんが加えられていないかどうかを確認できる。ちなみに同システムは、米国政府の調達基準、FIPSに準拠したものという。
このようにDynamic Defense Systemでは、外部からやってくる望ましくないアクセスを速やかに見つけ出し、複数の製品の連携によって重要なシステムを不正侵入から守り、さらに侵入経路や侵入者の動きを把握できるようになっている。
もちろんセキュリティ全般という観点からは、ファイやウォールやVPN、ホストベースのIDS、脆弱性の検査など、他にも必要な要素は存在する。そうした部分については、一種のオプションの形で提供していく方針だ。
Dynamic Defense Systemの価格は、最小構成で1470万円。導入費用はコンサルティング費用を除いて200万円からとなる。ディアイティでは、大規模なネットワークを構築している企業や大学などを対象に販売していく。
関連記事
トップレイヤー,レイヤ7ベースのユーザー認証を実現するアプライアンスを発表
DoS攻撃を防ぐアプライアンス製品,「Attack Mitigator」
関連リンク
[高橋睦美 ,ITmedia]