| エンタープライズ:ニュース | 2002/12/09 23:32:00 更新 |
ニクサンがネットワークの監視カメラ「NetDetector」を本格販売
ニクサンは、ネットワークを流れるパケットすべてを記録し、どのような通信が行われたのかの再生を行えるセキュリティ製品「NetDetector」の本格販売を開始する
ニクサンは、総販売代理店である住友商事の子会社、エスシー・コムテクスを通じて、ユニークなセキュリティ製品「NetDetector」の本格販売を開始する。価格は、搭載するディスクのサイズによるが、最小構成(72GB)で約350万円からだ。
NetDetectorは、「ネットワーク用の監視カメラ。警備員や入退管理を行う門と同じように必要なものだ」と、米ニクサンのインターナショナル・プロダクト・マネジャーを務めるスペンサー・パーカー氏は言う。
この製品は、ステルスモードで動作し、ネットワークを流れるパケットすべてを記録するレコーダーの役割を担う。その上、レコーダーと同じように、蓄積したデータを元に、どのような通信が行われたのかの再生が可能だ。それも、単なるパケットダンプではない。電子メールであれば添付ファイルを含めた本文が、またFTPであればやり取りしたファイルまでが再生可能だ。VoIPなどのトラフィックも蓄積・再生することができるという。
NetDetectorで電子メール本文を再生してみたところ
「一般にIDS(不正侵入検知システム)では、システムが不正侵入を受けたことまでは分かる。だが、どのIPアドレスからどのターゲットに向けて、どういった手法を用いた攻撃があったのかを洗い出し、認識するのは困難だ。NetDetectorではそれができるうえ、攻撃が成功したのか、失敗したのかまでも把握できる」(エスシー・コムテクス、セキュリティシステム部チームリーダーの尾関慎二氏)。
パーカー氏によれば、こんな例があるという。ある米国の大学が、マイクロソフトのサイトへのネットワーク侵入の疑いを受けた。その大学では、自ネットワーク内に攻撃者がいて直接攻撃をしたのではなく、踏み台にされたのだということを証明するため、NetDetectorを利用したという。そこでは、真の攻撃者がOS・バージョンの把握を通じてターゲットとなるホストを探すところから、バッファオーバーフローのセキュリティホールを悪用し、ホストに侵入し、さらにTelnetデーモンを入れ替えてDoS(サービス拒否)攻撃用のゾンビを仕込み、実際に攻撃を仕掛けるまでがつぶさに記録されていた。
「いったいどのように攻撃されたのか、その手順が分からなければ、バックアップに頼るしかない。しかしNetDetectorを利用すれば、どのような問題点があり、何が起きたのかを把握できる。そしてこれに基づいて、どのようにシステムを修復していけばいいかを知ることができる」(パーカー氏)。
NetDetectorではマイクロミューズの「NETCOOL」やTivoliなどの管理システムとの連携が可能だ。最新バージョンではさらに、トラフィック解析やアナライザなどの画面が改善されたほか、オープンソフトのIDS、「Snort」が統合され、蓄積したデータに対し、不正侵入の有無をチェックできるようになった。「たとえばこのデータのチェックを通してSnortのルール(シグネチャ)を最適化し、それを既存のIDSに適用させれば、誤検知を減らすことができる」と同氏は説明する。
NetDetectorのインタフェース
「IDSは管理や導入がなかなか難しい。NetDetectorはその次のステップとなる製品で、IDの機能に加え、ポリシーの検査と損害状況調査(セキュリティ・フォレンジック)を実現できる」(パーカー氏)。
なおNetDetectorは、同じくニクサンが提供する高性能のネットワークモニタリングシステム「NetVCR」と共通の技術を下敷きにしている。NetVCRは、大容量のメモリ(バッファ)を搭載しており、非常に長期間に渡ってデータのキャプチャが可能なほか、独自技術の「Mercury」エンジンに基づく速やかなデータ読み出しなどを特徴とする製品だ。ネットワークアソシエイツの「Sniffer」と真っ向からぶつかる製品ともいえるが、むしろ「NetVCRを組み合わせることによって、Snifferのエキスパート解析をより効果的に利用できるようになったという声も多い」(尾関氏)という。
関連記事
住友商事、米ニクサンの総販売代理店として「NetDetector」などを販売存在自体が不正アクセスを防いだ? 今年初登場のSOC関連リンク
米ニクサンエスシー・コムテクス[高橋睦美,ITmedia]
