| エンタープライズ:ニュース | 2003/03/03 23:15:00 更新 |
「IDPは社会において認められる製品になる」とネットスクリーン
複数の手法を用いて不正侵入をアクティブに防ぐ「NetScreen-IDP」を昨年リリースしたネットスクリーン・テクノロジーズ。同社のポール・セラノ氏によれば、今後IDPは、ファイアウォールやVPN、アンチウイルスよりもずっと社会において認められるようになるだろうという。
「IDP(Intrusion Detection and Prevention)は、ファイアウォールやVPN、アンチウイルスといった製品よりも、ずっと社会に認められる製品になるだろう」(米ネットスクリーン・テクノロジーズでアジア太平洋地域担当シニアマーケティングディレクターを務めるポール・セラノ氏)。
「IDPはアクティブに攻撃に対処する」としたセラノ氏
独自ASICによる高速処理と手離れの良さを特徴とするファイアウォール/VPNアプライアンス「NetScreenシリーズ」を提供してきたネットスクリーンだが、今年はやや色合いの異なる製品に注力する方針だ。それが「NetScreen-IDP」である。
NetScreen-IDPは、既存のファイアウォールやIDS(不正侵入検知システム)を発展させた製品といえるだろう。企業システムに対するさまざまな攻撃を検出し、そのパケットを破棄したり遮断することで、被害発生を未然に防ぐシステムだ。同様の仕組みはファイアウォールとIDSを連携させることで可能ではあったが、その設定は複雑だったうえ、攻撃誤検知などの問題もあった。
これに対しNetScreen-IDPは、複数の検出手法を組み合わせ、高い精度で不正侵入を検知し、アクティブにシステムを防御する点で異なるという。もし不正なアクセスを発見すれば、その接続を遮断/ドロップさせるとともに、ロギングを行ったり、管理者に対し警告を送付したりする。また、複数のNetScreen-IDPが連携し、どこか1カ所が受けた攻撃について他のポイントに設置されたIDPに警告、あらかじめ防御を固めるといった運用も可能という。
同製品には、「NetScreen-IDP 100」と、ギガビットイーサネットを備えた「NetScreen-IDP 500」の2種類がある。既にいくつかの代理店を通じて、販売が開始されている。
いずれもステートフルシグネチャ、プロトコル異常(アノーマリ)検知、トラフィック異常検知、レイヤ2でのアタック検知(ARPなど)に加え、ネットワークハニーポット、バックドアの検出、スプーフィング(アドレス偽装)の検出、それにDoS攻撃の検出という8種類の不正アクセス検出機能を搭載している。このうちステートフルシグネチャ検知では、単にパケット全体を精査する代わりに、特許出願中の独自技術を用い、攻撃コードが埋め込まれる特定の部分だけをチェックすることで、精度を高めるとともにオーバヘッドを減らしているという。
かねてよりIDSは、いくつかの限界を指摘されてきた。まず主要な攻撃をパターン化した「シグネチャ」をベースとしたシステムの場合、シグネチャの定期的なアップデートが必要な上、誤検知、あるいは微小な攻撃検出による過剰なアラートに悩まされるケースが多い。シグネチャとのマッチングによるパフォーマンスの劣化も、見過ごせない状態となっていた。これを踏まえて登場してきたのが、アノーマリ検出型と呼ばれるタイプのIDSだが、これもまだ十分に枯れた技術とはいえない。何よりIDSでは、攻撃を見つけることはできても、それが分かるのは実際に攻撃を受けてから。あらかじめ攻撃を防ぐことは困難とされてきた。
NetScreen-IDPは、こうしたIDSの問題点を踏まえて開発された製品だ。「従来のIDSは、パッシブな対応しかできなかった。IDPは、複数の手法を活用して劇的に誤検出率を減らすとともに、攻撃に対しアクティブな防御を可能にする。それもコスト効率よく、管理しやすい形でだ」(セラノ氏)。
同氏によると、システムに合わせた相応のチューニングが必要とされた従来のIDSは、専用のスタッフを必要とし、そのため運用管理費の増大も招いていたという。しかしNetScreen-IDPでは、亜種も含めたさまざまな攻撃を自動的に検出し、コスト効率よく企業を守る手段を提供する。「IDPでも、“簡単な導入と運用”というコンセプトは継承する」とセラノ氏。さらに同氏は、「確かにリコース・テクノロジー(現在はシマンテックに買収されている)やイントルージョン・ドット・コムといった競合はあるが、われわれほど拡張性に優れ、包括的なソリューションを提供しているところはない」と強調している。
この製品は、元はといえば、同社が買収したセキュアワンの技術を活用して実現されたものだ。現在は、NetScreenシリーズとは別々のアプライアンスとして提供されているが、ゆくゆくはASIC化していく計画もあるという。管理コンソールも個別になっているが、これも今年の夏以降、統合していく方針だ。
セラノ氏はさらに、複数のセキュリティ機能を統合した製品を投入する計画もほのめかした。これは、従来より提供してきたセキュリティ技術の上に、代替経路の自動検索などによるネットワークの冗長化機能などを統合するものになる見込み。さらに、H.323などVoIPで利用されるプロトコルについても解析できる機能を付加していくという。
「ハッカーの側も進化している。われわれはそれに先んじて進化していかなければならない」(セラノ氏)。
関連記事
ネットワークバリューコンポネンツ、「NetScreen-IDP」を販売開始「IDS+ファイアウォール」のアプライアンスをSSIJが発売関連リンク
ネットスクリーン・テクノロジーズ[高橋睦美,ITmedia]
