エンタープライズ:ニュース 2003/10/31 01:25:00 更新


Security Solutionを振り返る:ネットワークの現状把握を支援する製品が多数登場

先週行われた「Security Solution 2003」の内容を、遅ればせながら振り返ってみたい。展示会場では、「今ネットワーク上で何が起きているのか」を把握するための製品が多数紹介された。

 先週東京ビッグサイトを会場に、Security Solution 2003が開催された。遅ればせながら、その内容を改めて振り返ってみたい。

 今回の展示会場では、情報漏えいの防止やリスク管理といった観点から、「今ネットワーク上で何が起きているのか」を把握するための製品が目に付いた。今何が起きているのかを知らなければ、効果的な対応も困難だし、被害を未然に防ぐためのプランを練ることもできない(できたとしても有効なものにはなり得ない)。

 例えば日本ネットワークアソシエイツが紹介していたアプライアンス「InfiniStream Security Forensics」は、ネットワーク上の出来事をすべて記録することで、情報漏えいに対する抑止効果をもたらす。これは同時に、万一不正アクセスを受けた際、後の調査・解析にも利用できる。

 ネットワーク上の動きを記録する、という意味では同じコンセプトだが、Windowsネットワークへのアクセスに特化し、より深いレベルでの解析をサポートしているのがセキュリティフライデーの「VISUACT」だ。またELNISテクノロジーズでは、このVISUACTにシマンテックの不正侵入検知製品「Symantec Intruder Alert」を連携させた「ELNIS Security Detector」を紹介した。

 エムオーテックスでは、クライアント/サーバ型の仕組みによってユーザー個々のWeb操作ログやプリンタログを収集、監視する「LanScope Cat」のデモンストレーションを行った。この製品はいわゆるインベントリ管理機能を提供するほか、ユーザーがいつ、どんなWebサイトにアクセスし、どういった電子メールをやり取りしたかをこと細かく把握できる。部署・期間単位でレポートを作成し、ITリソースの消費動向を把握することも可能で、日本語表示を完全にサポートしていることから、自治体を中心に既に20万クライアントの導入実績があるということだ。

 やや話はそれるが、MSBlast(Blaster)のまん延からは、「パッチが公開されているにもかかわらず適用されていない」という問題が明るみになった。エムオーテックスの説明によると、LanScope Catのインベントリ管理機能では各クライアントのパッチ適用状況も把握できることから、セキュリティ対策状況の把握を目的とした引き合いが増えたということだ。

 脆弱性情報と組み合わせたパッチの適用・管理は、今後のセキュリティ対策における重要なトピックの1つと言えそうで、シマンテックが製品を提供しているほか、NRIセキュアテクノロジーズがセキュリティ管理支援ツールとして「SecureCube/Site Security Check」をリリースしている。

ログを集約して分かりやすい「情報」に

 「今ネットワーク上で何が起きているのか」を手っ取り早く把握するには、サーバやルータ、ファイアウォールやIDSが吐き出すログを確認するのが一番だ。だが、膨大な量のログを解析し、その中から重要なイベントを抜き出す作業には、多くの時間と経験を要する。そこで、この作業を支援するための製品もいくつか登場した。

 その1つが、アイ・シー・エルのログ解析ツール「ShowTOC」だ。この製品はWindows NT/2000/XPのイベントログ、LinuxやSolarisのSyslogのほか、Apache、Internet Information Services(IIS)などのWebサーバ、さらにはファイアウォールやSnortなどのIDSなどが出力するログを集約。各々のイベントを解析し、その中から不正アクセスの痕跡と思われるインシデントを抜き出し、警告する機能を提供する。

 解析結果に対して二重、三重のフィルタリングを行い、結果を容易に絞り込めるほか、解析の結果不正アクセス元と判断されたIPアドレスを、接続拒否リストに自動的に追加する機能も備えているという。同社によれば、警察庁や防衛庁など官公庁を中心に導入実績を持つということだ。

 またNTTデータも、各種機器が出力するログを一元的に集約、解析する同じコンセプトの製品「Secure VISTA」を紹介していた。こちらは、地理情報やネットワーク構成図と組み合わせたビジュアルな表示が特徴だ。分かりやすい表示とレポートによって、現場担当者よりも一段上のレベルにおけるセキュリティに関する意思決定を支援するという。

 なおNTTデータは同時に、「元来くん(もときくん)」という名称のパケット追跡システムも披露していた。このシステムは、IDSを組み込んだエージェントをネットワークのさまざまな場所に配置し、そこを流れるパケットの特徴(ハッシュ)を記録する。エージェントにはアプライアンス型とソフトウェア上で動作するものの2種類がある。

元来くん

「元来くん」で攻撃元を検出してみたところ

 不正アクセスと思しきパケットが検出された場合は、特徴を利用して、そのパケットが通過したかどうかを各エージェントに問い合わせ、自動的に発信元を突き止める仕組みだ。IP Spoofingなど発信元を詐称している場合でも、この仕組みによって本当の攻撃元を追跡できるという。技術的にはほぼ完成しており、出荷は「顧客の反応しだい」という。

関連記事
▼Security Solution 2003開催、セキュリティ製品のトレンドに新たな展開

関連リンク
▼ELNISテクノロジーズ
▼エムオーテックス
▼アイ・シー・エル
▼NTTデータ
▼Security Solution 2003

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -