MBSD、「自社にとって深刻な情報」を警告する不正侵入防止システムの新バージョン

三井物産セキュアディレクションは、不正侵入防止システムの新バージョン「Sourcefire 3D System 4.5」の販売を開始した。

» 2006年05月24日 19時49分 公開
[高橋睦美,ITmedia]

 三井物産セキュアディレクション(MBSD)は5月24日、不正侵入防止システムの新バージョン「Sourcefire 3D System 4.5」の販売を開始した。

 Sourcefire 3D Systemは、米Sourcefireが開発した不正侵入防止システム。オープンソースの不正侵入検知システム「Snort」をベースにしたIDSアプライアンス「Sourcefire Intrusion Sensor」(IS)と、ネットワーク資産の構成や脆弱性情報、通信状況をリアルタイムに把握する「同RNA Sensor」(RNA)、両製品の統合管理コンソールである「同Defense Center」(DC)から構成されている。

 特徴は、RNAで収集した情報とISによる不正侵入の動向を突き合わせて分析することにより、無駄なアラートをそぎ落とし、本当に自社ネットワークにとって脅威となるイベントのみを把握できること。IDSではしばしば「誤検出が多い」「チューニングが面倒」といった課題が指摘されるが、RNAを組み合わせることでそうした問題を解決できるという。

 「ISによって不正アクセスを検出し、RNAでは、いわゆるゼロデイ攻撃も含めた不審な挙動を検出できる。両方の情報を組み合わせることで、一般的な深刻度ではなく、その企業にとって重要な警告を発することができる」(同社ネットワークセキュリティ事業部テクニカルグループ、シニアエンジニアの伊藤秀弘氏)。

 新バージョンでは特に、RNAの機能強化が図られ、パケットやネットワークの振る舞いを監視し、異常なトラフィックを検出するとアラートを発する「ネットワークビヘイビア・アノーマリ検知」機能が追加されている。アノーマリ検知自体は新しい技術ではないが、正常と異常とを分ける「しきい値」の設定を自動的に行える点が特徴だ。

 「数日間、あるいは数週間にわたってトラフィックをモニタリングして『プロファイル』を作成し、この値を超える場合にアラートや防御命令を発することができる。突出したトラフィックについては、Webインタフェースからドリルダウン形式で『どのIP』『どのポート』といった情報を詳細に調べることができる」(同社ネットワークセキュリティ事業部マーケティンググループの橋爪陽子氏)

ドリルダウン Webインタフェース上から不審なトラフィックをクリックし、ドリルダウン形式で詳細を確認できる

 RNAはもともと、ネットワークを流れるパケットを元に、OSやアプリケーションの構成情報を把握するパッシブフィンガープリンティング技術をベースにしているが、新たにアクティブに脆弱性情報をスキャンする「Nessus」のモジュールも搭載した。「『重要なアラートが出たらNessusでさらに調べる』といった具合に、これまでのパッシブな情報収集を補完する形で利用できる」(橋爪氏)

 他にも、ISでは、これまでセンサー単位でしか設定できなかったポリシーを、1台で複数設定できるようになった。またDCでは、ISとRNAから得られた情報に相関分析を加えた結果を、あらかじめ定めた組織のコンプライアンスポリシーと照らし合わせ、違反を検出すると警告を発する機能が追加されている。

コンプライアンス コンプライアンスポリシーの設定画面。条件をきめ細かく設定できる

 Sourcefire 3D System 4.5の価格は製品構成によって異なり、最小構成時の参考価格は約500万円。MBSDでは2007年3月までに3億円の売り上げを目指すという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ