三井物産セキュアディレクションは、不正侵入防止システムの新バージョン「Sourcefire 3D System 4.5」の販売を開始した。
三井物産セキュアディレクション(MBSD)は5月24日、不正侵入防止システムの新バージョン「Sourcefire 3D System 4.5」の販売を開始した。
Sourcefire 3D Systemは、米Sourcefireが開発した不正侵入防止システム。オープンソースの不正侵入検知システム「Snort」をベースにしたIDSアプライアンス「Sourcefire Intrusion Sensor」(IS)と、ネットワーク資産の構成や脆弱性情報、通信状況をリアルタイムに把握する「同RNA Sensor」(RNA)、両製品の統合管理コンソールである「同Defense Center」(DC)から構成されている。
特徴は、RNAで収集した情報とISによる不正侵入の動向を突き合わせて分析することにより、無駄なアラートをそぎ落とし、本当に自社ネットワークにとって脅威となるイベントのみを把握できること。IDSではしばしば「誤検出が多い」「チューニングが面倒」といった課題が指摘されるが、RNAを組み合わせることでそうした問題を解決できるという。
「ISによって不正アクセスを検出し、RNAでは、いわゆるゼロデイ攻撃も含めた不審な挙動を検出できる。両方の情報を組み合わせることで、一般的な深刻度ではなく、その企業にとって重要な警告を発することができる」(同社ネットワークセキュリティ事業部テクニカルグループ、シニアエンジニアの伊藤秀弘氏)。
新バージョンでは特に、RNAの機能強化が図られ、パケットやネットワークの振る舞いを監視し、異常なトラフィックを検出するとアラートを発する「ネットワークビヘイビア・アノーマリ検知」機能が追加されている。アノーマリ検知自体は新しい技術ではないが、正常と異常とを分ける「しきい値」の設定を自動的に行える点が特徴だ。
「数日間、あるいは数週間にわたってトラフィックをモニタリングして『プロファイル』を作成し、この値を超える場合にアラートや防御命令を発することができる。突出したトラフィックについては、Webインタフェースからドリルダウン形式で『どのIP』『どのポート』といった情報を詳細に調べることができる」(同社ネットワークセキュリティ事業部マーケティンググループの橋爪陽子氏)
RNAはもともと、ネットワークを流れるパケットを元に、OSやアプリケーションの構成情報を把握するパッシブフィンガープリンティング技術をベースにしているが、新たにアクティブに脆弱性情報をスキャンする「Nessus」のモジュールも搭載した。「『重要なアラートが出たらNessusでさらに調べる』といった具合に、これまでのパッシブな情報収集を補完する形で利用できる」(橋爪氏)
他にも、ISでは、これまでセンサー単位でしか設定できなかったポリシーを、1台で複数設定できるようになった。またDCでは、ISとRNAから得られた情報に相関分析を加えた結果を、あらかじめ定めた組織のコンプライアンスポリシーと照らし合わせ、違反を検出すると警告を発する機能が追加されている。
Sourcefire 3D System 4.5の価格は製品構成によって異なり、最小構成時の参考価格は約500万円。MBSDでは2007年3月までに3億円の売り上げを目指すという。
Copyright © ITmedia, Inc. All Rights Reserved.