エンタープライズ:ニュース 2003/08/27 18:43:00 更新


シマンテックブランドの下で「ManHunt」がバージョンアップ、シグネチャを強化

シマンテックは、アノーマリ検出とシグネチャに基づく検出の2方式をサポートしたIDSの最新バージョン、「Symantec ManHunt 3.0」を発表した。

 シマンテックは8月27日、アノーマリ(異常)検出と相関分析機能を特徴とする不正侵入検出システム(IDS)の新バージョン、「Symantec ManHunt 3.0」を発表した。

 IDS製品が市場に登場してから数年が経つが、未だにその導入に当たっては、設定やチューニングの困難さが課題とされている。チューニングが不十分だと、「不正侵入でもないのにアラートが鳴る」という誤検出の割合が増える。その結果、アラートがいくら鳴っても管理者は注意を払わなくなるという逆説的な状況もあるという。

 また、IDS製品の本来の目的は、単に攻撃を検出してそれで終わり、ではないはずなのだが、その後の対処・レスポンス支援機能が不十分という指摘もある。昨年からは「IDP」という触れ込みで、不正侵入防止・防御機能を加えた製品が登場してきたが、まだ成熟した技術とは言いがたい。さらにスループット上の制約といった要因もあってか、「米国におけるIDSの導入比率は70%以上に上っているのに対し、日本ではまだ20%そこそこ」(同社法人第一営業事業部事業部長、大岩憲三氏)にとどまっている。

2つの方式を組み合わせて誤検知の割合を低下

 Symantec ManHuntはもともとは、昨年Symantecに買収された米Recourse Technologiesが開発したネットワーク型IDS製品だ。その当時リリースされていたIDS製品の多くは、攻撃パターンを記述した「シグネチャ」と呼ばれるパターンファイルに基づいて不正侵入を判断していた。これが「誤検出(False Positive)」多発を招くほか、スループット低下の原因ともなっていた。

 これに対しManHuntは、シグネチャによる検出だけでなく、RFCなどで規定されている本来のプロトコルの動きと実トラフィックの振る舞いを比較し、攻撃を識別することができる。アノーマリ検出はまた、バッファオーバーフローをはじめとするアプリケーションレベルの攻撃を防ぐほか、「ゼロデイ状態」の攻撃、つまり未知の攻撃についても検出し、警告することができる。

 アノーマリ検出とシグネチャという2つの手法を用いて誤検出の確率を減らしている点がManHuntの最大の特徴だ。新バージョンでは、アノーマリ検出がサポートするプロトコルが広がり、新たにSNMP(2.0および3.0)やOSPF、LDAP、SSHなどがサポートされた。同時にシグネチャベースの検出機能も強化され、顧客が自ら作成するシグネチャだけでなく、新たにSymantec Security Responseが提供するシグネチャも利用できるようになった。これは月に1度のペースでアップデートされるが、先日のMSBlastのような緊急事態が発生した際には随時提供される予定だ。

 ManHuntではまた、検知したイベントをそのまま右から左に流すことはしない。通常ならば管理者には、多数のイベントログの中から緊急性の高い情報を探し出し、攻撃者の足跡をたどる作業が求められるが、同製品はそれを支援するリアルタイムの相関分析機能を備えている。攻撃が仕掛けられた送信元や送信先のIPアドレス、時間などを元に、独自のエンジンを用いて複数のイベントを関連付け、1つの「インシデント」として優先順位を付けた形で通知することができる。これまで、インタフェースや付随するイベントの説明情報などは英語のままだったが、このバージョンから日本語化された。また、具体的な対処法なども示されるようになっている。

 何らかのイベントが起きるとネットワークインタフェース単位ですべてのパケットをキャプチャし、記録する機能や、スイッチなどから得られるフロー情報や他のManHuntから得られた情報を元に、攻撃侵入経路を追跡する「TrackBack」機能も引き続きサポートしている。オプション製品の「iButton」を組み合わせれば、一連のログに電子署名を付加して保存でき、後々法的証拠として用いることも可能という。

 他に、インターネット セキュリティ システムズ(ISS)の「RealSecure」やオープンソースのIDS「Snort」など、他のIDSからイベント情報を収集できる「Symantec ManHunt Smart Agent」が提供されるほか、レポート機能および管理機能の強化が図られている。

 シマンテックでは昨年、包括的なセキュリティ管理フレームワークとして「Symantec Enterprise Security Architecture(SESA)」を発表し、企業向けセキュリティ製品に注力する方針を明らかにしている。具体的な形は未定だが、ゆくゆくはManHuntも、このSESAの枠組みに組み入れられる計画だ。同社の構想が実現されれば、例えば、ManHuntが検出した情報に加え、脆弱性監査ツールで分析したシステムの現状と、セキュリティ情報サービス「Symantec DeepSight」から得られた情報やポリシーを照らし合わせ、重要なものから対処していく、といったことも可能になるかもしれない。

 Symantec ManHunt 3.0の発売は8月28日から。価格はキャプチャする帯域によって設定されており、100Mbps版が196万円、500Mbps版が400万円などとなっている。オプションのSmart Agentは8万円、iButonは18万3200円だ。

関連記事
▼インシデントレスポンスを支援、シマンテックがセキュリティ管理システムを発表
▼Symantec、不正侵入検出ソフト新製品発表
▼シマンテック、不正侵入検知システムと擬装システムを発売

関連リンク
▼シマンテック

[高橋睦美,ITmedia]