「レガシーなセキュリティ製品では脅威への対処は困難」とTier-3

Tier-3は先日、ビートラステッド・ジャパンを通じてセキュリティ情報の監視／管理を実現する「Huntsman」の国内販売を開始した。

[高橋睦美，ITmedia]

　「IDSだけではソリューション足りえない」――そう主張するのは、オーストラリアを本拠とするセキュリティ企業、Tier-3のプロダクトマネージャ、オスカー・マルケス氏だ。

　Tier-3は先日、米Betrustedとの提携に基づき、ビートラステッド・ジャパンを通じてセキュリティ情報の監視／管理を実現する「Huntsman」の国内販売を開始した。ファイアウォールやIDS（侵入検知システム）、IPS（侵入防御システム）に加え、さまざまなサーバやネットワーク機器からログを収集し、それらに相関分析を加えて真に「異常」な挙動に対して警告を出す製品だ。

　マルケス氏によれば、同社がこういった製品を提供する理由は大きく2つある。1つは、同氏言うところの「レガシーなセキュリティ製品」はシグネチャや定義ファイルに頼っており、未知の脅威にリアルタイムに対処するのが困難であること。もう1つは、特にIDSで顕著だが、誤検出が多く、平常のアクセスと真に危険な攻撃の兆候との区別をつけるには、結局人間による監視が必要になってしまう点だ。

　これに対しHuntsmanは、複数のソースからログやアラートを収集、分析する。そして、全体の傾向と照らし合わせながら、複数のレイヤにまたがって脅威の有無を判断する。何らかの攻撃やワームの侵入などを検出した場合は、その出所を突き止め、特定のポートをふさいだり、当該ネットワークを隔離させるなどの対処を迅速に行えるという。

先週開催された「Security Solution 2004」会場のビートラステッドブースでもHuntsmanが紹介された

　山のようなアラートを基にネットワーク全体の傾向を判断し、管理者の負担を減らすという意味で、Huntsmanは既存のセキュリティ製品と競合するものではなく、むしろ補完するものと言えそうだ。

挙動分析でリアルタイムに脅威に対処

　Huntsmanの鍵となっているのが、異常な振る舞いを検出する「BAD（Behavioral Anormaly Detection）」技術だ。「シグネチャに頼らず、自律的に学習を行うため、どんな環境にも適用できる」（マルケス氏）。導入時に個別のチューニングを行う必要もないという。

　たとえば、ある環境では正常範囲に入るログが、別の環境では異常事態を意味するものになるかもしれない。BAD技術は自律的に学習するため、そうした環境によるばらつきやトラフィックの季節的な変動に対応できるという。「トラフィック量にもよるが、早くて3日、遅くても3〜7日で正常と異常との区別を付けられるようになる」（同氏）。

　こうして収集した情報は、脅威への迅速な対処を手助けするだけでなく、後々の監査証跡やフォレンジックにも利用できる。

「日本の企業は極端に従業員を信頼しすぎる傾向があり、従業員が脅威になりうる可能性に思い至らないこともある」とも述べたマルケス氏

　システムがダウンした場合、アラート前後の十分なデータを収集し、原因を追究するのは困難な作業だ。これに対しHuntsmanを利用すれば、ログはデータベースに集約され、しかもタイムスタンプ付きで保管される。いつ、どこでどういった操作が行われたかの履歴が確実に保存されるため、「裁判などでも証拠として利用できる」とマルケス氏は説明した。

日本語ログにも対応

　HuntsmanではいわゆるOSが備えるSyslogのほか、ApacheなどのWebサーバ、SQL ServerやOracleといったデータベースサーバやファイアウォール／ウイルス対策ソフトなどから情報を収集できる。企業が独自に開発したカスタムアプリケーションについては、「ユニバーサル・アダプタ」を利用することで対応が可能だ。

　既にオーストラリアの大手銀行や国防省のほか、グローバルに展開する製薬企業などに導入されているという。この手の製品で常にネックとなるのがローカル環境への対応だが、「日本語のログには対応済み。近いうちにフロントエンドの日本語化も予定している」（マルケス氏）。価格は最小構成で1000万円からだ。

　「最近では、ステルス型のスパイウェアやウイルスが増加している。また、内部ユーザーによる操作ミスや資産の不正な利用も大きな問題になってきた。その上、多様化するフィッシング詐欺という脅威も目の前に迫っている」（マルケス氏）。

　そして、こうした脅威に短時間で対処するには、シグネチャに頼るレガシー型のセキュリティ製品ではなく、ビヘイビア（挙動）ベースの対策が必要だと同氏は強調した。