導入や運用に着目したIPS製品の新世代

IPS技術の成熟に伴い、導入のしやすさや脆弱性情報との連携といった側面に着目した新たなアプライアンスが登場している。

[高橋睦美，ITmedia]

　不正侵入防止システム（IPS）の分野では、技術の成熟に伴い、いくつか新たな流れが生まれつつある。

　RSA Conference 2005に出展しているIPSベンダーに聞くと、シグネチャに頼らず脅威を検出する「アノーマリ分析」「ビヘイビア解析」はもはや当たり前。マーケティング的な誇張もあるだろうから鵜呑みにはできないが、各社とも「新たな脅威」「未知の攻撃」を検出、ブロックできる、と口をそろえる。そして今年は、侵入検知／防御という基本的な機能の向上に加え、管理など別の側面にも着目しはじめたようだ。

　最も分かりやすい「パフォーマンス」の強化を図ったのは、TippingPointだ（関連記事）。同社がリリースした「TippingPoint 5000E Intrusion Prevention System」は、ギガビットイーサネットポートを8個搭載し、最大で5Gbpsのスループットでワームやスパイウェアなどの侵入を食い止めるといい、DoS攻撃への対応機能も強化されている。

　SnortをベースにしたIPSアプライアンスを開発、提供するSourcefireも、新たなモデル「Sourcefire IS5800 シリーズ」をリリースした。ASICに加え、PowerPCによる処理を組み合わせることで、64バイトのスモールパケット交じりのトラフィックに対しても最大8Gbpsのパフォーマンスを実現する。VoIPのように遅延に厳しいアプリケーションを利用している環境でも、支障なく利用できると同社は説明している。

導入しやすさ、運用しやすさに焦点

　一方、新興企業のArxceoは使い勝手に着目した「Ally IP1000」を発表した。同社独自の「Tag-UR-IT」技術を実装した、ステルスモードで動作するIPS製品だ。

　通過するパケットに独自の「タグ（目印）」を追加してトラフィックの状況を分析し、攻撃や悪意あるコードを検出する。同時にIPアドレスの確認も行う仕組みで、DNSサーバにニセの情報を登録させる「DNSポイズニング」といった攻撃手法にも対応できるという。

　他のアノーマリベースのIPS製品の場合、導入から本格運用までに数週間単位の時間を要するのに対し、「Ally IP1000の導入に要する時間は10分以下。『プラグアンドプレイ』で導入できるIPSを目指した」と同社は説明する。

Ally IP1000の本体。Arxceoは既に「この会場で、日本のインテグレータ2社ほどとコンタクトを取った」という

　気になるのは、本体のOSとしてWindows XP Embeddedを採用している点だ。これだけWindows OSの脆弱性が問題になっている以上、「心配するのはもっともだ。だが、基本的にステルスモードで動作し、ネットワーク上でその存在を検出することはできないようになっている」という。

　米国での価格は7995ドルで、インターネットとの接続点だけでなく、内部の重要なセグメントを保護／監視する用途にも利用できる。「既存のファイアウォールやIDSを補完し、セキュリティにもう1つのレイヤを追加できる」（同社）といい、日本市場への展開も視野に入れているという。

　Lucid Securityは、脆弱性情報や社内の資産情報と連携できるIPS製品「ipAngel X3」を紹介した。

　シグネチャのほかアノーマリ分析、ビヘイビア解析技術をサポートしたIPSアプライアンスだが、「ネットワークの状況を定期的にチェックし、新たなデバイスが接続されればそれを検出して脆弱性データベースを更新し、検出ルールをアップデートする」（同社）点が特徴だ。常に自社システムの現状と照らし合わせながら動作するため検出の精度が高く、メンテナンスの手間が少ないことがメリットという。

　同社ははRSA Conference 2005に合わせ、脆弱性の修正を支援する追加機能「Threat Remediation Dashboard」を発表している。

　これは、あらかじめ管理者の担当範囲を指定しておき、その範囲内で新たな脆弱性が発見されると警告を発し、パッチ適用などの作業を促す機能だ。脆弱性の発見から修正までのプロセスをシステム化し、セキュリティ作業の責任範囲を明確にして、セキュリティレベルの維持を支援するという。こうなるともはや、IPSという範疇にとどまらず、脆弱性管理までをサポートする製品だと言える。

　逆に、脆弱性管理システム「IP360」を提供しているnCircleは、同製品をアップデートした。nCircleでは、CiscoのIDS／IPSが生成するアラートを脆弱性情報と付き合わせることで、正確に攻撃を警告する「IDS nTellect」を提供しているが、新バージョンのIP360 Version 6.4ではこの2つを組み合わせ、改善されたレポート機能が利用できるという。