複数の検出手法で端末やサーバを保護、マカフィーがホスト型IPSの新版

マカフィーは、クライアントPCやサーバを保護するホスト型不正侵入防止製品「McAfee Host Intrusion Prevention（HIP）6.0」を発表した。

[ITmedia]

　マカフィーは4月20日、クライアントPCやサーバを保護するホスト型の不正侵入防止製品、「McAfee Host Intrusion Prevention（HIP）6.0」を発表した。

　McAfee HIP 6.0は、主にゲートウェイの部分で不正アクセスをブロックするネットワーク型のIPS（不正侵入防御システム）とは異なり、末端の端末そのものを保護するソフトウェアベースのセキュリティ製品だ。HIP 6.0のポリシー設定やセキュリティ状況の把握は、同社が提供する統合管理コンソール「McAfee ePolicy Orchestrator」を通じて行うことが可能だ。

　最新版では、シグネチャベースの不正侵入検知／防御機能に加え、ビヘイビア分析に基づく防御やパーソナルファイアウォールといった3種類の手法を組み合わせ、端末を保護することができる。また、SQLインジェクションをはじめとするアプリケーションレベルの攻撃からホストを保護する機能も追加された。

　「3種類の検知技術を組み合わせることにより、検出の精度を高めることができる。また、それぞれの分析結果を組み合わせることで攻撃手法を特定し、セキュリティポリシーに反映させていく作業を管理者が容易に行うこともできる」（同社マーケティング本部、プロダクトマーケティング部の若松信康氏）

　数年前に比べると、発見された脆弱性が攻撃コードに転化するスピードは早まっており、いわゆるゼロデイ攻撃も珍しくはない。そうした未知の攻撃に対する防御機能として、独自のバッファオーバーフロー防御機能が搭載されているほか、端末上で動作するアプリケーションが範囲外のデータやレジストリに書き込みを行えないようにする「エンベロープ（囲い込み）」機能などもサポートされた。逆に、セキュリティ対策ソフトなど必須のソフトをマルウェアから保護する「シールド」機能も備えている。

　こうしたセキュリティ機能によって、既存のアプリケーションの動作に影響が生じる可能性もある。しかし「HIP 6.0は学習機能を備えているため、顧客の環境に応じたルールを調整していくことが可能だ」と若松氏は述べた。

仮に名前が変更されていたとしても、フィンガープリントのチェックによってアプリケーションの利用を制限できると述べた若松氏

　さらに、企業として禁止すべきアプリケーションの利用やUSBデバイスの使用を制御する機能、最低限のセキュリティチェックを行い脆弱なPCの接続を防ぐ隔離（検疫）機能なども搭載した。

　HIP 6.0にはサーバ版とデスクトップ版がある。基本的な機能は同じだが、前者はWebサーバなどを、後者はユーザーが利用する端末を保護するものという位置づけだ。価格は、年間サブスクリプションの場合、サーバ版が8万5000円、デスクトップ版は2820円から。使用年数に制限のないパーペチュアルライセンスでは、それぞれ17万1000円、5650円となる。