Juniperが描く未来のIPSは「ほかのシステムと密に連携」

ジュニパーネットワークスは、ほかのシステムと連携するのが未来の不正侵入検知／防御システム（IPS）だという。

[高橋睦美，ITmedia]

　「未来のIDPには、ほかのシステムと連携してネットワークの状況を広範に把握できるようにすることが求められる」――ジュニパーネットワークスは4月18日、不正侵入検知／防御システム（IPS）製品の方向性について説明した。

　同社は、IPS単体のアプライアンス製品として「IDPシリーズ」を提供するほか、ファイアウォール／VPNアプライアンスの「ISGシリーズ」にもIDPモジュールを組み合わせる形で機能を実装してきた。いずれも、シグネチャに基づいて不正侵入を検出、ブロックするほか、トラフィック／プロトコルアノーマリ分析により、通常とは異なる不審なトラフィックからネットワークを防御する。

　特徴の1つは、専用の管理サーバ「NetScreen Security Manager」（NSM）を通じて、ネットワーク内に分散配置された複数のIDPシリーズを管理、運用できることだ。同社も含め、UTMアプライアンスの一機能としてIPSが搭載されるケースが増えているが、「人手が少なく運用の手間を省きたいという企業ではUTM上のIPSが利用ｓれるだろうが、センサーとしてのIPSも有用であり続ける」と米Juniper Networksのニコライ・ピアジェンティニ氏（テクニカルマーケティングマネージャ）は述べた。統合が進むのは、情報を集約し、可視化する管理インタフェースの部分だという。

　「UTMがあらゆる問題を解決してくれるとは思わない」（同氏）

　また、ルータやSSL VPNアプライアンスといったほかのデバイスと連動し、効果的な防御を実現できることも特徴だという。

　例えば、外部からDDoS攻撃が仕掛けられたことを検知した場合には、「Eシリーズ」ルータにその旨を通知し、迅速に緩和措置を取ることが可能という。同様に、同一の送信元IPアドレスからSSL VPN接続と不正アクセスが同時に検出された場合も、情報を共有することで不正な通信のみを落とし、必要に応じて端末を検疫ネットワークへ隔離するといった処理が行えるとした。

　ピアジェンティニ氏はまた、サーバだけでなくクライアントの保護も重要だと述べた。一般にファイアウォールやIPS、UTMは外部に公開されたWebサーバの保護を念頭に置いているが、「最近の脆弱性を観察すると、サーバに対するエクスプロイト（攻撃コード）はあまりない。どちらかというと、悪意あるWebサイトにアクセスしたり、HTML形式の電子メールを開いたりと、初めにユーザーが何らかのアクションを起こすことで発動するタイプの脆弱性が多い」（同氏）

　この状況を踏まえると、IPSにはクライアントを保護する役割も求められる。「さもなければ、クライアントが攻撃用のツールとして悪用され、セキュリティが確保されたはずのネットワークに踏み台が作られてしまう」（同氏）

　Juniperは先日米国で、IDPアプライアンスの新バージョン、4.1をリリースした。この新バージョンでは、Winnyなど、特定のアプリケーションを制御する「アプリケーション認識」機能が加えられた。ポートを指定するのではなく、アプリケーション特有のトラフィックに基づいてコントロールを行うという。また、あらかじめ推奨されるポリシーやアクションをセット化して提供することで、経験値の少ない管理者でも迅速にIPSを導入、運用できる機能も加わる。日本国内ではまもなくリリース予定だ。