「例えば,いつもは1日数通しかメールを送っていないユーザーが,一度に1000通も送ったらウイルスになどに感染している可能性が高い。そういったネットワーク・トラフィックの変化から脅威を検出するのが,Proventia Network Anormaly Detection Systemu(ADS)である」---。米Internet Security Systems(ISS)のプロダクト・マーケティング・ディレクタであるMark Butler氏は米国時間2月14日,IT Proの取材に対して,「RSA Conference 2006」で同日発表した新製品群を解説した。
同日発表した製品は以下の4種類。
(1)Proventia Network ADS
(2)Proventia Network Enterprise Scanner
(3)Proventia Network Intrusion Prevention System
(4)SiteProtector
前述のように(1)は,ネットワークのトラフィックを監視して,異常を検出すると管理者に知らせるセキュリティ・アプライアンス製品。具体的には,前述の例のように,通常よりも多量のデータを送信した場合や,いつもはアクセスしないサーバーなどにアクセスした場合,新しいパソコンやネットワーク機器がネットワークに接続された場合,異常として検知する。「同製品を利用すれば,ウイルス対策製品では検知できないような未知ウイルス(ワーム)や,ポリシー違反などを検知できる」(Butler氏)。
異常を検知した場合の対応は管理者に任せられるが,同社の脆弱性スキャナーと連携させることなどは可能だとする。「例えば,Network ADSで異常としたトラフィックを同社のIPS製品でブロックしたり,異常の原因として検知されたパソコンをInternet Scannerで自動的に調べたりするような構成も取れる」(Butler氏)。
異常かどうかを判断するための“ベースライン”は,Network ADSが自動的に作成する。「ネットワークに2週間接続しておけば,自動的に平常状態を学習する。以降,そのベースラインから外れるようなトラフィックが,異常として検知される」(Butler氏)
(2)は,脆弱性(セキュリティ・ホール)を検出するためのアプライアンス製品。機能的には同社のソフトウエア製品であるInternet Scannerとほぼ同等であるため,“Internet Scannerのアプライアンス版”と呼べるが,「搭載しているソフトウエアはスクラッチからリビルトしたもの」(Butler氏)という。
(3)のNetwork Intrusion Prevention Systemは,従来製品をモデル・チェンジしたもの。“中身”は同じだが,きょう体のデザインを変更して,ポートなどをすべて前面に備えた。「このデザインにすることで,サーバー・ラックなどに収めた場合にも管理しやすくなった。ユーザーからの要望が多かったために,このデザインに変更した」(Butler氏)。
(4)は,同社製品を集中管理するためのソフトウエア。同様のソフトは以前から提供しているが,SiteProtectorでは「よりユーザー・フレンドリにした」(Butler氏)。例えば,従来の管理コンソールでは,ネットワーク中のマシンを識別するためにIPアドレスを表示していたが,SiteProtectorでは,管理者が付けたマシン名などで表示できるようになった。
(1)と(3)は3月中旬,(2)については第2四半期の早い時期に米国でリリースする予定であるという。
