ギデオンの「Cyber Cleaner ST」は、インターネットとの接続口にインラインで配置する、ゲートウエイ型のセキュリティ機器である。主にDDoS攻撃やランサムウエア対策に利用できる。これらの攻撃パケットをゲートウエイ上でドロップすることによって、社内LANを守る。
ゲートウエイ自身はIPアドレスを持たない(隠している)機器であり、トランスペアレント(アクセス透過型)で、L2ブリッジのように利用できる。このため、ユーザーやアプリケーションは、Cyber Cleaner STの存在を意識することなく利用できる。IPパケットがCyber Cleaner STを通過する際に、問題があるIPパケットだった場合は、これをドロップする。
IPパケットのヘッダー情報だけを見て、そのまま通すかドロップさせるかを、個々のIPパケットごとに個別に判断する。処理が軽いので、1Gビット/秒のラインスピードで利用できる。どのパケットとどのパケットが対応するかというセッションのステータスを管理する必要がないので、ゲートウエイ自体がDDoS攻撃に対して強く、DDoS攻撃を受けても機能不全に陥らない。
IPヘッダーのフィルタリングルールとして、NICT(情報通信研究機構)からライセンス購入したデータベースと、ロシアのKaspersky Labのデータベースを利用する。NICTのデータベースからは、DDoS攻撃などの不正な攻撃についてのデータが得られる。Kaspersky Labのデータベースからは、ランサムウエアの配布先やC&C(司令塔)サーバーのデータが得られる。
製品は、IPパケットを実際にドロップするインライン型のゲートウエイ機器本体のほかに、インターネットと通信してデータベースを1時間に1回ダウンロードする専用サーバー機「AccessControl」で構成する。この2台の機器をネットワークケーブルで直結して使う。データベース更新情報は、その都度AccessControlからゲートウエイ本体に反映する。IPフィルタリングのログは、AccessControl側に蓄積する。
フィルタリングは原則、全自動で動作する。必要に応じてフィルタリングを設定する使い方も可能で、(1)基本フィルター、(2)国別フィルター、(3)リアルタイムフィルター、から成る3つの独立したフィルターを利用できる。フィルターの動作状況は、Web画面でレポートとして参照できる。これをもとにフィルタリングルールをメンテナンスできる。Web画面だけでなく、PDFで週次レポートを出力する機能も備える。
(1)基本フィルターは、ポート番号などを指定する。(2)国別フィルターは、IPアドレスの所属国情報を利用して、国単位で指定する。救済策としてホワイトリスト機能も備え、ドロップ対象の国でありながら例外的に許可するIPアドレスを指定できる。(3)リアルタイムフィルターは、ヘッダー情報を細かく指定できる。IPアドレス/ポート番号だけでなく、SYN/ACKなどのステータス、TCPの確認応答番号やシーケンス番号、IPの所属国なども指定できる。
| 用途と機能 | インターネットとの接続口にインラインで配置する、ゲートウエイ型のセキュリティ機器。主にDDoS攻撃やランサムウエア対策に利用でき、これらの攻撃パケットをゲートウエイ上でドロップする |
|---|---|
| アーキテクチャと使い方 | トランスペアレント(アクセス透過型)で、L2ブリッジのように利用できる。IPパケットがCyber Cleaner STを通過する際に、問題があるIPパケットだった場合は、これをドロップする |
| フィルタリングの仕組み | IPヘッダー情報だけを判断材料として用い、個々のIPパケットごとにフィルタリングする。セッションステートを管理する必要がないので、ゲートウエイ機器自身がDDoS攻撃を受けても機能不全に陥らない |
| フィルタリングに使うデータベース | ■NICT(情報通信研究機構)からライセンス購入したデータベース(DDoS攻撃などの不正な攻撃についてのデータ) ■ロシアのKaspersky Labのデータベース(ランサムウエアの配布先やC&C(司令塔)サーバーのデータ) |
| フィルタリングルール | 原則として全自動で使える。必要に応じて、独立して動作する3つのフィルターを利用できる。ポート番号などによる基本的なフィルター、国別フィルター(ホワイトリストによる例外設定が可能)、IPヘッダー情報を細かく設定するフィルター、が利用できる |
| 制御できるIPバージョン | IPv4、IPv6 |
| 価格(税別) | 初年度が約200万円 次年度以降は年額約20万円 |
| 発表日 | 2016年9月30日 |
| 出荷日 | 2016年9月30日 |