米Top Layer Networksの日本法人トップレイヤーネットワークスジャパンは11月18日,インターネットからLANなどへの攻撃を防ぐアプライアンス製品の新版「Attack Mitigator IPS 5500シリーズ」を発表した(写真)。特定のプロトコルを遮断するだけではなく,許可しているプロトコルについてもトラフィックの中身を調べて,攻撃と判断した場合には遮断する。現行版ではHTTPについてのみ中身を調べたが,新版ではDNSやFTP,SMTPおよびP2Pにも対応した。出荷開始は2004年3月末。価格はオープン(参考価格はIPS 5500-100が600万円)。
Attack Mitigator IPS 5500は,インターネットとLANの境界や守りたいサーバーの前に設置して攻撃を防ぐセキュリティ製品である。「簡単に言うと,ファイアウオールとIDS(侵入検知システム)を組み合わせたような製品だ」(Top Layer NetworksのMike Paquette副社長)。ファイアウオールのように,特定のプロトコルを通さないように設定できる。加えて,許可したプロトコルであっても,IDSのようにトラフィックの中身を調べ,不正と判断した場合にはポートを閉じるなどして遮断する。このような製品は,IDP(Intrusion Detection and Prevention:侵入検知・防御システム)やIPS(Intrusion Prevention System:侵入防止システム)と呼ばれる場合が多い。
Attack Mitigator IPS 5500の特長は,「ほとんどの処理をASIC(特定用途向けIC)化しているので,他社のIDP/IPS製品と比較してパフォーマンスに優れる」(Mike Paquette副社長)ことだという。
トラフィックが不正かどうかは,「パケットが正常かどうか(例えば,RFCに違反していないかどうか)」「既知の攻撃パターンに一致するかどうか」――などから判断するという。IDSでは,前者は「アノーマリ(異常)検出型」,後者は「シグネチャ型」などと呼ばれる。Attack Mitigator IPS 5500は両方の検出方式を用いる。既知の攻撃パターンを収めたデータ・ベース・ファイルである「シグネチャ」は,Top Layer Networksのサイトからダウンロードする。
現行版のAttack Mitigator IPS 100/1000では,HTTPのみトラフィックの中身を検査した。新版ではDNSやFTP,SMTPおよびP2Pのトラフィックも検査できる。このため「例えば,スパム(迷惑メール)の遮断にも利用できる」(Mike Paquette副社長)という。P2Pはアプリケーションによって使うプロトコルが異なるが,「代表的なP2Pアプリケーションのプロトコルはカバーしている」(同氏)。
Attack Mitigator IPS 5500には「5500-100」「5500-500」「5500-1000」の3モデルがある。5500-100は10BASE-T/100BASE-TXポートを4個(このほか,管理用ポートが4個),5500-500と5500-1000はGBICポートを4個と10BASE-T/100BASE-TXポートを4個(このほか,管理用ポートが4個)をそれぞれ備える。
◎参考資料
◆Attack Mitigator IPS 5500/製品概要(トップレイヤーネットワークスジャパン)
(勝村 幸博=IT Pro)
