米nCircle Network Securityは,マシンの“ぜい弱性”を調査し,不正アクセスを監視するネットワーク製品「IP360」を日本市場に投入する。米国では昨年の夏に出荷済みであり,現在,日本の販売パートナとローカライズなどの作業を進めている。来日中のVice President of Corporate DevelopmentのChristian Hobbs氏に,IDS(Intrusion Detection System:侵入検知システム)製品との違いを中心に聞いた。(聞き手は森山 徹=日経オープンシステム)
|
|
|
不正アクセスを検知してアラートを上げる機能を備えるという点では,IDSの一種と言える。ただ,IDS機能を使って不正アクセスに備えるコンセプトが,他製品とは異なる。通常,企業における不正アクセス対策は,(1)セキュリティ・ポリシーの策定,(2)セキュリティ・ホールの分析,(3)不要なセキュリティ・ホールの除去,(4)(業務上やむを得ない)セキュリティ・ホールの監視,という順序で進める。
IDS製品は(4)を実現する機能を提供するだけだが,IP360は(2)と(3)を行った上でIDSを使って監視することが特徴だ。一般的に,1つのセキュリティ・ホールに対しては複数以上の攻撃パターンが想定できる。個別の攻撃の手口に対応するよりも,根幹のセキュリティ・ホールへの対策を優先した方が,費用対効果は高い。
---セキュリティ・ホール対策の機能を教えてほしい
中心となるのは,マシンのぜい弱性を診断するスキャニング機能だ。IP360は,「Device Profiler」「Traffic Monitor」と呼ぶ2種類のネットワーク・センサー,および管理コンソールで構成する。Device Profilerがスキャニング機能,Traffic Monitorが侵入を検知する機能を,それぞれ備える。
IP360のキー・テクノロジは,稼働中のマシンに対してもスキャニングを可能にしたことだ。マシンの追加や新たなセキュリティ・ホールの発覚など,企業ネットワーク(LAN)は常に変化している。このネットワークに対して,毎日でもスキャニングし,問題のあるセキュリティ・ホールをつぶすことが先決だ。
---スキャン結果は,どのように利用するのか
Device Profilerが得た“マシンの状況”に基づき,Traffic Monitorが侵入検知を行う。個々のマシンのぜい弱性を押さえているため,IDSの課題である誤検知(フォールス・ポジティブ)が劇的に減らせる。例えば,複数のマシンに同様の攻撃がきても,該当パッチが適用済みのマシンではアラートが上がらない。
---なぜ稼働中にスキャン可能なのか
他のスキャニング製品は,セキュリティ・ホールを攻撃し,実際にバッファ・オーバーフローなどを引き起こして診断する。このような,コップをハンマーで叩くようなやり方では,稼働中のネットワークで実施することが難しい。これに対してIP360では,SQL文に似た複数の問い合わせをセキュリティ・ホールに投げ,その結果からぜい弱性を判断している。
---スキャンやその結果のトラフィックが気になるが
問い合わせのためのトラフィックはごくわずかだ。スキャナと管理コンソール間で300Kバイト程度の情報のやり取りがあるが,少なくともG(ギガ)のLANでは全く問題にならないだろう。
---最後にローカライズの内容を教えてほしい
管理コンソールには,マシンごとのぜい弱性やリスク・レベルなどが表示される。ぜい弱性の説明や対処方法の日本語化はもちろん,日本語版製品に特有のぜい弱性情報なども取り込んでいる。また,コンソール上には該当パッチの入手先リンクを示して適用作業を支援しているが,リンク先などを日本の環境に合わせているところだ。
