Tweet

ラドウェア、IPSアプライアンスの「免疫」に似た検出機能を強化

脆弱性を狙わない攻撃への対処は？

2009/07/28

　「今後は、脆弱性を悪用する攻撃に代わり、正当な形でリクエストを行ってくる非脆弱性ベースの攻撃が増え、脅威となるだろう」――イスラエル・ラドウェアのセキュリティ製品担当副社長、アビ・チェスラ氏は、7月28日に開催した説明会の中で、今後の攻撃の傾向についてこのように述べた。

　チェスラ氏によると、既知の脆弱性を狙う攻撃は検出しやすいし、シグネチャの作成も比較的容易だ。これに対し、ボットによるDoS攻撃の多くは、一見すると正当なIPアドレスからやってくる通常のWebアクセスに見える。このため、攻撃トラフィックと通常のユーザーによるアクセスとの区別が困難だ。従来はこうしたDoS攻撃がやってきたら、帯域全体を絞るといった形で対処することが多かったが、それでは正当なユーザーにも影響が及んでしまう。

　ラドウェアでは、IPSアプライアンス製品「DefenseProシリーズ」に搭載している「DefensePro APSolute Immunity」機能によって、この課題を解決すると同氏は説明した。

　DefensePro APSolute Immunityは、「人間の免疫機構をまねたもの」（同氏）といい、クライアントやサーバ、ネットワークの挙動を監視し、振る舞い検知によって不審なトラフィックを検出する。攻撃であると判断した際は防御のためのシグネチャをリアルタイムに自動生成し、攻撃パターンが変化すればそれに応じてシグネチャを調整し、攻撃が終了すれば削除する。

　「普通のユーザーならば、一定の順番に則ってWebページにアクセスしてくる。しかし、人工的な攻撃の場合は、そういったシーケンスロジックに沿わない」（チェスラ氏）。統計分析やこういった異常なトラフィックを特定し、接続先を限定することで、一般のユーザーに影響を与えることなくDoS攻撃に対処するという。

　この仕組みは、パッチやシグネチャが提供されるまでの数時間足らずの間に拡散する、同社のいう「ゼロミニット攻撃」への対処にも有効だという。

　ラドウェアではDefensePro APSolute Immunityを、IPSアプライアンス製品のDefenseProシリーズに搭載して提供する。同社は先日、DefenseProシリーズのラインアップを改めており、最大12Gbpsのパフォーマンスを実現するフラグシップモデル「DefensePro 12412」を筆頭に、3モデル、8製品を販売。データセンターやサービスプロバイダー、大規模企業向けに提供していく。参考価格は、1Gbps対応の「DefensePro 1016」が824万円、4Gbps対応の「同4412」が1694万円などで、ライセンスキーの購入により同一モデルでのアップグレードも可能だ。