IPSアプライアンスカタログ2005[中編]

DoS攻撃やスパイウェアにも効く
不正侵入防御システム

岡田大助
@IT編集部
2005/7/29

 ジュニパーネットワークスIDP
 (ジュニパーネットワークス)

 ジュニパーネットワークスの不正侵入防御アプライアンスは、IPSではなく「IDP(Intrusion Detection and Prevention)」と呼ばれている。このIDPこそが初めてアプライアンス製品として市場に登場したIPSなのだ(2002年に登場したときの開発元はOneSecure。OneSecureはその後NetScreenに買収され、NetScreenはジュニパーネットワークスに買収された)。

 IDP 50/200/600/1100の4タイプ(6モデル)が用意されており、最大スループットは50Mbpsから1Gbps。シグネチャ検知やアノーマリ検知のほか、IPスプーフィング検知やレイヤ2攻撃検知、ネットワークハニーポットなど8種類のセンサを持つ。ちなみにシグネチャの更新は毎日実施される。また、SIPのプロトコルデコード機能を他社に先駆けて実装した(従来はシグネチャベースだった)。

 アプライアンス型のIPSとして一番長い歴史を持つことから、他社製品が持つIPSとしての基本機能は当然備えている。ジュニパーネットワークスが現在取り組んでいる課題は、ユーザーが抱く「IPSの運用は難しい」「専門知識が要求される」という苦手意識のブレークスルーである。そのためIPSの管理画面を、多くの管理者が普段から目にするファイアウォールのそれに似せたものにし、「何をどうしたらいいのか」が直感的に分かるようなインターフェイスを目指している。

●ITマネージャ層にこそネットワークで何が起きているのかを知ってほしい

 ジュニパーネットワークスIDPの特徴として、ESP(Enterprise Security Profiler)が挙げられる。これは平時からネットワークを流れるすべてのパケットをプロファイリングし、アプリケーションごと、プロトコルごとにデータをデータベースに収集するもの。ユーザーとサーバの間でやりとりされるユーザーネーム、コマンド、IPアドレス、利用しているWebブラウザやメールソフトの種類やバージョンなどが収集され、管理者がネットワークの状況をいつでも把握することが可能となる。

 このように平時の情報が蓄積されているため、ネットワークに何らかの変化が発生すれば攻撃の予兆として早期発見につなげられる。例えば、新しいポートが使われ始めたとすれば、それは新たなアプリケーションが利用され始めたのか、そうでなければ誰かがワームに感染したのではないかと疑うことができるのだ。

 万が一、問題が発生したとしても、攻撃のあて先アドレスやワームの送信元アドレスなどが収集されているため、管理者は即座に問題解決のアクションを起こすことが可能となる。セキュリティが低い持ち込みPCによるネットワーク内部からの攻撃が問題となっている昨今、社内に無許可のサーバやPC、アプリケーションが接続された段階で管理者に警告が出る設定で運用することも可能なので、単なるIPSではなくネットワーク管理ツールとしても効果を発揮するだろう。

 そのほか技術的に面白いと思われるのは、バッファオーバーフローエミュレータだろう。これは「シェルコードを一網打尽にするもの」(同社担当者)もので、悪意のあるコードが実行されるところを監視している。詳細については企業秘密とのことだが、低いレイヤでエミュレート(例えば、チップをエミュレートし命令部分を解析)しているという。この結果、バッファオーバーフローを引き起こす攻撃に対する検知精度が格段に向上した。シグネチャによってマッチングしているのではないので、次々と登場する攻撃の亜種にも効果的な検知能力を発揮する。

 導入は約10種類のテンプレートをベースに開始し、自社のネットワークに適した形にカスタマイズしていく。将来的には、インストールやカスタマイズの部分を簡略化し、より敷居の低い不正侵入対策を実現したいという。

  1100 600 200 50
価格
オープンプライス
性能
スループット
1Gbps
500Mbps
250Mbps
50Mbps
同時セッション数
500,000
220,000
70,000
10,000
監視セグメント数
5
5
4
1
監視用ポート数
10/100/1000 BASE-T
10
10
8
2
(600、1100モデルにはGigabit Fiber対応バージョンあり)
サイズ
筐体
2U
2U
2U
1U

写真は200

4/4


Index
DoS攻撃やスパイウェアにも効く不正侵入防御システム
  Page1
IPSは難しい?
  Page2
DefensePro(日本ラドウェア)
  Page3
Symantec Network Security 7100(シマンテック)
Page4
ジュニパーネットワークスIDP(ジュニパーネットワークス)

IPSアプライアンスカタログ
  セキュリティの次の一手となる不正侵入防御システム
(ISS、マカフィー)

関連リンク
  IPSの実装方法と防御技術とは
  IPSを実装する場所と考慮すべき点

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH