 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
既存セキュリティ製品を補完するワーム対策アプライアンス |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
Mirage Inverted Firewallは、内部セキュリティを強化するためのアプライアンスサーバー。ワームの拡散や悪意のある第三者が行うスキャニングなどからネットワークを守るものだが、Mirageの社長兼CEO、Tony Jennings氏によれば「ファイアウォールなどの境界セキュリティ製品やウイルス対策製品の代替として使うのではなく、それらを補完する役割を持つ」製品だという。 同製品を利用する場合は、スイッチを置き換えたり、ルータの背後に設置したりするのではなく、IDSやSnifferなどと同じように、ネットワークスイッチのミラーポートに接続して利用する。これでは、一見、ワームの検知はできても拡散防止には役に立たないように思えるが、同製品では独自の技術を用いて、ワーム感染PCなどの不正通信発生源を論理的に隔離し、不正通信をシャットアウトできるという。Jennings氏は「インラインではないため、ネットワークのパフォーマンスには影響を及ぼさない」とその長所を強調した。 具体的な仕組みとしては、「HyperDetection」技術を利用する。同社では、ワームが感染行動の一環として、ランダムなIPアドレスへアクセスを試みる場合が多いことに着目。運用中に、未使用(もしくは存在しない)IPへの接続要求を盛んに出しているPCを検知した場合、そのPCを不審なものとして警告する。このためInverted Firewallでは、接続されたネットワーク(ブロードキャストドメイン)のマッピングを静的に行い、使用されているIPと未使用IPをあらかじめ把握しておく。 加えて、ワームにネットワーク内への感染行動をさせないよう、未使用IPを仮想的なおとりとして利用する。ワーム感染PCが実行したPingやポートスキャンなどに、Inverted FirewallがあたかもPCであるかのように応答。そのおとりに感染行動をくぎ付けにし、次のターゲットへ移らせないようにしている。さらに、クローキングという技術を使って、感染PCが持つARPテーブル(IPアドレスとMACアドレスの関係が記録されたデータベース)を書き換え、実存するPCへ攻撃が到達しないようにする。 また、「攻撃の特定はシグネチャではなくビヘイビア(振る舞い)ベースの検知アルゴリズムを使用するため、既存の脅威だけでなく“ゼロデイ”攻撃に対しても効果を発揮する」と述べたJennings氏は、「こうした特徴によって、非エージェント型のエンドポイントコントロールが提供できるが、すべてのセキュリティをまかなえるものではない」とし、補完的な製品であることを繰り返し強調していた。 Inverted Firewallには、1000BASE-T/100BASE-TX/10BASE-Tポートを4基備える「Model 145」と、8基持つ「Model 245」の両製品が用意された。それぞれ最大スループットは400Mbps、1Gbpsで、価格は270万円より。このほか、製品価格の20%の年間保守料金も必要となる。 MBSDでは、導入支援サービス、管理者向けの教育サービスなどもあわせて提供し、2005年度末までに500台、10億円の売上を目標としている。 ■ URL 三井物産セキュアディレクション株式会社 http://www.mbsd.jp/ プレスリリース(PDF) http://www.mbsd.jp/pdf/1100522842_1239.pdf
( 石井 一志 )
|
