 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
東京エレクトロン、米ImpervaのWeb/DBセキュリティアプライアンスを発売 |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
東京エレクトロンのマーケティンググループ、松永豊氏によれば、同社はSecureSphereシリーズを“データセキュリティ”のアプライアンスとして位置付けているという。既存のファイアウォールやIDSなどはネットワークセキュリティ製品であり、「データを守るところまではまだいっていなかった」(松永氏)。そこでネットワークに関係のない、アプリケーションの脆弱性が狙われていたが、これを防御できる製品が必要とされているというのである。 しかし、既存のアプリケーションファイアウォール製品では、1)高い検知精度、2)システムに影響を与えない、3)ポリシー管理が柔軟にできる、という3点の課題をすべてクリアできるものはなかなかないという。今回、Impervaの製品を取り扱うことにしたのは、同社製品が持つ特性により、これをすべてクリアしているからだとのことで、「サーバーに干渉することなく、監視、記録、不正アクセス防止を実現することが可能」(松永氏)な点が、SecureSphereシリーズの特徴になっている。 1)に関しては、シグネチャを利用し、それに合致する通信を拒否するネガティブモデルと、許可したものだけを通過させるポジティブモデルを組み合わせ、「両方の精度を高めてグレーゾーンを狭める」(松永氏)仕組みを採用した。検知モジュールはファイアウォールをはじめ、Snort互換のシグネチャを用いるIPS、プロトコル違反検査、Webファイアウォール、データベースファイアウォールなど複数のものをあわせて利用でき、それぞれの相関関係から攻撃を検知するCAV機能を搭載している。 またポジティブモデルの方では、最適なポリシーを作ることが難しいという欠点を解消するため、通信を継続的に自動学習して、最適なルールを設定していくダイナミックプロファイリング機能を用いることが可能だ。 2)では、ネットワーク構成を変更せずに導入できるブリッジモードでの利用をサポート。アプリケーションプロキシ形式を採用した製品と異なり、通信速度の低下や利用できなくなるアプリケーションの発生などを防ぐことができるほか、データベース監査・防御も含めて、サーバー側の構成変更なども不要になっている。 3)では、1)のところでも触れたダイナミックプロファイリング機能が効果的に働く。ユーザー、送信元、アプリケーション、httpパラメータ、SQL、テーブル、曜日、時刻といった項目の学習を行え、内部ロジックの判断で許可/遮断ポリシーを自動で生成する。「eコマースなどでは新しい機能やページが日々加わるので、手作業でポリシーを維持していくのは非現実的だった。これによってデータセキュリティが実用的になる」(松永氏)。 さらに、7月末以降に提供される予定のOS新版では、データベースとWebのトラフィックを相関エンジンで分析して、ユーザーごとのデータ操作を特定する「Universal User Tracking」も搭載する予定とのこと。 ハードウェアプラットフォームは、処理能力に応じて3種類が用意される。インターフェイスはすべてGigabit Ethernet×6を搭載し、スループットは、エントリーのG4で500Mbps、ハイエンドのG16で2000Mbps。価格は、WAFアプライアンスが最小構成で567万円(税別)から。 ■ URL 東京エレクトロン株式会社 http://www.tel.co.jp/cn/ ニュースリリース http://www.tel.com/jpn/news/2006/20060704.htm
( 石井 一志 )
|
