 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
“脆弱性の全方位防御”を実現するIPSの価値とは? |
||||||||||||||||||||
|
||||||||||||||||||||
|
~IPS座談会
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
そこで今回は、IT系ライターの山本雅史氏と真実井宣崇氏、IPSベンダー代表としてTippingPoint日本支社の相馬正幸支社長、桜井勇亮セールスエンジニアの4名をお招きして、注目が高まっているIPSに関して、座談会を行った。 ■ IPSが登場した背景
山本氏 最初は、どんな経緯だったんでしょう? 相馬氏 当社は2002年に初めて、IPSというコンセプトの製品を開発して世に出したのですが、その後調査会社がレポートにまとめてくれたり、カンファレンスでアピールされたりする中で、世の中にだんだんと認知されていった、という状況です。それまでは「検知だけでいいのではないか」という姿勢の企業が多かったですし、また技術的に、コピーしてバックグラウンドで処理すればいいのですから検知は簡単なんですけど、ボトルネックになってはいけないですから、瞬時の防御は難しかったんです。 山本氏 リアルタイムに見ていく必要がありますものね。 相馬氏 そうなんです。従来の製品では、処理スピードが間に合わなかったんですよね。それから誤検知の問題があったり、今まで使えていたアプリケーションが使えなくなったり、ということで、IPSに対する抵抗感が強いものがありました。それでも、精度もパフォーマンスもいいIPSがあるんだと、研究機関や大手企業で認められてきたこともあって、一般への認知度は上がってきていますね。 山本氏 すると、市場は順調に大きくなってきているんですか。 相馬氏 調査会社によると、2005年を境に(ワールドワイドで)IPSとIDSが逆転したとのことです。 真実井氏 そこまで、IPSというコンセプトがすんなりと受け入れられてきたと? 相馬氏 いえ、誤検知の懸念もありますし、本当にその場で遮断してしまって大丈夫なのか、という心配も皆さん抱かれるので、最初は相当苦労したと聞いています。また大手企業は日本と同じように保守的なところがありますから、納得してもらうためにIPSをIDS的に(ミラーポート経由で)使えるようにして、問題がないことを検証してから、インラインで使ってもらったようですね。 真実井氏 インラインの設置になると、誤検知や本来必要なトラフィックの遮断をされるのではないか、という懸念をいだかれるのは、導入する側の立場からするともっともだと思います。そこは慎重になるところです。 相馬氏 実はそれが、当社製品の優位性の核になるところでもあるんですよ。優れたアーキテクチャのもと、ASICなどの優れたハードウェアを開発して、リアルタイムでの処理に影響を与えないような製品を実現しているんです。 真実井氏 その成果が、(最上位製品で実現している)5Gbpsのスループットということですか。 相馬氏 単体ではそうなのですが、今はコアコントローラという構想で10Gbpsでも可能になっています。従来の製品を多重利用する、例えば5Gbpsのものを2つつなげると10Gbpsになるんです。ロードバランサー的な考え方ですね。これを使うと、今までの資産を無駄にすることなく、10Gbpsを実現できます。また単体では、今年の半ばくらいに10Gbpsの製品も提供します。 ■ インライン製品は速度が命
相馬氏 実は、IPSを導入したといっても、インラインでIPSとして使われているかどうかはまた別問題で、検知だけに利用しているケースも多いんです。しかし当社製品はインラインで使われることを前提にしているので、5Gbpsのスループットを出すと言ったら、本当に出さないといけない。それが他社と違うところですね。ICSA LabsがさまざまなIPSをテストして、最終的に認められたのは当社を含めて3社あるんですが、実際にスピードが出たのは当社だけだったんです。 真実井氏 カタログ値と実行速度が非常に近いわけですね。 山本氏 そのあたり、実際にスピードを不安視されて、実環境でテストされたことはあるんですか? 桜井氏 ありますね。ただし導入すると、基本的には問題なしとなります。パフォーマンスに関しては実績もあるので、疑いの目で見られていることは、最近はなくなりました。もっとも、逆に、「速い分何もやってないんじゃないの?」と言われることがあります(笑)。 ―速すぎるからこその悩みですか(笑)。そのあたりは、導入テストをしてレポートを出すと、納得してもらえるんじゃないですか? 桜井氏 ネットワークを可視化してお見せすると傾向がわかりますし、身近な問題として考えていただけますから、効果的ですね。 ■ 誤検知問題への対応は?
海外と異なり、日本市場でなかなか受け入れてくれなかったのは、どういうところに理由があるのでしょう? 相馬氏 日本独自の考え方や文化が背景にあるのでしょう。かつては、記録としてログを残しておけば、とりあえずのセキュリティ対策としては間に合っている、ということがありました。日本では社員のロイヤリティも一般に高いので、国内のセキュリティは安全な方だったんでしょうね。しかし海外では、新たな脅威によって日々被害を受けているケースがありましたので、一歩踏み出して対策しなくてはいけないという意識が強かったのではないでしょうか。脅威が国の境界を越えて高まっていくと、日本もうかうかしていられなくなると思います。 山本氏 お客様と実際に接する中で、IDS/IPSの誤検知の問題はやはり話題になりますか? 桜井氏 はい。一番良く聞くのは、導入時のチューニングの時にですね。誤検知が出る出ないは環境やトラフィックによっても変わりまして、一概に言えないので難しいんです。すごく気を使ってやらなくてはいけないので、数カ月単位で時間がかかってしまいます。 山本氏 それは、TippingPoint製品でも同じ? 桜井氏 いえ、当社の場合、あらかじめ約1100個の推奨フィルタが決められていて、チューニングする必要がないパッケージとして提供されているので、敷居が低いという特徴があります。ちなみに、複数のIPSがある場合でもSMSという管理製品で一括管理できますし、日々の更新も自動で行われ、人手を介さないようになっていますね。 山本氏 でも、ワールドワイドでの日々アタックは進化していますよね。そういう中で新しいアタック方法が出たときに、防御に限界があるのでは? 桜井氏 そのときにポイントになるのが脆弱性への対応スピードでして、1カ月かかってしまっていたのでは、その間防御できないので危険になるわけです。2002年ごろに、マイクロソフト製品の脆弱性を悪用するワームが流行しましたよね? ―(2003年初頭の)SQL Slammerはやっかいでしたね。 桜井氏 ほかに、NimdaとかCode Redとかもありましたが、感染力が強いワームが出現した時に、事後対応では間に合わないと認識されたことが、IPSのブレイクのきっかけになったといわれています。 山本氏 最近も新しい攻撃手法は出ています? 桜井氏 毎週、新しいものが見つかっていますね。当社ではそれに対応するために週次でアップデートを提供していますが、最近の特徴としては、アプリケーション寄りの脆弱性が増えています。それから、WebアプリケーションやSQLインジェクションなども多いですね。 山本氏 攻撃も複雑化していますし、対応も大変そうですが。 桜井氏 そうですね。守る方もかなり気を遣って、OSなどは安全になっているので、その分ハッカーも知恵を付けている。守る方が成長すれば攻撃側も成長するいたちごっこになっています。 ■ 仮想パッチという考え方で、脆弱性を丸ごとカバー
桜井氏 当社のIPSでも、まず脆弱性を見つけ、どういう攻撃を受ける可能性があるかをテストし、それに対してどういう防御方法をとれば安全かを判断して、その上でワクチンを提供する手法を採用しています。 真実井氏 それだけ多くの防御をしなくてはいけないとなると、ASICが息切れしてしまいませんか? 桜井氏 フィルタが増えるにしたがって性能への影響が大きくなるのはまったく否定はできませんけれど、当社ではASICを使っているので、性能劣化は緩やかといわれています。1000のフィルタが4000になっても、同じレベルのパフォーマンスを達成できるはずなんです。 相馬氏 それに、通すフィルタの数が多くなれば、パフォーマンスがどんどん悪くなるかといえば実はそうではない。まんべんなくコンベアしていくというシグネチャベースですべて対応しているのではなく、当社ではティア構造を採用しているので、影響を受けにくく、また亜種への対応もスムーズに行えます。 桜井氏 バーチャルパッチという話が先ほど出ましたけど、攻撃パターンごとの対応が必要なエクスプロイトフィルタと違って、脆弱性そのものに対応する脆弱性フィルタでは、1つでその脆弱性を悪用するものを丸ごと防御できるということもあります。 山本氏 Microsoftなんかは定期的にパッチが提供されていますし、情報も多いですが、企業には、独自開発のものを含めて、いろいろなアプリケーションがありますよね。そういうところも守らなくてはいけません。 桜井氏 そうですね、独自開発のアプリケーションにはさすがに(個々の脆弱性を見ての)対応難しいでしょうけれども、カバーできる数は広がっています。 相馬氏 例えば、VoIPに関する脆弱性にもアドバンテージがあります。当社の(IPSのフィルタを作成する)DVラボにはその専門家がいるんです。また、世界中のセキュリティ研究者のコミュニティ「Zero Day Initiative」など、社員以外からの有益な情報を集めていて、OracleやMicrosoftなどの著名な企業だけでなく、その他のものも含めてきめ細かい情報収集を行えています。またMicrosoftについては、水面下で脆弱性を発見して対応を進めているので、脆弱性公表後、他社は6~9日かかった対策が、当社では脆弱性を事前に察知して、公表の33日前に完了していた、という事例もあるんです。 それからバーチャルパッチということでは、今、脆弱性が発表されても、エンドユーザーはいきなりパッチを当てられないですよね。テストをして、計画して当てるわけですが、その間は脆弱性があることをわかっていても無防備な状態が続いてしまいます。その間も、IPSを利用すればカバーが可能です。 ■ IPSの次はどうなる?
相馬氏 しかし、他社は個別の機能だけを提供していることも多いですが、当社ではトラフィックをすべて見ていますし、DDoSへの対応も、検疫の機能も提供できます。また、トラフィック自体のコントロールが可能なことも強みですね。例えば、スカイプというのは便利なアプリケーションで、それを使うことで業務効率が上がるところもあれば、逆に必要ないところもあります。当社のIPSでフィルタをかければ、必要なところにだけ使えるように設定できるんですよ。 山本氏 なるほど。IDSからIPSになって、インラインへ導入されることよってそうした機能も利用できるわけですね。ではこの先、IPSの次のステップとしては、どう変わっていくのでしょうね。 相馬氏 当社の場合、IPSを中核として総合的なセキュリティソリューションを提供する方向にありまして、具体的には検疫管理機能を拡充しています。総合的な幅を拡げる方向で取り組んでいますね。 山本氏 検疫は他社もソフト製品などで取り組んでいますよね。 相馬氏 当社ではIPSですべてやっていて、その上に融和性の高い検疫を加える形ですから、総合的にカバーできるのが大きな優位性になります。ポイントソリューションを組み合わせると、チューニングや相性などの問題が出て、非常に難しいでしょう。 桜井氏 ネットワークセキュリティ機器も進化していくとは思いますが、トラフィックを制御するという基本は変わらないでしょう。もちろん、ファイアウォールの時は少ない情報でやっていましたが、IPSでは多い情報で制御できるようになった、という違いはあります。検疫では、さらに広い情報でそれが可能になる。しかしながら、攻撃をブロックするという本質的なところは、近い将来では変わらないのではないでしょうか。 ―長時間、どうもありがとうございました。 ■ URL TippingPoint(日本語) http://www.tippingpoint.com/japan/
( 編集部 )
|
