ラドウェア、「他社IPSとは一線を画す」DefenseProの振る舞い検知技術

イスラエルRadware、セキュリティ製品担当バイスプレジデントのアビ・チェスラ氏

　日本ラドウェア株式会社（以下、ラドウェア）は7月27日、IPSの新プラットフォームおよび脅威の最新状況に関する説明会を開催した。登壇したイスラエルRadware、セキュリティ製品担当バイスプレジデントのアビ・チェスラ氏は、まず新脅威として「非脆弱性ベースの脅威」と「ゼロミニット攻撃」を紹介した。

　非脆弱性ベースの脅威とは、DDoS攻撃や総当り攻撃、ハイボリューム攻撃などの総称。脆弱性を突くような攻撃と違って、リクエスト自体は正当な内容なため、検知・防御するにはコツがいるという。

　特にDoS攻撃に関しては、7月に米国と韓国の主要政府機関、報道機関、銀行などが一斉に被害を受けた「Mydoom.EA」による事例が目新しい。Mydoom.EAに感染した2～4万のボットから放たれたDDoS攻撃（分散DoS攻撃）は、一般的なIPSなど従来のセキュリティ対策をすり抜けて、多くのサーバーを高負荷の状況に陥れた。

　行われた攻撃は、多量のパケットを対象に送り込む「HTTP/SYN/UDP/ICMP flood」など。文字通りサーバーを「flood（洪水）」に巻き込むもので、7月の事例では、5～6Gbpsものインバウンド攻撃が継続的に発生したという。

　これらのリクエストは、1つ1つを見るとまったく正常で、それが事態をややこしくしている。脆弱性を突く攻撃は、明らかに攻撃と分かる。一方で、正当なリクエストで行われる非脆弱性ベースの攻撃は、それが攻撃なのか、正当なユーザーのアクセスが一時的にピークを迎えているのかを見極めない限り、確実に防ぐことができないのだ。

APSolute Immunityでリアルタイムシグネチャを作成する流れ。「クローズドフィードバック」の仕組みを採用し、攻撃が変化・終了したタイミングでシグネチャの調整・削除が可能

8月出荷予定の新プラットフォーム。最大12Gbpsのスループットを実現

　チェスラ氏によれば「他社製品でもDoS攻撃を防止する機能は搭載されているが、しきい値を超えた場合にばっさりとアクセスを遮断する方式を採用している。これだと正当なアクセスにも影響を及ぼしてしまい、かつ誤検出も多い」（チェスラ氏）という。

　また、攻撃のゼロデイ化はますます深刻になっていると同氏は警鐘を鳴らす。「Microsoftを狙ったマルウェア“Conficker”の事例では、数分単位で100万台以上のPCをボット化し、DDoS攻撃が行われた。これはもはやゼロデイではなく“ゼロミニット”だ。こうなると、一般的なシグネチャベースのIPS機能では到底間に合わない」。

　こうした状況に通常のIPSとは一線を画すとして訴求するのが、「APSolute Immunity」と呼ばれる独自の「振る舞い検知技術」を搭載した「DefensePro」シリーズだ。

　APSolute Immunityでは、インバウンド・アウトバウンドのトラフィックを「インスペクションモジュール」で監視し、確立分析法により異常なユーザーアクティビティを特定する。例えば、「正常なユーザーは1つの接続でほんの数ページをダウンロードするが、異常なユーザーは1つの接続で多数のページをダウンロードする。あるいは、正常なユーザーはある程度決められたフローで画面遷移するが、異常なユーザーは突然脈略のないページにアクセスする。こうした条件で異常なアクセスを特定する」（同氏）というわけだ。

　異常が特定できたら、即座にリアルタイムシグネチャを自動生成して攻撃を防ぐのがAPSolute Immunity。リアルタイムシグネチャは、攻撃のパターンが変化した場合には調整され、攻撃が終わったら削除するため、常に新鮮な情報に最適化されるのも特徴だ。この仕組みにより、「しきい値と違って、DDoS攻撃中も正当なユーザーのアクセスを止めることなく、不正なものだけを遮断することができる」（同氏）という。

　ラドウェアでは、8月にDefensePro新プラットフォームの出荷を予定している。ラインアップは、1）ミドルレンジの「DefensePro x016 IPS＆Behavioral Protection」、2）ハイエンドの「同 x412 IPS＆Behavioral Protection」、3）ハイエンドで振る舞い検知技術だけを搭載した「同 x412 Behavioral Protection」の3種類。それぞれスループットごとにいくつかのモデルを用意し、前述の脅威に対応する方針だ。

　新プラットフォームでは、APSolute Immunityを搭載したこと、最大12Gbpsを実現したことのほか、「オンデマンドIPS」の考え方を採用したのが特徴となる。オンデマンドIPSは、ライセンスキーの購入だけで、スループットの高い上位モデルにシームレスに移行できるようにしたもの。例えばミッドレンジの場合、「DefensePro 1016（1Gbps）/2016（2Gbps）/3016（3Gbps）」の3モデルが用意されているが、ライセンスキーのみでハードウェアを買い直すことなく、容易に上位モデルへ移行できる。

　ラドウェアでは、データセンターなどへ訴求していく予定で、初年度50台、10億円の売り上げをめざす。