| 今や企業が保有するネットワークやシステムは、不正アクセスや甚大な被害を及ぼすワームなど、さまざまな脅威にさらされています。これらの脅威は社外からインターネットを通じてやってくるように思われていますが、決してそれだけではありません。無線LANやホットスポットなどユビキタスな環境が進展しつつある現在、外出先で知らないうちにワームに感染してしまい、持ち帰ったノートPCを社内ネットワークに接続したと同時に、被害が拡大するといったケースも増えつつあります。 |
|
| |
| ■企業ネットワークにとっての脅威とは? |
| 企業ネットワークのセキュリティを確保するためには、社外からはもとより社内からの脅威に対しても備えなければなりません。特に不正アクセスやワームなどは、日々新たなタイプが登場しており、そうしたものに継続的に対応していく必要があります。 |
|
| |
 |
社外からは・・・
不正侵入 Web改ざん 偵察行為 など |
| たとえば、一般的な企業では平均して1日に400件の不正アクセスを受けています。 |
| |
社内からは・・・
ワームの拡散 不正利用 など |
| 世界中では日々、新種のワームが作り出されているといわれています。 |
|
| |
| ■日々進化を遂げる攻撃へどう対応するか |
| IT技術は進化のスピードが早く、日々新しい脅威が誕生しているといっても過言ではありません。特に最近のワームは「ZERO-day Worms」などとも言われ、インターネット全域へ感染するまでに1日もかからないほど、感染力が強力なものになってきています。こうした脅威に対抗するためには、ファイアウォールやIDSといった何かが発生した場合に対応する”後手のセキュリティ対策”ではなく、未知の攻撃をも未然に防止する”先手のセキュリティ対策”が必要なのです。 |
|
|
 |
 |
| 不正アクセスやワームなどその手法は日々新しいものが作り出されており、攻撃も多岐にわたっている。 |
|
| 加速度的に被害が拡大。CodeRed(2001年)がインターネット全域に広まるまで17時間かかったが、Slammer(2003年)はわずか10分だった |
|
 |
| |
| ■未知の攻撃に対応するこれからの新しいセキュリティ対策 |
| アクティブレスポンステクノロジー(Active Response Technology)とは、未知/既知どちらの攻撃に対しても攻撃を受ける前の段階で防御策を実行する米国で特許を取得した独自の技術です。不正アクセスやワームの拡散前には、ほとんどの場合ターゲットとなるネットワークに対し、実在する脆弱性などの情報収集のために偵察行為が行われます。ワームの場合にも、ワームが感染した端末から他の端末へと拡散していく最初の段階でこの行為が行われているのです。アクティブレスポンステクノロジーはこの偵察行為を検知し、実際の攻撃が行われるより前の段階から予防策を講じます。偵察手法は限られた既知のものが多く、ここで防御することにより、未知の攻撃手法でも未然に防止することが可能になります。 |
|
| |
 |
| |
● 不正アクセスの特定に用いられるパターンマッチングなどを使用しない
● 攻撃内容で判断せず、通信元の偵察行為などにより不正アクセスを検知
● 既知、未知にかかわらずさまざまな不正アクセスを防御することが可能
● IDSなどとは異なり、攻撃発生からタイムラグなく、リアルタイムで対処することができる
|
|
| |
| このアクティブレスポンステクノロジーを採用した製品には、外部からの不正アクセスを防御する「ActiveScout」、内部におけるワームの感染被害を防止する「WormScout」があります。これらをそれぞれ、ネットワークの内外に配置することにより、さまざまな脅威を未然に防ぎ、セキュリティを強化することができます。 |
|
| |
 |
 |
|
| |
不正侵入防止システム |
|
ワーム内部感染防止システム |
|
| |
 |
|
 |
|
|
ファイアウォール到達前に攻撃を無効化する |
|
ワームの内部感染を最小限に抑える |
|
| |
- 「ActiveScout」は、ゲートウェイルータとファイアウォールの間に設置することで、企業におけるすべてのトラフィックを監視し、不正なアクセスや攻撃を未然に防御するソリューションです。不正アクセス前に行われる偵察行為を検知すると偽の情報を返信し、その情報への通信をもとに攻撃源を特定し、攻撃をブロックします。
ActiveScoutを導入することで、ファイアウォール到達前に攻撃を無効化し、既知・未知にかかわらず対処することが可能となります。ActiveScoutは自動的に防御まで可能なため、運用管理に関わる負担もほとんどなく、高いセキュリティレベルを実現します。
|
|
- 「WormScout」は、ネットワーク内のセグメントを外部からのワーム感染から保護したり、内部セグメント間での相互感染などを防止するソリューションです。ワームの活動を検知すると、瞬時にワームの複製機能を制限して封じ込め、別のブロックへの拡散を阻止します。
WormScoutは、各ワーム感染端末が自動的に行う偵察行動を検知し防御するため、未知のワームであっても攻撃を無効化することができます。また、WormScoutではワームごとの定義ファイルの更新などは不要なため、手間をかけずにネットワークの可用性を保つことが可能となります。 |
|
| |
 |
|
|
|
 |
|
|
 |
