HOMESmart Network Security SolutionsActiveScout  
ActiveScout 侵入防止システム (Intrusion Prevention System)
ActiveScout 最新情報
09/05/27
コスト削減対策 ActiveScout特価キャンペーン実施中!
初年度、複数年一括保守もキャンペーン価格でご提供中!
期間:2009年9月末まで

■ 製品概要
■ 侵入検知システム(IDS)の現状
主なシグネチャ型の侵入検知システム(IDS)は設定したパターンやシグネチャに合う攻撃を検出するだけで、新しい攻撃方法には対応できません。さらにIDSは大量のフォールスポジティブ(誤報)を生み出す傾向があり、そのため、セキュリティ専門家等のスタッフの時間が浪費され、本当の攻撃が無視されることにもつながります。また、Anomaly(異常)検知システムの多くも同様にフォールスポジティブを生み出す傾向があります。なぜなら、異常の原因が無害なものか悪意なものかを正しく判断できないことがあるからです。結果的に、シグネチャ型でもAnomaly検知型でもIDSは事前対応ではなく事後対応であるといえます。
従って、非常に熟練したセキュリティ専門家がシステムを絶えず調整し、シグネチャを更新し、アラートを分析/判断し、適切に対応するといった作業が不可欠です。しかし、不安な要素が多いシステムにとってはこれらの作業は多すぎるといえます。
■ 偵察行為からネットワーク攻撃へ
ネットワークセキュリティの改善のカギとなるのは、攻撃についての十分な知識です。アタッカーは攻撃の前に情報収集として標的にしたネットワークを調査し、攻撃しやすい部分を探し、どの種類の攻撃を仕掛けるかを判断します。これを「偵察行為」といいます。
偵察行為は攻撃を成功させるには不可欠であり、ネットワークのトポロジ、ネットワークサービス、ベンダー、有効なユーザー/パスワード等の情報が必要です。このような情報がないと、ネットワーク攻撃を成功させるのは事実上不可能です。典型的な攻撃は次の3段階を踏むと考えられます。

 1.偵察行為
 2.情報収集
 3.偵察情報に基づいた攻撃
■ ActiveScoutの発想(Active Response Technology [特許技術])
ネットワーク攻撃は前述の3段階のプロセスを経て行われると考えると、「なぜ、攻撃を待たずに、偵察行為に事前に対応しないのか」という疑問が当然湧いてきます。セキュリティ管理者は、実際の攻撃(攻撃プロセスの第3段階)を待たずに、攻撃前の偵察行為に即座に対応して、自社に対する最初の脅威を無効とするべきです。これにより、攻撃を通じて、企業の重要な資産が破壊される前に、攻撃を「つぼみのうちに摘む」ことができます。無数の未知の攻撃ではなく、限られた数の既知の偵察手法からネットワークを防御することにより、フォールスポジティブの問題も事実上なくなります。これがForeScout社が特許を取得している「Active Response Technology」です。
■ 主な特徴
 

ActiveScoutは、ゲートウェイルータとファイアウォールの間に設置され、企業におけるネットワークのすべてのトラフィックを、監視することができます。ActiveScoutはハブもしくはスイッチのミラーリングポートに設置するため、パフォーマンスが低下することもありません。さらに、ActiveScoutをネットワークの外部との境界に置くことにより、その攻撃自体を無効とすることができ、以下のような効果を発揮します。

ファイアウォールに到達前に攻撃を無効にする。
既知及び未知の攻撃からネットワークを防御する。
すでにオーバーワーク気味のセキュリティスタッフのワークロードを軽減する。

ActiveScoutは企業が直面している外部の脅威から企業の資産を守るべく先進の機能を備えているということができます。
■ 機能
 
ブロック機能
ActiveScoutは、偽装情報を利用した独自の方法で侵入者の攻撃を効果的にブロックします。ブロック機能の存在は、外部からはわかりません。

先進の TCP/IP 接続リセット機能
ActiveScoutは、TCP/IP 接続を自動的にリセットして不正侵入と識別された発信元からの通信をブロックします。シーケンス番号に依存した従来のTCP/IP接続リセットでは、攻撃の過程でリセットしましたが、ActiveScoutは、攻撃者のTCP/IPハンドシェイク処理が開始された時点で、接続をリセットします。

モニタモードとブロックモードの切替え
ActiveScout搭載のモニタモードとブロックモードを用いることにより、モニタ機能および不正アクセスブロック機能を切り替えることができます。

電子メールとレポートによる警告
オプションにより、イベント情報を指定の電子メールアドレスに通知したり、レポートを送信したりできます。

グラフィカルマップ
ActiveScoutは、グラフィカル・ワールドマップを装備しており、モニター/ブロックの送信元をわかりやすく表示します。また、履歴データを使用すると、特定の時刻または時間帯のマップを表示できます。

不正アクセスの攻撃元IPアドレスを世界地図にマッピング
■ 対応フロー
 
■ 製品仕様
 
※こちらの ActiveScout 製品仕様 をご覧ください。
 

製品情報

製品概要
主な特徴
機能
対応フロー
製品仕様
カタログ(PDF)