高度な検知・防御能力と柔軟なネットワーク運用を可能にする次世代IPS


多くの企業は高度化するネットワークに対する攻撃の防衛策として、不正侵入検知システム（IDS）を導入していますが、いくつかの課題が指摘されてきています。

従来のIDSの課題

• 誤検知/過剰検知が多い
  正しい検知と誤検知/過剰検知を膨大なログとして出力
  緊急度の高いものか判別がつかない


• 検知のみで防御機能が不充分(Firewall やスイッチのミラーポートから一部は防御可能)
  最初の攻撃には無力
  誤検知のため利用するにはリスクが高い
  複数の機器で設定を行わなければならない
  ログを元に管理者が手動で設定を行わなければならない


• 監視対象のセグメントごとに1台のセンサが必要
  必要な台数が増え、高コスト
  監視対象のアプリケーションとは関係ないイベントまで検出


• データベースのバックアップやデータ削除機能が弱い
  バックアップ、データ削除機能を自動化するにはDBの管理知識が必要


• レポート機能が弱い
  複雑な分析レポートを作成する場合は、別途、レポートツールが必要

McAfee Network Security Platform は、こうした課題を解決した次世代のネットワーク型不正侵入検知・防御システムです。シグネチャ検知、アノマリ検知、 DoS攻撃検知の３つの手法を組合せ分析を行うため、誤検知を回避し、管理者の負荷軽減を実現しました。パフォーマンスについても独自のFPGAによる高速なパケット処理により、リアルタムでの正確な検知を実現しました。
実際にNetwork Security Platform は、MSBlasterによる攻撃をシグネチャエンジンとアノマリ検知で検知・防御した実績をもちます。 さらに、Virtual IDS機能により、単一のセンサでVLANやCIDRごとに複数のポリシーを設定できるため管理負担を軽減することができ、より少ないコストでセキュリティを守り、個人情報漏えいなどによる法的リスクやブランドイメージ失墜などから企業を守ることができます。

Network Security Platform プロダクトファミリは、ハードウェア（Network Security Sensor）と、マネジメントソフトウェア(Network Security Manager)で構成されています。
センサは複数モデルが用意されており、ネットワークの速度や規模に応じて柔軟な選択が可能です。Network Security Managerはセンサの動作に関る情報の管理およびレポート作成機能を担うアプリケーションシステムです。監視できるセンサ数により3つのライセンス形態があります。

次世代型IPS (Next Generation IPS) を実現するMcAfee Network Security Platform の機能

• Standard first-generation IPS capabilities:
  脆弱性を突く攻撃、DDoS攻撃、偵察攻撃等を正確に検知・防御するためのシグネチャを持ち、インラインで導入してもネットワークに影響を与えないパフォーマンスを発揮する。

• Application awareness and full stack visibility:
  IPアドレスやポート（L3/L4）レベルだけの制御ではなく、アプリケーション（L7）レイヤーベースの制御を行える。（例：使用されているアプリケーションを識別し、それをベースにしたポリシーを作成）

• Context Awareness:
  外部の情報（パッチ適用状況、ロケーション（国）情報、レピュテーション等）を利用して、ポリシー変更やブロック適用の判断を迅速・適切に行える。

• Content Awareness:
  通信内に存在する不審な実行ファイル（既にAnti-Virusエンジンで解析済みだが見つけられなかったもの）を解析する能力を持ち、悪意のあるファイルを見つけ出す。

参考：Gartner(Defining Next-Generation Intrusion Prevention, Oct-7-2011)

• Standard first-generation IPS capabilities:
  先進型のNetwork IPS
  • テクノロジーリーダー:
    • 先進型のAnti-malware, botnet, DDoS検出機能
    • 最高レベルの脆弱性カバー率（2007-2010）
    • デフォルト設定で最高レベルの防御率（NSS Labs）
  • マーケットリーダー
    • 2018年、NSS Labs のテストで、最も効率的な侵入検知技術と評価
    • Gartner が実施している Gartner Magic Quadrant の侵入検知/防止システム (IDPS) 部門で、 McAfee が 11 年連続でリーダーに選出（2018年1月）
    • IPS製品の日本市場シェアNo.1を獲得（富士キメラ総研　2017ネットワークセキュリティビジネス調査総覧）

• Application awareness and full stack visibility:
  
  • アプリケーションの識別と制御機能
  • 2000種類以上のアプリケーション識別機能
  • アプリケーションレイヤーをベースにした通信制御
  • 550種類以上のプロトコル識別機能

• Context Awareness:
  
  • Global Threat Intelligence(GTI）の活用
  • 攻撃送信元/先のレピュテーション情報、国情報の取得
  • レピュテーション情報を加味したうえでのブロック発動（悪いレピュテーションを持つIPからの攻撃のみブロック）
  • 特定のレピュテーション、国からの閾値を超えるトラフィックの制御（Inbound通信制御） 　→例えば、Bot化しているSrc(送信元）IPから一定以上のConnection（DDoS攻撃）が来た場合に、それを防止する手段を提供
  • シグネチャに依存せず、悪いレピュテーションを持つIPへの通信制御（Outbound通信制御）
    →例えば、マルウェアが潜んでいるようなサイトへの誘導や、感染端末のC&Cサーバ接続等をシグネチャ無しで防止する手段を提供

• Content Awareness:
  • シグネチャに依存せず、GTIのファイルレピュテーション情報を利用して、不審なダウンロードファイルを解析

McAfee、Network Security Platformは、米国法人 McAfee Inc.またはその関係会社の登録商標です。 本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。