高速なネットワーク環境においてシグネチャをベースに攻撃をリアルタイムに遮断するのが、ご存じIPS(Intrusion Prevention System)である。古くからIPS専用機を展開するティッピング・ポイントのシグネチャを提供するDVLabsの担当者に話を聞くことができた。
IPS専業ティッピング・ポイントの強みとは?
ティッピング・ポイント・テクノロジーズ(以下、ティッピング・ポイント)は、創業当初からIPS専用機のみを提供する生粋のIPSベンダーとして知られる。現在は、スリーコムの傘下にあり、IPS専用機の分野で高いシェアと知名度を誇る。統合型のセキュリティ対策を提供するUTMのような「全部入り」製品が台頭する中で、こうした専業ベンダーの強みはどこにあるのだろうか?
高いパフォーマンスと検出精度を誇るIPS専用機「TippingPoint 5000E」
ご存じの通り、IPSの元祖は「Snort」に代表されるIDS(Intrusion Detection System)である。IDSはシグネチャと呼ばれる攻撃のパターンデータベースを元に、攻撃とおぼしき通信を検出する。また、プロトコルやセッション、トラフィックの異常を検出することで、攻撃とみなすアノマリ型検出という方法も用いられる。
シグネチャやアノマリ型検出を用いて攻撃を検出するという意味ではIDSもIPSも同じで、実際多くのIPSベンダーがIDSから発展して製品を構成している。そのため、ニュースなどでもIDS・IPSとひとくくりにされることが多い。
しかし、ティッピング・ポイントはこれに異を唱える。「IDSは単に攻撃を検出するだけなので、ガードマンに過ぎません。それに対して、IPSは攻撃を検出して、しかも即座に遮断できるので警察官と考えられます。ミラーポートなどにつなぐIDSと異なり、IPSではインライン構成で利用するため、検出精度だけではなく、パフォーマンスも重要です」(TippingPoint Technologies inc. 日本支社 カントリーマネージャー 谷口忠彦氏)とのことで、他のIDSベンダーとの違いを強調する。
セキュリティベンダーが攻撃される現状
こうしたティッピング・ポイント製品を下支えしているのが、「DVLabs」という同社のセキュリティ研究所(ラボ)である。DVLabsは世界中でも有名なセキュリティ研究者によって組織されたラボで、最新の脆弱性に対応した誤検知の少ないフィルタ「デジタルワクチン」を週2回配信している。
DVLabsのシニアディレクタを務めるデビッド・エンドラー氏
多くのセキュリティベンダーの報告にもあるように、昨今の攻撃は金銭目当てが増えた一方、攻撃ツールが低価格化したことで、攻撃者の裾野が拡がっている。「脆弱性を発見するのが難しく、攻撃も洗練されてきています。たとえば、顔見知りと思っていたユーザーからSNSやIMなどを経由してワームが送られてきたり、新しいコーデックを装ってマルウェアがインストールされてしまうのを防ぐのはなかなか難しいでしょう」とDVLabsのシニアディレクタを務めるデビッド・エンドラー氏は昨今の危機的状況について述べる。
しかし、これに対しては、本来は攻撃を防ぐ側のセキュリティベンダーさえも、次々攻撃される始末。「『VIRUS TOTAL』というチェックサイトで、あるウイルスを登録したところ、1週間経っても全体の約1/3(35.9%)のベンダーしか検知できませんでした」(エンドラー氏)というテスト結果を明らかにした。マルウェアの亜種が大量に増え、攻撃が多様化したことで、セキュリティベンダーのキャパシティを越えつつあるのが現状というわけだ。
(次ページ、人力脆弱性収集プログラムで脆弱性にいち早く対応)
