攻めの防御を提供する「Spotlight Secure」を発表

次世代セキュリティ製品の不名誉を返上するジュニパー

2013年04月17日 09時00分更新

文● 谷崎朋子

4月16日、ジュニパーネットワークスは攻撃者をデバイスレベルで特定可能な新クラウドサービス「Spotlight Secure」と、同サービスに対応するデータセンター向けセキュリティ製品を発表した。Webアプリケーションに対する不正操作を素早く検知して相手のWeb画面上に警告を出すなど、サイバー攻撃に対する“攻め”の防御を展開できる。

セキュリティ機能が使われていない
次世代セキュリティ製品

　「Junos Spotlight Secure」は、クラウドベースの攻撃者情報サービスだ。Webブラウザーの設定（使用言語、タイムゾーン、フォント、プラグインなど）を含む200以上の属性情報をもとに攻撃者のプロフィール（フィンガープリント）を作成し、Webアプリケーション保護製品「WebApp Secure」（旧Mykonos）、DDoS攻撃対策製品「DDoS Secure」、ゲートウェイ製品「SRXシリーズサービスゲートウェイ」と共有して攻撃を未然に防ぐ。

　「1年半にわたって開発に取り組んできた」と話すジュニパーネットワークスセキュリティ・ビジネス部門プロダクト・マネジメントシニアディレクターケビン・ケネディ氏は、IPアドレス以外の詳細な情報を収集することで攻撃者を特定し、正規ユーザー以外を確実にブロックする防御ソリューションと説明する。

ジュニパーネットワークスセキュリティ・ビジネス部門プロダクト・マネジメントシニアディレクターケビン・ケネディ氏

　今回の開発にあたり、ジュニパーネットワークスは調査会社Ponemon Instituteの協力の下、次世代ファイアウォールやWAF、IPSなどの有効性について、運用管理者を中心にグローバルで4774名（日本は577名）にアンケート調査を実施した。その結果、半数以上は期待以上の効果を発揮していないと回答し（グローバルは56%、日本は54%）、未知の攻撃やWebアプリケーション攻撃などへの対応が不十分と答えた。

次世代ファイアウォールで利用している機能の内訳

　特にケネディ氏が注目したのは、約半数が次世代ファイアウォール製品を導入しているにも関わらず、アプリケーションコントロールやURLフィルタリングといった次世代ならではの機能を、セキュリティとして有用ではないとした点だ。WAFに至っては、導入している37%の日本の回答者のうち、ブロックモードで利用していると答えたのは37%で、全体ではわずか14%に止まった。「理由は、正規のユーザーまでブロックしてしまう誤検知率の高さ。しかし、調整するにも複雑なポリシー設定が必要だ」（ケネディ氏）。

警告画面で攻撃者の“やる気”を打ち砕く

　こうした次世代セキュリティ製品の“不名誉”を返上し、デバイスレベルで特定された攻撃者情報を共有することで、最小限のチューニングで0%に近い誤検知率を実現するのが、Spotlight Secure含む製品群だ。

　たとえば、WebApp Secureでは、URLのパラメーターを入力してWebアプリケーションの脆弱性を探すといった不正行為を検知すると、警告とともにブロックする。スクリプトで自動実行された場合も、Intrusion Deceptionテクノロジーを用いて偽のデータを提供しながら処理速度を一気に落とし、相手を苛立たせると同時に侵攻を完全に止める。攻撃者の情報は記録され、Spotlight Secure経由でフィンガープリントとして共有される。

攻撃者のWeb上にポップアップ表示された警告画面

　この仕組みは、誤検知を下げるのはもちろんのこと、攻撃者に警告を出すことで再犯防止に役立つとケネディ氏は言う。「誤検知を考えると、防御の壁をひたすら高くすることは難しい。ただし、攻撃者に犯罪行為が無駄であると示し、止めさせることはできる。ハッキングの経済性を崩すことで、セキュリティ全体の底上げが期待できる」（ケネディ氏）。

■関連サイト