「Cisco ASA」に次世代IPS／マルウェア防御機能を組み込む

シスコ、ソースファイアの技術を統合したNGFW新製品発表

2014年10月09日 14時00分更新

文● 谷崎朋子

　10月8日、シスコシステムズは次世代ファイアウォール（NGFW）製品「Cisco ASA with FirePOWER Services」と、管理製品「Cisco FireSIGHT Management Center」を発表した。Cisco ASA 5500-X/5585-Xシリーズと、昨年買収したソースファイアの次世代IPS機能とマルウェア防御機能を統合した新製品は、一歩踏み込んだ脅威対策を提供する。

脅威にフォーカスした次世代ファイアウォール製品

　Cisco ASA with FirePOWER Services（以下、FirePOWER）は、Cisco ASAが提供するアプリケーション可視化/制御機能とフィルタリングによるWebサイトへのアクセス制御機能に、SourceFireの次世代IPS機能と高度なマルウェア防御機能（AMP）を加えた製品だ。小規模～中規模向けのCisco ASA 5500-Xシリーズではソフトウェアモジュールとして、大規模向けのCisco ASA 5585-Xシリーズではサービスモジュールとして追加する。

「Cisco ASA with FirePOWER Services」

　「IPSを導入していない企業では、ファイアウォールやUTMのおまけ機能で代用していることが多く、ファイアウォールで認識できる範囲での対策しか実現できていない。『Heartbleed』のような脆弱性には、サーバーを止めてパッチ適用をしなければならない。また、IPS導入済みの場合も、誤検知対策やシグネチャのチューニングなどで運用負担がかかっている」。シスコシステムズの藤生昌也氏はそう指摘する。

シスコシステムズセキュリティ事業プロダクトマネージャ藤生昌也氏

　FirePOWERは、トラフィック監視でネットワーク全体を可視化し、その情報を管理製品のCisco FireSIGHT Management Center（以下、FireSIGHT）に渡して、構成に合ったシグネチャの設定などを自動チューニングする。また、侵入の痕跡（IOC）からインシデントを相関分析して脅威を検知するほか、サンドボックスをすり抜けるようなスリープマルウェアを追跡、通知するトラジェクトリ機能も提供する。

　シスコは、今年5月に開催された「Cisco Live 2014」で、3つのフェーズに沿って企業システムを段階的に進化させることで、セキュリティシステムの課題を解消するという提案を行った（関連記事）。その第1のフェーズが「脅威中心型セキュリティ（Threat Centric Security）」モデルに基づくプラットフォームの構築だ。

　これは、「Before（攻撃前）」「During（攻撃中）」「After（攻撃後）」で必要な対策を考え、実装するというもの。今回の新製品は、ファイアウォール、VPN、次世代FW、次世代IPS、Webセキュリティ、AMPを搭載しており、攻撃前から攻撃後までの全段階をカバーできる。

攻撃の全段階で対策機能を提供するCisco ASA with FirePOWER Services

　また、同製品はオーブンソースのIDS「Snort」がベースで、検知ロジックが100％開示されている。これにより、検知時の分析が容易で、経営上のリスクを判断して自己解決することも可能だ。

　同日発表された「シスコ 2014中期セキュリティレポート」（http://www.cisco.com/web/JP/offers/lp/midyear-security-report/index.html）には、調査対象となった大手多国籍企業16社でボットネットのノードとDDNSドメインとの通信といった攻撃の初期段階にあたる悪意あるトラフィックが多数検知されたと記載されている。