10月8日、シスコシステムズは次世代ファイアウォール(NGFW)製品「Cisco ASA with FirePOWER Services」と、管理製品「Cisco FireSIGHT Management Center」を発表した。Cisco ASA 5500-X/5585-Xシリーズと、昨年買収したソースファイアの次世代IPS機能とマルウェア防御機能を統合した新製品は、一歩踏み込んだ脅威対策を提供する。
脅威にフォーカスした次世代ファイアウォール製品
Cisco ASA with FirePOWER Services(以下、FirePOWER)は、Cisco ASAが提供するアプリケーション可視化/制御機能とフィルタリングによるWebサイトへのアクセス制御機能に、SourceFireの次世代IPS機能と高度なマルウェア防御機能(AMP)を加えた製品だ。小規模~中規模向けのCisco ASA 5500-Xシリーズではソフトウェアモジュールとして、大規模向けのCisco ASA 5585-Xシリーズではサービスモジュールとして追加する。
「IPSを導入していない企業では、ファイアウォールやUTMのおまけ機能で代用していることが多く、ファイアウォールで認識できる範囲での対策しか実現できていない。『Heartbleed』のような脆弱性には、サーバーを止めてパッチ適用をしなければならない。また、IPS導入済みの場合も、誤検知対策やシグネチャのチューニングなどで運用負担がかかっている」。シスコシステムズの藤生昌也氏はそう指摘する。
FirePOWERは、トラフィック監視でネットワーク全体を可視化し、その情報を管理製品のCisco FireSIGHT Management Center(以下、FireSIGHT)に渡して、構成に合ったシグネチャの設定などを自動チューニングする。また、侵入の痕跡(IOC)からインシデントを相関分析して脅威を検知するほか、サンドボックスをすり抜けるようなスリープマルウェアを追跡、通知するトラジェクトリ機能も提供する。
シスコは、今年5月に開催された「Cisco Live 2014」で、3つのフェーズに沿って企業システムを段階的に進化させることで、セキュリティシステムの課題を解消するという提案を行った(関連記事)。その第1のフェーズが「脅威中心型セキュリティ(Threat Centric Security)」モデルに基づくプラットフォームの構築だ。
これは、「Before(攻撃前)」「During(攻撃中)」「After(攻撃後)」で必要な対策を考え、実装するというもの。今回の新製品は、ファイアウォール、VPN、次世代FW、次世代IPS、Webセキュリティ、AMPを搭載しており、攻撃前から攻撃後までの全段階をカバーできる。
また、同製品はオーブンソースのIDS「Snort」がベースで、検知ロジックが100%開示されている。これにより、検知時の分析が容易で、経営上のリスクを判断して自己解決することも可能だ。
同日発表された「シスコ 2014中期セキュリティレポート」(http://www.cisco.com/web/JP/offers/lp/midyear-security-report/index.html)には、調査対象となった大手多国籍企業16社でボットネットのノードとDDNSドメインとの通信といった攻撃の初期段階にあたる悪意あるトラフィックが多数検知されたと記載されている。
「攻撃者は標的をマルウェア感染サイトへ誘導するために、話題の時事ネタを使ったスパムメールや、悪質なインターネット広告(マルバタイジング)などを駆使して忍び寄る。また、CMSへの攻撃やNTP増幅攻撃、POSへの攻撃など、攻撃のベクトルや手法も多様化、複雑化している」
そう述べたシスコシステムズの西豪宏氏は、「経営者は、サイバーセキュリティのリスクを経営上の重要課題と認識し、脅威を可視化して分析する最新技術を導入しながら、サイバー攻撃を受けた後の復元力(サイバーレジリエンス)を高める必要がある」と述べる。
両製品とも9月1日から販売開始しており、価格はサブスクリプションライセンスで、機能ごとにライセンス体系は異なる。参考として、FirePOWERの最小構成価格(保守サービス、税含まず)は、4710米ドルから。FireSIGHTの最小構成価格(保守サービス、税含まず)は、1万1065米ドルから。