PR

 ノックスは6月11日,米OneSecureが開発したハードウエア型IDS(侵入検知システム)製品「OneSecure」を7月1日から販売することを明らかにした。不正なトラフィックを検出するためのメカニズムを複数備えることが特徴。また,検出するだけではなく,不正なトラフィックを遮断することもできる。価格は1台あたり298万円。リモートから管理するためのソフトウエアも含まれる。

 「従来のIDS製品は,正常なトラフィックでも不正なものとして検出する『誤検出(false alarm)』が多過ぎる。高精度が特徴のOneSecureではそのようなことはない」(米OneSecureのBusiness Development担当副社長で共同創業者のRakesh Loonkar氏)。同氏によれば,OneSecureは複数の検出メカニズムを備えるために,高精度の検出を実現できるとしている。

 IDSの検出メカニズムは,一般的に「シグネチャ検出」と「異常検出」に大別できる(関連記事)。シグネチャ検出では, 不正なトラフィックの特徴を収めた「シグネチャ」と呼ばれるデータベースとトラフィックを比較して,不正かどうかを判断する。異常検出では,あらかじめ通常のトラフィック・パターンを定義しておき,それから逸脱するものを不正なトラフィックと判断する。OneSecureでは,いずれのメカニズムも備えるという。同社では上記2種類の検出メカニズムを細分化し,合計8種類のメカニズムを備えるとしている。

 不正なトラフィックを遮断できることも,同製品の特徴であるという。「従来のIDS製品は攻撃を検出するだけ。検出した段階で,既に不正なトラフィックはLANに侵入してしまっている」(Rakesh Loonkar氏)。OPSEC(Open Platform for Security)などを使用して,ファイアウオールとIDSを連携させることも可能だが(関連記事),「それでもファイアウオールが遮断するのは,IDSが検出した後のこと。攻撃は許してしまっている」(同氏)。

 それに対してOneSecureでは,不正なトラフィックを検出したら,そのトラフィックを遮断して(パケットを破棄して)侵入されないようにできる。不正なトラフィックを検出した際のアクション(「トラフィックの遮断」や「管理者へメール」など)は,ユーザーが設定する。

 ただし,不正なトラフィックを遮断させるためには,ファイアウオールのすぐ内側にOneSecureを設置して,すべてのトラフィックが同製品を通過するようしておく必要がある(同社では「In-Line型」と呼ぶ)。このとき,同製品はブリッジとして動作する。なお,In-Line型ではなく,一般のIDSと同じように使用することもできる。

 同製品は複数のメカニズムでトラフィックをチェックするため,処理速度が気になるところではあるが,Rakesh Loonkar氏によれば,200Mビット/秒のトラフィックに対応できるという。2002年7月には,ギガ・ビット対応の製品を出荷する予定。

(勝村 幸博=IT Pro)