製品情報
導入事例
 
- 事例検索
- 自治体・公共団体
サービス
サポート
ダウンロード
セキュリティ情報
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
導入事例

株式会社 ラック

ラックがMcAfee IntruShieldのIPSサービスを開始
その厳しい選定テストを通過したIntruShieldの優位性とは!?


株式会社ラックは、1995年からセキュリティ検査(ペネトレーションテスト)を日本で初めてビジネス化したネットワークセキュリティのリーディングカンパニーです。そのセキュリティサービスは、「コンピュータセキュリティ研究所」にて、蓄積・分析・検証が行われた報告を発行する「SNS Advisory」と脆弱性データベースの「SNSDB」、24 時間365 日のセキュリティ監視・分析を行う日本最大のSOC(Security Operation Center)である「JSOC」、さらにこれらノウハウに裏付けられたセキュリティインテグレーションサービスと多岐に渡っています。これら活動は日本だけにとどまらず、BUGTRAQへの情報提供など、そのセキュリティ検証能力はワールドワイドで評価されています。


ラックが運営する情報セキュリティに関するオペレーションセンターのJSOCは、高度な分析システムや業界屈指の堅牢な設備を誇り、常時数十名の高度な技術者を配置しています。そのサービスの実績は、2000年の九州沖縄サミットの運用・監視を皮切りに、日本の各分野でのトップ企業などを中心に、最高レベルのセキュリティが要求される顧客にその最高品質のサービスを提供しています(2004年10月現在、450センサー以上を運用・監視中)。


ラックでは、2000年よりIDSの監視サービスを提供していましたが、従来のIDSによるサービスでは、検知後にファイアウォールの設定を変更し防御するため、どうしても時間がかかっているというジレンマを感じていました。ワームの頻発とともに、リアルタイムに防御してほしいとのニーズが強まり、同社でもIPSサービスの導入を検討しだしました。ラック JSOC事業本部 シニアセキュリティアナリスト 岩井 博樹氏は、「IPS製品の有効性は2つあります。1つは絶対にワームを入れたくないセグメントを守ること。もうひとつはワーム感染の可能性のあるセグメントから他に感染が広がることを防ぐことです。」と同社顧客の高いセキュリティニーズを説明しています。

IPSサービスを開始するにあたり、同社では同社の高いサービスレベルを損なうことなくサービス提供が可能かという視点にたち、7製品の検証を開始しました。その際、実施した検証項目は、検知能力、パフォーマンスなど製品の基本性能から、ユーザ定義シグニチャ作成の柔軟性といったサービスを実施する上での高度な拡張機能までもが含まれていました。その厳しい検証試験を7製品すべてに実施した結果、同社は、サービスを行う対象の製品のひとつとして、McAfee IntruShieldを採用する決定をしました。その評価ポイントは、以下の通りでした。
  • アノマリ検知能力が優れていたため、シグニチャがなくても検知できる可能性が高い
  • ユーザ定義シグニチャの設定項目が柔軟性に富んでいるため、要求の厳しい顧客のサービスをピンポイントで止めることができる(またIDS用に作成した約200種類の独自シグニチャのインプリも可能と判断)
  • パフォーマンスが優れているため、日本特有の携帯電話などのショートパケットもパケットロスすることなく、検知・防御できる
  • 1センサーでVLAN毎にポリシーを設定できるMcAfee IntruShield独自のVIPS機能を利用することで、コストを抑えて複数のセグメントにサービスを提供できる

実際の評価を担当した岩井氏は、「ワームが多発している現状を考慮すると、今後トラフィックアノマリがますます必要になるだろうと考えました。その点、IntruShieldだと、シグニチャ検知とアノマリ検知がパラレルで動作可能であり、アノマリ検知能力が他社にくらべ、優れていたのは大きかった。また、日本のコマースサイトでは携帯メールや携帯向けホームページも多いためショートパケットが多く、多くのIDSやIPSではパフォーマンスが著しく低下してしまいます。IntruShieldの場合、ASICアプライアンスであるためか、その点は全く問題ありませんでした。」と、IntruShieldの採用を決定した理由を述べています。


「問題なく動いていますよ。また運用を開始し実感できた効果がいくつかあります」と、岩井氏は、その導入効果を次のように指摘しています。
  • 最近、企業内で管理者の目を盗み使用が増加しているSoftEtherなどの企業内のファイアウォールの制限をくぐりぬけ外部と自由にデータのやり取りが可能となるトンネリングツールの発見や遮断も、ユーザ定義シグニチャをカスタマイズすることで、ある程度対応できること
  • P2Pの代表であるWinMXなどに対処できること
  • ショートパケットを多量に含んでいる1.8Gbps環境においても、Webアプリケーションへの攻撃を100%止めていること
特に業務に関係のないP2Pソフトの使用は企業内で問題視されており、そのセキュリティに頭を悩ませている管理者は多いことでしょう。IntruShieldの場合、ユーザ定義シグニチャ内で、[and][or]をつなげるFieldの指定ができるので、WinMXが接続確立をする際に送受信されるパケットのやり取りにより、「起動」を検知し、「ファイルダウンロード」をブロックすることも可能です。このようにJSOCでは、IntruShieldのユーザ定義シグニチャ機能を最大限に使用することで、同社顧客の高いセキュリティニーズに対応することが可能となっています。



JSOCでは、監視対象ネットワークのIntruShieldのログをJSOCで受取り、24時間365日体制で分析し、リアルタイムセキュリティ監視・防御を「IDS/IPS運用監視サービス」として提供しています。そのサービスのコンセプトは、「止めたいものを限定して確実に遮断、怪しいものはプロがその脅威をリアルタイムに分析し対応」というもので、提供されているサービスは、以下の通りです。
  • リアルタイムコンサルティング:インシデント発生時にアナリストから具体的な対策アドバイスを提供
  • 分析情報照会:ラックのシステムのインシデント情報を常提供
  • 稼動監視:監視対象機器の稼動を、24時間365時間JSOCのカスタマエンジニアが監視し、障害発生時にはお客様へ緊急通知を実施
  • 監視ポリシー変更:誤報を排除するため、JSOCにて監視ポリシーを随時チューニング
  • 防御用シグネチ提供:ワームの防御を行なうために、JSOCよりカスタム防御シグネチャを、随時提供
  • 月次レポート:セキュリティインシデント情報や、ログパターン・傾向などをまとめて月次サマリーレポートを提供
このように複数のサービスを提供することで、顧客のセキュリティ要件にマッチしたIntruShieldの確実なソリューションを提供しています。