製品情報
導入事例
 
- 事例検索
- 自治体・公共団体
サービス
サポート
ダウンロード
セキュリティ情報
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
導入事例

米国政府立法府の主幹部門

米国政府でも特に知名度の高い立法府は、さまざまなサイバー攻撃にさらされます。そのため立法府のIT 担当者にとって、情報とシステムの安全性確保は最優先事項です。立法府のセキュリティを担うチームの責任者Lou Magnotti 氏と彼のチームは、McAfee IntruShieldを採用することで、攻撃防御範囲およびパフォーマンスの改善とコスト削減を実現しました。同氏は、「IntruShield はネットワークにビジビリティを与えます。IntruShield 製品がなければ、データフロー全体を把握し、正当なトラフィックに混在する攻撃を識別することは不可能です」と強調します。

導入した製品   McAfee IntruShield4000/2600  McAfee IntruShield Security Manager


米国政府立法府の情報資産の保護を目的に結成されたセキュリティチームの責任者であるLou Magnotti 氏は、常にどんなことにも対応できる体制を整えています。立法府は、法律を制定することがその業務ですが、その知名度の高さゆえ政治的なターゲットとなっています。

サイバー攻撃は、立法府の機密文書を入手しようとする試みからWeb サイトの不正書き込み、DoS 攻撃までさまざまです。Webサイトがハッカーの標的となり、悪質な破壊行為を受けるかもしれません。米国の海外活動に対し、ハッカーたちが報復行為を行うかもしれません。スパイは、静かにパソコンの前に座り、機密文書を盗んだり通信を妨害しようと待ち構えているかもしれません。

情報システムセキュリティの監督者として、彼のセキュリティチームは、サイバー攻撃の脅威と電子攻撃に対し強力な防御体制を整えています。立法府の情報システムとデータの安全を確保するため、立法府のIT 部門では、複数層に侵入検知システム(IDS)、ファイアウォール、ウイルス対策ソフトを導入すると共に、厳格なセキュリティポリシーや認証制度を整備し、ユーザの認識向上やトレーニングに取り組んでいます。

「侵入検知は、防衛戦略の一部」とMagnotti氏は言います。このセキュリティチームは、一日中世界のあらゆる地域から受けるDoS攻撃、Webサイトの不正な書換え、トロイの木馬、ウイルス、スキャンニング、ネットワークへ侵入しようとする試みなどを検知、阻止することで立法府を守っています。


IDSを熟知している彼らは、既に将来を見据えていました。既存のCisco 社製IDS の検知精度、攻撃防御範囲、パフォーマンスを改善するとともに、4 年間投資したIDS を最大活用しつつ運用コストを削減したいと考えていました。

さらに、既存のIDS ハードウェアのライフサイクルを見据えた長期計画の一環として、多くのセンサを必要としないIDSを選択し、TCOが抑えられるか評価を進めています。その評価対象として、彼らはMcAfee IntruShieldネットワークセキュリティ製品が備えるリアルタイム侵入検知及び防御システムに着目。そして立法府では、既存の侵入検知能力を改善するため、より広範なシグネチャ、アノマリ検知、DoS検知、より高度な帯域幅性能を提供するIntruShieldを導入しました。2002 年3 月以来、TCO 削減を証明するためIntruShield 製品とCisco IDS を共に稼動しています。この実環境でのテストを通じ、何層にもIDS を展開し、どのIDS 同士が連携しあって何が検知できるのかを検証することができます。

Migotti氏は、「このようにすれば、様々な形でデータを関連付けることが可能です」と述べています。IntruShield ネットワークセキュリティ製品は、広範囲の既知・未知攻撃およびDoS 攻撃を正確に検知・阻止します。IntruShield の広範な攻撃検知能力は、未知の攻撃が未確認のまま見逃される危険性を低減します。総合的なDoS検知機能により、立法府のボーダールータは、もはやDoS攻撃のネットワークルーティング、フィルタリング両方を受け持つ必要はありません。IntruShield とCisco 製品を同時に稼動させることにより、次世代IDS による防衛オプションの評価を行うと同時に、既存の投資を有効活用することができました。


「IntruShield の検知性能は非常に、非常に優れています」とMagnotti 氏は力説します。2002 年春には、IntruShieldはCode RedとNimda攻撃を80万件も検知しました。リアルタイムの総合的な攻撃検知を提供するIntruShieldは、専用IDS アプライアンスにより、高いパフォーマンスと拡張性をさらに発揮します。

立法府では、すでにギガビットスピード・ネットワークを視野に入れていますが、IntruShieldは、最大2 Gbps のネットワークでリアルタイムの侵入検知と防御を提供することができるので、このような要求にも充分対応することができます。PC ベースのアプライアンスで稼動するIDS ソフトウェアでは、IntruShield の専用IDS アプライアンスのパワーを最大限活用することはできません。

IntruShield は、ネットワークアーキテクチャに柔軟かつシームレスに対応し、SPAN、TAP、ポートクラスタリング、In-Lineモードで配置できます。ここでは、いくつかの有名な政府ビルの内部ネットワークとインターネット接続箇所にSPAN モードで接続しています。しかも、DoS 攻撃を阻止する際には、容易にIn-Line モードへ切替えることが可能なため、攻撃防御のための新たな選択肢を提供します。

IntruShield アプライアンスは、導入および運営をシンプルにします。複数のポートを装備するため、一つのセンサで複数のEthernetセグメントをギガビットスピードで簡単に監視することができます。Magnotti 氏は、IntruShield を使い始めて以来、スタッフがハードウェアやOS の整備に費やす時間が少なくなり、本来の業務であるセキュリティの質の向上に集中できるようになったと感じています。


これまで、常勤のセキュリティアナリストが二人がかりでIDS セキュリティポリシーを設定し、IDS の日常的な運用管理を行っており、いかに時間を短縮するかが立法府における重要な課題でした。IntruShield は、プロアクティブにアラートを通知しますので、IT スタッフがネットワーク監視に費やす時間が減少しました。

IntruShield ネットワークセキュリティ製品は攻撃を見逃すことなく誤検知を減少させることが可能な洗練された分析機能を備えています。これにより、セキュリティマネージャやオペレーションスタッフに大量の生データのログファイルではなく、有意義な情報を提供します。インテリジェントなステートフルトラフィック検査、綿密なプロトコル解析、マルチプルトリガ、パターンマッチング、ダイナミックなリアルタイムシグネチャ更新を採用し、誤検知を削減します。

「こうして誤検知が減少すれば、ITスタッフは不要な業務に煩わされることなく、有効なセキュリティ活動に専念できます。IntruShield の広範な攻撃解析と相関解析技術により、ログの分析と監視の負担が飛躍的に軽減されます。」


Magnotti氏はどのようなIDS でも、時間がかかるのはシグネチャ更新とチューニング部分、と語ります。ポリシー設定も同様です。「従来のIDSソリューションでは、シグネチャを独自の環境に合わせるのにかかりきりになりました。IntruShield のポリシー設定とシグネチャ更新は、従来のチューニングに比べ大幅な時間短縮を可能にします。

また、非常に正確ですぐに使えるシグネチャのおかげで、チューニング時間もかなり節約することができました」と同氏は成果を語ります。Magnotti氏は、手動のシグネチャ更新に比べ、一度にかかる時間がセンサ1台当たり90分も削減できたことで、自動シグネチャ更新機能を「著しい改善点」だと高く評価します。IntruShield のリアルタイムシグネチャ更新は、システムを再起動する必要がないため、ステートフルな接続を切断することなく新しく発見された攻撃を遮断することができます。

新しいシグネチャを週に数度まで更新できるので、その結果、運用コストの大幅削減が実現します。IntruShield にとって、柔軟なポリシー管理は当然の機能です。IntruShield Security Manager(ISM)は、センサへのポリシーのダウンロードを確実に自動で行うことができます。新しいポリシーのダウンロードも何の問題もありません。バーチャルIDS は、一台のセンサで同時に複数のポリシーを定義するため、IT 管理者は、より詳細な検知と攻撃毎のカスタマイゼーションが可能になります。