侵入防御（IPS）購入ガイド - Juniper Networks

侵入防御（IPS）購入ガイド
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
408 745 2000 or 888 JUNIPER
www.juniper.net
Part Number: 710005-001 2004 年 6 月
ジュニパーネットワークス株式会社
〒163-1035 東京都新宿区西新宿3-7-1
新宿パークタワーN棟35階
電話03-5321-2600
FAX 03-5321-2700
URL http://www.juniper.co.jp
目
次
はじめに ....................................................................................................................................................................................................3
エグゼクティブサマリー ..........................................................................................................................................................................4
簡易チェックリスト..................................................................................................................................................................................6
購入のための詳細チェックリスト ..........................................................................................................................................................8
IPS 購入ガイド
はじめに
今日の最高情報責任者（CIO）、IT ディレクタ、ネットワークマネージャにとって、セキュリティはより大きな関心事になりつつ
あります。これらの人々は、企業ネットワークの基幹リソースや機密情報を保護する必要性を感じているからです。許可されたユ
ーザに対して許可された情報のみへの確実なアクセスを提供する一方で、不正ユーザによる会社のネットワークへの侵入を阻止し
なければなりません。しかし、近年では以下のような多様な要因により、この作業は一段と困難になっています。
■ ユーザ数の増大に加え、ネットワークへのアクセス方法が多様化したことにより、厳密な制御が困難となり、リソース
の不正利用にも様々な方法が生まれている
■ 攻撃の量と複雑さは増大し続けており、アプリケーション層の脆弱性に付け込まれるケースも多い。これらを識別、抑
制するには高度な攻撃防御および分析手法が必要
○ 様々なハッキングツールや攻撃ツールがインターネットで入手可能になっている上、とても扱いやすくなって
いる（GUI を備えているものも多い）。このため、インターネットユーザならほとんど誰でも攻撃ツールをダ
ウンロードして企業に対して実行可能になってきている
○ サーバーソフトウェアではなく、Windows コンポーネントを狙った攻撃が増大し、それにより潜在的にさら
に脆弱なシステムになりつつある
○ 脆弱性が増え続ける一方で、脆弱性が発表されてから実際にこれを利用した攻撃までの時間が短縮されている。
この結果、効果的なセキュリティパッチを確保してネットワークを保護することが難しくなっている
ファイアウォールは、確かに第一段階の防御であり、インターネットに接続するあらゆる企業にとっては絶対要件です。ただし、
これだけでは防御ラインになり得ないことを企業はすでに認識しています。ほとんどの企業ではネットワークセキュリティへの階
層的アプローチを採用して、クリティカルな資産に対するリスクの最小化を図っています。最も重要な階層は、攻撃防御および抑
制に関しての侵入防御システムです。もっとも、侵入防御の実行を謳ったシステムがすべて同じというわけではありません。
このため、特に危険にさらされている知的財産や基幹業務データがある場合、あるシステムを自社のネットワークに導入した場合
の影響について把握しておくことが、企業にとって非常に重要になります。この文書は、侵入検知および防御製品の選択と実装に
関する問題を意志決定者が理解する助けとなるよう作成されています。
次の節では、侵入検知および防御ソリューションを評価するための枠組みと、最も重要な考慮事項を説明します。また、評価担当
者が各セキュリティソリューションの特徴と機能を見極める上で役立てることのできる検討項目の一覧も提示します。これにより、
企業として製品を比較し、企業のニーズと要件に最も適合する製品を選択することが可能になります。
IPS 購入ガイド
エグゼクティブサマリー
企業は、深刻な脅威や重大な財政的損失から会社を保護してくれるものとして、情報セキュリティシステムを信頼しています。
会社にとって生命線に他ならない情報が危険にさらされている状況では、不正なネットワーク攻撃や脅威を阻止するために適切
なセキュリティソリューションを選択して実装することが戦略上の要件となります。この節では、意思決定者および評価担当者
が、侵入検知および防御システムを評価するために必要な基準を理解できるよう支援します。
各機能ごとの比較を行うにあたって、意思決定者は、次の 5 つの基準により評価を組み立てる必要があります。効果的な侵入
検知および防御デバイスは、次の要件を備えていなければなりません。
1. 素早い問題解決のために簡単に正確に調査できること
侵入防御システムで最も重要なのは、いかに迅速かつ効果的にセキュリティ上の問題を解決できるかです。攻撃が標的に到
達する前に阻止するのが本来の目標ではあるものの、ネットワークの状況を把握していない限り、効率的な攻撃防御のため
のセキュリティポリシーを策定するのは非常に困難です。したがって、侵入防御システムにより、ネットワークレベルおよ
びアプリケーションレベルの両方で、ネットワークの状況を把握できることが重要です。これにより、進行中の状況を把握
して問題を修復するために速やかに行動し、攻撃元からの将来の攻撃を防御する強力なセキュリティポリシーを策定するこ
とが可能になります。最も重大なイベントのサマリーを迅速に作成できると共に、生データを操作して個々の問題を分析で
きることが大切です。攻撃が発生した場合、ユーザは、単一のデータポイントから進行中の状況を推定し、攻撃を封じ込め
て撲滅する方法を発見しなければならないことがほとんどです。従って、侵入防御ソリューションは、ユーザが容易にその
データポイントを見つけてその他と相関づけることにより、進行中の状況を即座に正確に把握して、修正作業を行いリソー
スを保護できるようにすべきです。
2. 使いやすさ
侵入検知および防御システムが使いやすければ、セキュリティの管理およびレベルの大幅な向上につながります。管理者が、
関連のある重要な情報をシステムで即座に表示し、調整することができれば、ネットワークマネージャは確実に最新の脅威
からネットワークを効率的に保護し、最新のセキュリティポリシーを施行できます。デバイスの制御や把握が複雑であれば、
管理者は、作業に必要な情報を見つけるのに時間を取られます。セキュリティポリシーを短時間で定義でき、中央管理によ
る簡単かつグローバルな更新が可能になれば、全世界に散らばる企業の IT チームは、システムやネットワークを包括的か
つリアルタイムに見ることができます。また、セキュリティマネージャが直観的なスタイルのきめ細かな制御を行えるよう
になれば、システムが会社の特定のセキュリティ要件を満たしているかだけでなく、貴重な IT 時間やリソースが浪費され
ていないかを確認することができます。簡単にいえば、複雑で使いにくい IPS システムを導入すると、会社の情報セキュ
リティ戦略はほとんど無価値なものになってしまうのです。
IPS 購入ガイド
3.包括的保護
まず、すべての攻撃に対して絶対的な保護を提供できるソリューションはないものと認識することが重要です。攻撃の方法
は日々変わるもので、ネットワーク攻撃に使用される可能性のあるすべてを予測し、防御することは不可能です。ネットワ
ーク層の IP、TCP、UDP、ICMP、アプリケーション層の HTTP、FTP、SMTP、DNS、POP3、IMAP といった膨大
な数のプロトコルは、ネットワークトラフィック固有の複雑さを形成しており、攻撃者に悪用される脆弱性の原因ともなっ
ています。この複雑さと、様々な形態の攻撃があるという要素が相まって、攻撃者が企業ネットワークを攻撃する際には、
様々な選択肢があることになります。最も大切なのは、重要なリソースをなるべく攻撃者にさらさないことです。侵入検知
および防御システムが提供する包括的保護は、企業をサポートしてそのリスクレベルを妥当な範囲に維持する上で不可欠で
す。ソリューションがその価値を発揮するには、広範囲なプロトコルをサポートするだけでなく、多様な種類の攻撃を防御
する必要があります。
4.攻撃の阻止
攻撃が標的に到達し続けるのを阻止できるかどうかは、侵入検知および防御システムの能力にとって基本です。別のシステ
ムに依存しなければ攻撃を防御できない侵入検知システムは、効率的と言えるでしょうか。答えは明らかです。しかし、こ
れは多くの侵入検知製品に当てはまることなのです。これらの製品では、ファイアウォールや、場合によっては被害者自身
に通知を送信して攻撃を止めようとします。これらのメカニズムはどれも、攻撃が被害者に到達した後に起動するため、防
御に成功したとしても、攻撃を阻止する前にどのくらいの被害を受けたかの正確な調査をネットワーク管理者に依頼する必
要があります。防御応答に遅延のあるデバイスはいずれも、真の意味で防御能力を備えているとは言えません。真に効果的
なソリューションは、検知プロセス中にアクティブに攻撃を防御し、悪意あるトラフィックをドロップすることです。これ
により、標的となった被害者に攻撃が到達することなく企業ネットワークおよび機密を要するミッションクリティカルなデ
ータを安全に守ることができます。
5. ネットワークとのシームレスな統合
今日の高度に分散化されたグローバル企業における侵入検知および防御ソリューションは、簡単に導入できて、しかも保護
するネットワークセグメントのパフォーマンス要件を満たせるものでなくてはなりません。企業には、そのセキュリティポ
リシーが変更されたり、新しい侵入検知パターンがリリースされるたびに、会社ネットワークの各デバイスを個別にアップ
デートする時間やリソースの余裕はありません。したがって、システムは中央で管理して、導入および運用保守を簡素化す
る必要があります。また、企業には、システムの導入に伴いネットワークを再設計したり、パフォーマンスの低下を甘受す
る余力もありません。このため、システムはトラフィックの高速な処理を通じて、即座にセキュリティ上の意思決定を行い、
ネットワークマネージャに対してその情報を適切なタイミングで提示することにより、管理者がシステムを常時リアルタイ
ムで監視できるようにする必要があります。低速のシステムでは、ネットワークトラフィックの速い流れに対処できず、攻
撃を逃して企業ネットワークの脆弱性を増大させるおそれがあります。管理者が常にネットワークの進行状況を正確に把握
できるようにするには、デバイスのパフォーマンスが最適化されている必要があります。
IPS 購入ガイド
簡易チェックリスト
前の節では、侵入検知および防御システムを評価するための枠組みとなる重要な基準について説明しました。この節では、5 つの各
基準において考慮すべき重要なチェックポイントを、企業が簡単にチェックできる一覧として提示します。様々なソリューションを
項目別に比較するための詳細なチェックポイントは、次節の「購入のための詳細チェックリスト」を参照してください。
1. 迅速な問題解決
● システムにより、どの程度攻撃の調査（インベスティゲーション）が容易になるか？
● 監視する情報レベルをどこまで高度化できるか？
○ 単一のデータポイントから、ネットワークの他のアクティビティやリソースとの相関関係をどこまで把握できる
か？
○ ログを手がかりに、実際のパケットデータや、ログのトリガとなったルールにたどりつけるか
● サマリー情報を操作できるか？
● サマリー情報から特定の攻撃の詳細情報へ自由に移動できるか？
● ソリューションによって、セキュリティ状態の評価がサポートされているか？
● ネットワーク上を流れる、ホストデータ、サーバーデータ、プロトコルデータ、ポートデータ、アプリケーションデータな
どの理解を促進し、これにより、セキュリティポリシーを確認および調整して適切なセキュリティ対策を適所に講じること
ができるか？
○ ネットワークに追加されたサーバー、アプリケーション、デバイスなどをどう把握するか？
○ 財務部門の従業員が突然研究開発（R&D）部門のサーバーにアクセスした場合、これをどう発見するか？
○ 従業員によるインターネットからの新しいアプリケーションのダウンロードをどう把握するか？
○ 各システムにロードされているソフトウェアのバージョンをどう追跡するか？
○ 特定の OS またはアプリケーションにセキュリティ上の弱点が明らかになった場合、どのようにすべての関連シ
ステムに即座に照会し、脅威によってもたらされる可能性のある影響を評価するか？
●セキュリティマネージャは、ネットワークをリアルタイムで監視できるか？
2. 使いやすさ
● システムの運用、および IPS ポリシーの策定とカスタマイズは、マニュアルを読まなくても、わずかなトレーニングのみ
で可能か？
● システムの導入と設定に使用するインタフェースには各種オプションが存在し、管理者に合ったものを選択できるか？（コ
マンドラインインタフェース、Web ベースなど）
● 探索対象をシステムに対してどう指定するか？
● 同一のトラフィックにおける異なる攻撃を探索し、異なる対策を講じることは可能か？
● システムの動作をどう変更するか、各デバイスに個別の設定を持たせる必要があるか？
● 分散ネットワークを管理するためのポリシーはどれだけ策定する必要があるか？
● すべてのセンサーに対するポリシーの変更およびシグネチャ更新は容易に可能か？
● データの表示と制御は容易か？
● 探索対象の把握、および時間とリソースの優先順位付けを容易にするコンテクスト情報を十分に利用できるか？
● SQL データベース、CSV、XML ファイルにログを書き出し、別のタイプの分析が可能か？
● どのような種類のレポート機能が提供されているか？
● 企業の既存監視ツールを使用してシステムを監視できるか？（SNMP-MIB II などに対応しているか）
● システム管理者はどのようにシステム情報にアクセスできるか？
IPS 購入ガイド
3. 包括的保護
● 採用されている攻撃検知手法の種類は？
● 処理可能なネットワークプロトコルの種類は？（IP、TCP、UDP、ICMP など）
● 処理可能なアプリケーションプロトコルの種類は？（HTTP、FTP、SMTP、DNS、POP3、IMAP など）
○ インスタントメッセージングや P2P (ピアツーピア) によるファイル共有アクティビティを保護できるか？
● 攻撃の異なる段階（攻撃準備、進行中の攻撃、危殆化など）を検知可能か？
● 攻撃を検知するために何種類の検知メカニズムが採用されているか？それらの検知メカニズムは連携し、情報を共有する
か？
● 検知可能な攻撃の種類は？次の攻撃は対象となるか？
○ パターンのある既知の攻撃
○ 未知の攻撃（パターンのない攻撃）
○ インタラクティブトラフィックを使用する攻撃（ワームやトロイの木馬）
○ リソースを過負荷状態にする攻撃（DoS 攻撃や Syn フラッド攻撃）
○ 複数の接続にまたがる攻撃
○ アプリケーションまたは転送の曖昧性を悪用する攻撃
○ 再来型攻撃（偵察攻撃）
○ レイヤ 2 攻撃
● アラームをトリガする前に、原因と結果の相関関係、またはイベント連鎖を考慮するか？エンドユーザの推察に任せるので
はなく、複合シグネチャについて明確に説明する必要有
● システムから巧みに逃れる侵入者からどう防御するか？
● 様々なネットワークセグメント用に様々なシステムが提供されており、ネットワーク全体に適切なセキュリティを導入でき
るか？
4. 攻撃防御
● 提供される応答メカニズムの種類は？
● デバイスは、攻撃をドロップするために他のシステムに依存しなければならないか、または検知プロセス中に攻撃をドロッ
プする機能があるか？
● 攻撃が検知された際の通知メカニズムでは何が利用可能か？
● 個々の攻撃に対する特定の対応をユーザ指定できるか？
● 防御機能を使って基幹業務トラフィックにマイナスの影響を出さないための方策は？
● 防御機能を使ってサービス拒否状態の発生をどう防ぐか？
5. ネットワーク統合
● 採用されているシステムアーキテクチャの種類は？
● システムの供給形態は？（アプライアンス、ソフトウェア、またはその両方など）
● ログを収集および保存する場所は？
● ネットワークとの統合は容易か？（VLAN 対応など）
● 単一のデバイスで複数のネットワークセグメントを保護できるか？
● 複数のネットワークセグメントのパフォーマンス要件を満たす複数のパフォーマンスオプションがあるか？
● 単一点障害の可能性を回避する HA（High Availability: 高可用性）モードオプションがあるか？
● 検知プロセス中にトラフィックを処理するためのオプションにはどのようなものがあるか？
● デバイスのパフォーマンス最適化方法は？
IPS 購入ガイド
購入のための詳細チェックリスト
日
付
担当者名
機
能
ジュニパー
ネットワークス
NetScreen-IDP
迅速な問題解決
クローズドループ（閉鎖ループ）調査機能
○
イベントログからパケットデータへの移動
○
イベントログからセキュリティポリシーへの移動
○
トレンドレポートからイベントログへの移動
○
サマリー情報によるアクティビティ／リスクの
○
優先順位付け（高レベルから低レベルへの移動）
単一のデータポイントからのネットワークアクティビ
○
ティの相関付け（低レベルから高レベルへの移動）
ログビューアから、関連するネットワークおよび
○
アプリケーションレベル情報への直接アクセス
ネットワーク状況のオンデマンド表示
○
以下のものに関するアクティビティの追跡
ホスト
○
サーバー
○
ポート
○
ネットワークで使用されるプロトコルの追跡
○
ネットワークで特定のアプリケーションデータを追跡
○
ネットワークでソフトウェアバージョンを追跡
○
ネットワークに新規サーバーが追加された際に
○
アラートを通知
ネットワークに新規クライアントが追加された際に
○
アラートを通知
ネットワークに新規アプリケーションが追加された
○
際にアラートを通知
プローブおよび不審なアクセスの試みを識別
（ワームの可能性がある）
○
ネットワーク上にアクセスしているユーザを識別
○
IP アドレスと MAC アドレス、またはその他の固有の
○
アセットタグとの関連付け。これにより、ネットワーク
上の個々のデバイスを識別可能
IP アドレスと固有のユーザ情報の関連付け。
これにより、特定の IP でログインする個人ユーザを
識別可能
○
ベンダー ♯ 2
注
記
IPS 購入ガイド
ネットワークへのログインに使用された IP アドレスと
○
ユーザ情報との関連付け
ホストおよびサーバーで実行しているソフトウェアの
○
情報を提供
ユーザが使用しているアプリケーションの情報を提供
○
ポリシー違反の識別
○
セキュリティポリシーが明確に許可しているアクティ
○
ビティをフィルタリング
ネットワークアクティビティのリアルタイム表示
○
IPS 購入ガイド
機
能
ジュニパー
ネットワークス
NetScreen-IDP
使いやすさ
導入および設定用の複数インタフェースの提供
○
（ユーザ選択可能）
導入、設定、設定変更用のシンプルな Web ベースの
○
インタフェース
導入、設定、設定変更用のテキストブラウザ／CLI
○
導入、設定、設定変更用の堅牢な管理プラットフォーム
○
システムに対する安全なリモートアクセス可能
○
（ユーザ数は無制限）
ルールベースにより、きめ細かに動作を定義可能
○
次を指定するためのルールをユーザ定義可能
・探索する具体的なトラフィック
○
・そのトラフィック内で探索する攻撃
○
・攻撃を検出した場合の対応
○
・ルールを適用するセンサー
○
同一トラフィック内の複数の攻撃を探索して個別に
○
対応するよう設定可能
ネットワーク内の異なる部分で同一の攻撃を探索する
○
よう設定可能
攻撃探索を行うか否かについて二者択一の選択をする
×
必要がある（シグネチャのオン／オフ）
すぐに使えるルールベーステンプレートが製品に
○
同梱されている
企業全体でひとつのポリシーに従って製品を調整し、
○
各施行ポイント（センサー）に対しては動作を個別に
指定可能
ポリシーが変更され実施されると、自動的に個々の
○
センサーが更新され、適切な変更が加えられる
各施行ポイントは個別のポリシーを必要とし、
×
変更や更新があった場合必ず手を加える必要がある
センサーがシステムに追加されると、ポリシーにより
○
自動的にポリシー内のルールが新規センサーに追加される
RFC に準拠しないホスト、IP アドレス、サブネットを
○
予めポリシーから除外することにより、アラームが
通知されないようにする
攻撃を分類し、ネットワークにとって最も深刻な
脅威を特定する
○
ベンダー ♯ 2
注
記
IPS 購入ガイド
会社独自の論理グループを作成可能
○
特定の攻撃やイベントを強調するためのフラグ割当て
○
攻撃の深刻度に関するガイドが製品に同梱されている
○
特定の攻撃について、ルールベースの深刻度レベルを
○
上書き可能
ログ内の情報のフィルタリング
○
フィルタされた複数のビューを利用可能
○
複数のビュー（ポリシー、複数のフィルタログビュー、
○
システムステータス）を個別のウィンドウで同時に
使用できるため、調査が容易になる
フィルタを簡単に消去し、後で使用するために
○
プリファレンスに保存する
ルールやログにコメントを追加して、セキュリティ
○
チーム間の連絡を容易にする
ログから、ログをトリガしたルール／セキュリティ
○
ポリシーへ、またはパケットデータへ自由に移動できる。
これにより状況の把握が容易になる
パケットの関連情報を強調して、
○
各ログのサマリーを表示
次のものにログデータを書き出し、後で分析
SQL データベース
○
CSV ファイル
○
XML ファイル
○
ベンダーは、製品のアップデート
○（サポート契約が必要）
（新規シグネチャなど）を定期的に提供し、
最新の脅威に備える
ベンダーが提供するアップデートを自動的に
○
システムに適用可能
シグネチャのアップデートの中から、個々のシグネチャを
○
選択可能
システムがアップデートされると、ユーザ設定の
○
シグネチャが上書きされた可能性を示すアラートが
通知され、ユーザの意図どおりであるかを確認
攻撃に関するコンテクスト情報をインタフェースで提供
○
脆弱性、パッチ、影響を受ける OS に関する
○
攻撃情報を提供し、脅威レベルの把握を容易にする
（TruSecure Intellishield
Alert Manager を搭載）
他の攻撃定義へのクイックリンクにより、
さらなる評価が可能
○
ユーザが希望する場合、情報を表示しないことが可能
○
包括的ヘルプを利用可能
○
IPS 購入ガイド
予め定義済みのレポート
○
レポートのカスタマイズ化
○
ユーザはレポートデータを書き出し、簡単に配布
○
マルチレベルの犯罪科学捜査
○
ネットワークで進行中の状況を即座に把握できるよう
○
重要イベントのサマリービューをダッシュボード表示
ダッシュボードに表示する項目をユーザ定義可能
○
サマリー情報を、必要なイベントに関する特定の
○
データにドリルダウンする
ログおよびパケット情報をレポートから直接読み込む
○
ホストに対する送信元、攻撃に対する送信元を視覚的に
○
関連付け可能
既存のデバイス監視に使用されている SNMP ベースの
監視製品でシステムを監視可能
○
IPS 購入ガイド
機
能
ジュニパー
ネットワークス
NetScreen-IDP
ベンダー ♯ 2
注
記
包括的攻撃防御
デバイスが使用する侵入検知メソッドの数
パターンを持つ既知の攻撃の検知（コードレッド）
8
ステートフルシグネチャ、
プロトコル異常検知
未知の攻撃およびパターンを特徴付けられていない
攻撃の検知（バッファオーバーフロー、
プロトコル異常検知、
バックドア検知
DNS キャッシュポイズニング、将来の sendmail の弱点）
不正なインタラクティブトラフィックの検知
バックドア検知／ESP
（トロイの木馬、ワーム、バックオリフィス）
(Enterprise Security Profiler)
複数の接続にまたがる偵察攻撃の検知
トラフィック異常検知
（ポートスキャン、ネットワークスキャン）
リソースを過負荷状態にする攻撃
DoS 検知、
（DoS 攻撃や Syn フラッド攻撃）
プロトコル異常検知
レイヤ 2 攻撃の検知（ARP スプーフィング）
IP スプーフィングの検知
レイヤ 2 検知
IP スプーフィング検知
架空の脆弱なサービスを偽装して攻撃者をおびき寄せ、ネットワークハニーポット
再来型ハッカーノイズを削除する（スクリプトキディ）
ある一つの攻撃アラームを表示する前に、
複合型シグネチャ
他の攻撃をイベントを探索
原因と結果の相関関係を使用して攻撃を識別
企業独自の攻撃防御をカスタマイズ可能
複合型シグネチャ
○
オープンシグネチャ
フォーマットが必要
企業独自の攻撃防御をインポート可能
○
オープンシグネチャ
フォーマットが必要
トラフィックの再組立て、正規化、スクラビングを行い、
○
システムすり抜けの原因となるアプリケーションや
トランスポートの曖昧性を防止
サポートするネットワークプロトコル数
･ TCP
○
･ IP
○
･ UDP
○
･ ICMP
○
･ ARP
○
サポートするアプリケーションプロトコル数
･ HTTP
○
･ SMTP
○
･ FTP
○
･ RPC
○
･ POP3
○
･ TELNET
○
･ RSH
○
･ REXEC
○
･ RLOGIN
○
･ DNS
○
･ IMAP
○
･ FINGER
○
･ DHCP
○
･ TFTP
○
･ MIME
○
･ NNTP
○
･ BOOTP
○
･ CHARGEN
○
･ ECHO
○
･ DISCARD
○
･ RTSP
○
･ SNMP
○
･ SNMP trap v1
○
･ SYSLOG
○
･ SSH
○
･ SMB (NetBIOS)
○
･ MS-RPC
○
･ VNC
○
･ IDENT
○
･ Gopher
○
･ NNTP
○
･ RUSERS
○
･ IRC
○
･ Gnutella
○
･ NTP
○
･ WHOIS
○
･ LDAP
○
･ NBNAME
○
･ SSL
○
･ NBDS
○
･ RADIUS
サポートするインスタントメッセンジャープロトコル数
･ AOL-IM
○
･ Yahoo-IM
○
･ MSN-メッセンジャー
○
IPS 購入ガイド
検知可能な P2P アプリケーション数
･ BearShare
○
･ Gnucleus
○
･ Morpheus
○
･ Swapper
○
･ XoloX
○
･ Gnewtellium
○
･ Gnutella
○
･ Mutella
○
･ eMule
○
･ eDonkey
○
･ Overnet
○
･ Qtella
○
･ LimeWire
○
･ Phex
○
･ Kazaa
○
･ Napster
○
･ WinMX
○
次の項目別に、一致する攻撃パターン（シグネチャ）を
ピンポイントで探索
･接続タイプ（すべて、クライアントからサーバーへ／
○
サーバーからクライアントへ）
･フロー（制御、補助、またはその両方）
○
･固定オフセット
○
･パケット
○
･ストリーム
○
･ライン
○
･サービスフィールド
○
定期的な攻撃パターンの更新（新規シグネチャ）
○（サポート契約が必要）
異なるネットワークセグメントを保護するため、
○
各ネットワーク展開に向けて設計された複数の
（製品ラインでは、4 つの
モデルが用意されている
ソリューションを利用可能）
大規模セントラルサイト向け
○
中規模セントラルサイト／大規模支店向け
○
小規模リモートオフィス向け
○
IPS 購入ガイド
機
能
ジュニパー
ネットワークス
NetScreen-IDP
ベンダー ♯ 2
注
記
攻撃防御
インライン型デバイスとして動作し、すり抜けを防止
○
検知した複数の攻撃に対して異なる対応を
するように設定
○
応答オプションの数
7
攻撃を阻止するために別のデバイスに依存
×
ファイアウォール
（ただし、設定により可能）
シグナリング／ブロッキング、
（ファイアウォール、クライアント、サーバーなど）
TCP リセット
遅延を発生させずに、攻撃自体をドロップ
○
インラインモードでの
実行が必要
悪意あるパケットのドロップ
○
悪意ある接続のドロップ
○
接続の終了（クライアントとサーバーの両方に
○
TCP リセットを送信）
クライアント側で接続終了可能（TCP リセット）
○
サーバー側で接続終了可能（TCP リセット）
○
攻撃者の IP アドレスをブロックするため
○
ファイアウォールを再構成可能
あるため非推奨
接続性に影響を与えない
○
通知／ロギングオプションの数
7
攻撃の前後に取り込むパケット数を具体的に設定可能
○
ログを関連データと共に保存し、後で分析可能
○
ログを CSV ファイルに書き出し、
○
サードパーティ製ツールで分析可能
電子メールを送信するように設定可能
○
攻撃の種類に基づいて異なるアドレスに電子メールを
○
送信するように設定可能
個々の攻撃に対して異なる対応をユーザ定義可能
○
攻撃を識別した時点でカスタマイズした
○
スクリプトを実行可能（特定の内部ユーザから攻撃を
受けた場合、内部情報の検索を実行するなど）
特別の注意を喚起するために、ログ内で警告として
○
フラグを割り当てる
攻撃を検知した時点で、ユーザが選択したシステムに
○
SNMP トラップを送信
攻撃セッションの取込み
DoS 攻撃の可能性が
○
IPS 購入ガイド
機
能
ジュニパー
ネットワークス
NetScreen-IDP
ベンダー ♯ 2
注
記
ネットワーク統合
次の 3 層アーキテクチャを使用
・センサー（施行ポイント、攻撃の検知および防御）
○
・中央管理サーバー（すべてのログを収集、ポリシー、
○
構成、ユーザ情報を保存）
・分散 GUI（ユーザがシステムにアクセスし、
○
コントロールする）
大規模分散型企業向けにアーキテクチャを拡張可能
○
すべての層間通信の暗号化および認証
○
（RSA および Blowfish）
導入が容易なアプライアンスとして供給
○
次の複数モードをサポート
透過モード（bump-in-the-wire 方式）
○
Proxy-ARP
○
ルーター
○
単一のポリシーで分散企業を管理
○
すべてのセンサーをユーザーによって安全に自動更新
○
仮想ルーターのサポートにより、特定の仮想または
○
物理インタフェースへのトラフィック転送が可能
複数のセグメントの保護
○（センサーごとに
最大 20 までの転送
インタフェースをサポート）
すべてのインタフェースで
○
802.1Q VLAN タグをサポート
ギガビット単位の環境に対応
○
（ファイバギガビットイーサネット標準）
ほとんどのネットワーク接続のパフォーマンス要件を
○
満たすフルラインスピード（ファストイーサネット）
小規模ネットワークセグメント向けに
○
スケールダウンが可能
トレートを即座に達成可能
クラスタ化によるパフォーマンス能力の向上
○
スタンドアローンに対する
○
HA（高可用性）提供により単一点障害を排除
HA クラスタ内の全デバイスのステータス監視
フルラインスピードのバース
○
IPS 購入ガイド
負荷分散／負荷共有
○
フェイルオープンオプション
○
バイパスユニット（別売）
（バイパスユニットを搭載した
が必要
ローエンドモデル）
ログを素早く表示して調べるための
○
ログのインデックス化
連続マッチングではなく、
○
パラレルシグネチャパターンマッチングを採用
攻撃の行われる可能性のあるトラフィックの
○
必要な部分だけを対象にストリームレベルから
サービスフィールドまでシグネチャパターンを探索
攻撃を検知後、遅延なく直ちに対応
○
タイムリーなシステム情報の提供により、
○
リアルタイムの分析が可能
システムステータス監視
○

Download Report