|
■URL
http://www.dit.co.jp/
http://www.ctc-g.co.jp/
 |
|
「Dynamic Defense System」の構成イメージ図 |
株式会社ディアイティ(以下、DIT)と伊藤忠テクノサイエンス株式会社(以下、CTC)は11日、ネットワークへの不正侵入者を自動的に囮サーバーへと追い込むセキュリティーシステム「Dynamic Defense System(以下、DDS)」を共同で開発し、販売を開始したと発表した。価格は、ソフト・ハードウェア費用込みで1,470万円からとなる。
DDSは、不正侵入があった際に不正侵入検知システム「IDS(Intrusion Detection System)」が検知を行ない、不正侵入者と判断した場合は、通常のサーバーとは別に設置してある囮サーバーへ誘導しログ等で分析を行なうというもの。DDSは、Recourse Technologies社が開発した不正侵入検知システム「ManHunt」と囮サーバー「ManTrap」、Top Layer Networks社が開発したセキュリティーアプライアンス製品「Attack Mitigator」と「Secure Edge Controller」の4製品を組み合わせて機能するシステムとなっている。
実際の検知の流れとしては、外部からのパケットはまず「Attack Mitigator」によって、DoS攻撃やhttpワームに対する防御が行なわれた上でIDSへ送られる。検知を行なう「ManHunt」は、異常なパケットをリアルタイムで相関的に判断するので、通常の検知方法より格段に精度が増しているという。「ManHunt」によって、「正常な通信」と「攻撃」に振り分けられた後は、「Secure Edge Controller」によって通常のサーバーと囮サーバーへと振り分けられる。
囮サーバー「ハニーポット」は、コンテンツなど外部から見える情報は全て通常のサーバーと同じものを用意するので、外部からの侵入者は通常のサーバーとの見分けがつかず、「あたかも侵入が成功したように思わせることができる」という。囮サーバーでは、侵入者が行なう全ての行動に関するログが取られており、デジタル署名による認証の後、管理者等に報告する。これによって、侵入者には、侵入に成功したと思わせて、囮サーバーの中で「泳がせて」おき、その間に侵入者の情報を掴もうというシステムだ。
これらの、何重にも重なるセキュリティーシステムによって、より強固なセキュリティーを実現するという。これは、DITによると「今回の製品は、いわゆるスクリプトキディのような、攻撃者を対象としているのではなく、もっとハイレベルな攻撃者や侵入者を対象としている。従って、導入者も中小企業よりは、官公庁や各ベンダー、ISPなどGビットクラスの回線を使用する大規模ネットワークが対象となるだろう」としている。また、IDSの宿命ともいわれている不正侵入の「誤検知」によって、一般ユーザーが不正ユーザーと判断されてしまう問題については、「IDSに100%というものは、存在しないだろう。いかに精度を上げるかが問題となる。その点DDSでは、リアルタイムにさまざまな要素から相関的に判断しているので、今までのIDSと比較して、格段に精度が向上している」という。
「Secure Edge Controller」と「Attack Mitigator」を取り扱うCTCの産業営業第1本部チャネルパートナー営業部部長の南部 信之氏は「今後このような分野は、最も活躍する分野だと考えている。最近は、米国でのアタックだけでなく、国内においてもかなりの数の被害が報告されている。実際には、『被害を公表できない・しない』企業などもあると思われるので、もっと被害が起きているはずだ」と語った。最後にDITの代表取締役社長の下村 正洋氏は「昨年からのブロードバンド・常時接続の普及は、クラッカーにとって有利な時代になってきたといえる。これからは、監視だけして見つけたら追い返すような受動的な防御ではなくて、見つけたら気付かれないように囮サーバーへ追い込み、全ての情報を獲得するような能動的な防御が必要だ。そのためのシステムは、当社のシステムだけでは実現が難しかったので、CTCなどと共同で開発するに至った」と語った。
 |
 |
 |
| DIT 代表取締役社長 下村 正洋氏 |
CTC産業営業第1本部チャネルパートナー営業部部長 南部 信之氏 |
DDSの構築例
|
(2002/6/11)
[Reported by otsu-j@impress.co.jp]