ラドウェアの 次 世 代 型 侵 入 防 御 技 術 DefensePro 3.10 Page 1 セキュリティの 課 題 セキュリティ 攻 撃 の 高 度 化 3.5 3.4 3.3 3.2 3.1 3 2.9 2.8 2.7 2.6 パッチ 管 理 とセキュリ ティ 専 門 家 の 確 保 に 費 用 がかかる 1 = 脅 威 はない 5 = 重 大 な 脅 威 である セキュリティソリューショ ンの 複 雑 化 合 計 セキュリティ 攻 撃 の 高 度 化 セキュリティポリシーの 重 要 性 に 対 する 従 業 員 の 過 小 評 価 セキュリティソリューションの 複 雑 化 予 算 不 足 トラフィックの 増 大 と 複 雑 化 常 時 接 続 環 境 への 対 応 その 場 しのぎ 的 な ネットワークセキュリティ 対 応 出 典 :IDC 企 業 セキュリティ 調 査 (2005 年 12 月 ) Page 2
セキュリティの 課 題 3.5 3.4 3.3 3.2 3.1 3 2.9 2.8 2.7 2.6 より スマート な セキュリティ 攻 撃 の セキュリティ 技 術 が 高 度 化 求 められている パッチ コスト 削 管 減 理 を とセキュリ 実 現 する ティ ソリューションの 専 門 家 の 確 保 必 に 要 費 用 がかかる 性 1 = 脅 威 はない 5 = 重 大 な 脅 威 である セキュリティソリューショ 適 応 型 の 意 思 決 定 エン ジンが ンの 求 められている 複 雑 化 合 計 セキュリティ 攻 撃 の 高 度 化 セキュリティポリシーの 重 要 性 に 対 する 従 業 員 の 過 小 評 価 セキュリティソリューションの 複 雑 化 予 算 不 足 トラフィックの 増 大 と 複 雑 化 常 時 接 続 環 境 への 対 応 その 場 しのぎ 的 な ネットワークセキュリティ 対 応 出 典 :IDC 企 業 セキュリティ 調 査 (2005 年 12 月 ) Page 3 DoS 攻 撃 : 建 物 が 全 焼 した 何 千 ものeコマースサイトのオン ライン 決 済 処 理 を 行 う 会 社 同 社 のサービスにより eコマース 企 業 はクレジットカード 決 済 を 利 用 できる StormPayは 倒 産 した 建 物 が 全 焼 した という 噂 は ウソである Eコマース 用 の 決 済 ゲートウ ェイが 大 規 模 なDDoS 攻 撃 を 受 け 約 2 日 間 サイトが 使 用 できなくなった Page 4
ゼロデイ 攻 撃 は 実 際 に 起 きています エクスプロイトが 出 現 するまでの 時 間 は 短 くなっています エクスプロイトが 出 現 するまでの 日 数 2001 2002 2003 2004 2005 2006 400 300 200 100 0 Nimda Slammer Welchia Blaster Sasser Web IIS Witty Zotob Page 5 VoIPセキュリティの 傾 向 身 近 な 電 話 にも 脆 弱 性 の 問 題 が 迫 っています 2007 年 までに VoIP は 世 界 の 音 声 サービスの75%を 占 める 見 込 み ( Communications Convergence Magazine 調 べ) VoIPは DoS 攻 撃 など IPベースの 攻 撃 に 対 して 脆 弱 不 十 分 な 音 質 では ユーザに 受 け 入 れられない VoIPのリアルタイム 性 が より 脆 弱 性 を 高 めている VoIPパケットは 遅 延 すると 意 味 がない サービス 拒 否 (DoS) 攻 撃 分 散 型 サービス 拒 否 (DDoS) 攻 撃 ネットワーク 上 のほぼすべての 要 素 が DoS 攻 撃 の 対 象 となりうる VoIPネットワークに 対 するDoS 攻 撃 には ネットワーク 層 におけるものと アプリケーション 層 におけるものがある Page 6
セキュリティ 脅 威 のライフサイクル 攻 撃 の 拡 大 速 度 と リスク リスク 分 析 と 緩 和 措 置 動 作 解 析 (ゼロデイ) シグネチャ 検 出 動 作 解 析 時 間 攻 撃 発 生 ベンダーのパッチ 公 開 拡 大 速 度 は 非 常 に 低 速 に 落 ち 着 く Page 7 脆 弱 性 とTCOの 課 題 脆 弱 性 の 傾 向 毎 月 平 均 40 件 の 新 たな 脆 弱 性 が 報 告 されています 出 典 : US-Cert( 重 大 な 脆 弱 性 のみ 掲 載 ) 年 間 では 500 件 もの 重 大 な 脆 弱 性 が 新 たに 報 告 されています TCO( 総 所 有 コスト)の 課 題 シグネチャデータベースの 継 続 的 な 拡 大 パフォーマンスの 低 下 高 額 なメンテナンス 費 用 結 論 : シグニチャベース だけの IPS エンジンでは 現 在 のセキ ュリティに 関 する 脅 威 に 対 抗 できません Page 8
結 論 効 果 的 なIPSソリューションは 将 来 起 こりうる 次 の 脅 威 に 対 応 する 必 要 があります: DOS/DDoS 攻 撃 既 知 の 攻 撃 とゼロデイ 攻 撃 ネットワークワーム 既 知 の 攻 撃 とゼロデイ 攻 撃 アプリケーションの 既 知 の 脆 弱 性 を 利 用 した 攻 撃 解 決 策 :バランスのとれた スマートなハイブリッドテクノロジ 適 応 型 の 動 作 解 析 シグネチャベースの 検 出 帯 域 管 理 (トラフィックシェーピング) Page 9 ネットワーク 侵 入 防 御 手 段 利 用 可 能 なソリューションのタイプ コンテンツベースのIPS シグネチャベース プロトコル 異 常 に 基 づくルール アプリケーション 層 に 対 する 単 発 の 攻 撃 に 対 応 PACKET レートベースのIPS トラフィックの 閾 値 は 時 間 ベースで 設 定 手 動 設 定 高 度 な 専 門 知 識 が 必 要 攻 撃 の 緩 和 (レートの 制 限 ) Page 10
ネットワーク 侵 入 防 御 手 段 利 用 可 能 なソリューションのタイプ コンテンツベースのIPS シグネチャベース プロトコル 異 常 に 基 づくルール アプリケーション 層 に 対 する 単 発 の 攻 撃 に 対 応 適 応 型 動 作 ベースのIPS 動 作 解 析 (ゼロデイ 攻 撃 ) 自 己 学 習 機 能 自 己 修 正 機 能 ハンズオフ 型 PACKET Radwareのハイブリ ッドアプローチは 相 互 に 補 完 し 合 い より 完 全 なソリューシ ョンになります Page 11 Radware DefenseProのIPS 機 能 DefensePro は マルチギガビットの 侵 入 防 御 とDOSプロテクションを 兼 ね 備 えた 統 合 型 IPSです 先 進 的 な 自 己 認 識 対 応 とコンテンツベース 帯 域 制 御 をひとつにまとめた 拡 張 性 の 高 いアプライアンスベースのマル チレイヤセキュリティソリューションです Page 12
企 業 への 展 開 例 ゲートウェイの 役 割 : ( 例 )DoS 攻 撃 最 大 優 先 度 の 脅 威 ワーム ウィルスなどから 保 護 す る DMZの 役 割 : ( 例 ) アプリケーションと プロトコルの 脆 弱 性 から Webサーバ メールサー バを 保 護 する 複 数 のセキュリ ティポリシー LANの 役 割 : ( 例 ) 一 般 的 なワーム バック ドア トロイの 木 馬 スパイウ ェアからユーザを 保 護 する Page 13 企 業 への 展 開 例 1つの 筐 体 に 仮 想 的 な 侵 入 防 御 システムを 構 築 1 台 のアプライアン スで 複 数 のセグメ ントを 保 護 Page 14
新 しいGUI: オブジェクト Page 15 スマート な 適 応 型 のマルチレイヤフィルタ DefenseProは 積 極 的 なセキュリティアーキテクチャを 採 用 しています ネットワークで DoS/DDoSフラッド 攻 撃 が 発 生 ゼロデイワームの 増 殖 侵 入 行 為 クリーンな 環 境 を 実 現 ネットワーク 動 作 の 事 前 解 析 ユーザ 動 作 の 事 前 解 析 コンテンツベースの ステートフルな 防 御 Page 16
スマート な 適 応 型 のマルチレイヤフィルタ ネットワークで DoS/DDoSフラッド 攻 撃 が 発 生 ワームの 増 殖 侵 入 行 為 クリーンな 環 境 を 実 現 ネットワークの 動 作 解 析 ユーザの 動 作 解 析 コンテンツベースの ステートフルな 防 御 Page 17 効 果 的 なトラフィックシェーピング 帯 域 管 理 ルールの 採 用 により ネットワークリソースを 保 証 します クリーンな 環 境 トラフィックの 優 先 制 御 P2P VoIP Web メール VoIP P2P Web 1 2 3 4 トラフィック 通 過 帯 域 管 理 ルール キューイング キューイングアルゴリズム(CBQ WFQ wred)や 階 層 的 な 帯 域 管 理 その 他 の 機 能 により 100 以 上 のアプリケーションに 対 応 します Page 18
マルチギガビットの 侵 入 防 御 システム ネットワーク 動 作 に 基 づき ゼロデイ 型 のDoS 攻 撃 を 防 御 ユーザ ホストの 動 作 に 基 づき ゼロデイ 型 のワームやボットを 防 御 双 方 向 スキャンによる ステートフルなコンテンツベースの 侵 入 防 御 新 機 能 サーバへの 侵 入 Webの 脆 弱 性 メールサーバへの 侵 入 FTPサーバへの 侵 入 SQLサーバへの 侵 入 DNSサーバへの 侵 入 ワーム ウイルス トロイの 木 馬 バックドア 水 平 垂 直 スキャン クライアント 側 の 脆 弱 性 SIP 新 機 能 IRCボット 新 機 能 スパイウェア プロトコル 異 常 IP/TCP 層 での 回 避 攻 撃 IPv6でのトラフィックスキャン SSLベースの 攻 撃 (*) 新 機 能 * AppXcel が 別 途 必 要 です Page 19 集 中 管 理 型 のセキュリティレポート 監 視 :ネットワーク 全 体 で すべての 悪 意 ある 行 為 をリアルタイムに 監 視 Page 20
集 中 管 理 型 のセキュリティレポート 監 視 :ネットワーク 全 体 で すべての 悪 意 ある 行 為 をリアルタイムに 監 視 カスタマイズレポート: 管 理 者 向 けにビット 単 位 での 解 析 報 告 フォレンジックにも 対 応 Page 21 集 中 管 理 型 のセキュリティレポート 監 視 :ネットワーク 全 体 で すべての 悪 意 ある 行 為 をリアルタイムに 監 視 カスタマイズレポート: 管 理 者 向 けにビット 単 位 での 解 析 報 告 フォレンジックにも 対 応 エクゼクティブレポート:ネットワークセキュリティ 全 般 をサマライズ Page 22
DefensePro 製 品 ラインアップ DefensePro 6000 大 企 業 や 大 規 模 な 通 信 事 業 者 におけるゼロデイ 型 の DoS 攻 撃 やワーム を 防 御 最 大 6Gbpsのスループット 10のGEポートを 含 む9つのセグメントに 対 応 DefensePro x20 シリーズ 本 社 部 門 データセンタでの 防 御 に 最 適 9つのセグメントを 保 護 ソフトウェアによるスケーラブルなパフォーマンスのア ップグレード 600 1000 3000 Mbps 機 能 拡 張 新 製 品 DefensePro x02 シリーズ 企 業 のゲートウェイ 支 店 遠 隔 地 のオフィスに 最 適 1つのセグメントを 保 護 ソフトウェアによるスケーラブルなパフォーマンスのア ップグレード 100 200 500 Mbps Page 23 DefensePro 3.0 と 3.10 の 主 な 機 能 適 応 型 のDoS 攻 撃 防 御 適 応 型 のワーム 防 御 VoIP (SIP)セキュリティの 確 保 IRCボットからの 保 護 スパムボットからの 保 護 IPv6への 対 応 最 適 な 機 能 を ハイブリッド 動 作 とシグネチャ ベースの 意 思 決 定 新 製 品 ラインアップ (DefensePro x02 x20) 100Mbps~500 Mbps ライセンスのアップグレードのみで 対 応 600 Mbps~3 Gbps ライセンスのアップグレードのみで 対 応 Page 24
主 な 差 別 化 ポイント (1) ハイブリッドテクノロジ 適 応 型 の 動 作 解 析 プロトコル 異 常 シグネチャベースの 技 術 と 帯 域 制 御 機 能 のバランスが スマ ート に 取 れたテクノロジ 業 界 トップクラスのゼロデイ 攻 撃 防 御 機 能 : 内 部 および 外 部 からのネットワークワームの 増 殖 を 積 極 的 に 防 御 ゼロデイ 型 のDoS/DDoSフラッド 攻 撃 を18 秒 以 内 に 防 御 ネットワークスキャンと ネットワーク 層 アプリケーション 層 におけ る 攻 撃 前 の 偵 察 行 為 を 積 極 的 に 防 御 ポート 密 度 とIPSポリシーの 仮 想 化 Virtual IPSを 以 下 の 識 別 子 により 設 定 可 能 vlan MPLS IPv6 L2TPなど Page 25 主 な 差 別 化 ポイント (2) ビジネスの 成 長 に 応 じた 対 応 スループットに 応 じてライセンスをアップグ レードできる スケーラブルなプラットフォームを 品 揃 え 最 大 のROI( 投 資 収 益 率 )と 投 資 保 護 を 実 現 マルチレイヤでのVoIP (SIP) 保 護 機 能 IPv6の 保 護 シグネチャと 動 作 ベースの 保 護 機 能 (ゼロデイ 型 ) 携 帯 固 定 電 話 事 業 者 における 防 御 の 最 前 線 として トンネリングプロトコ ルに 対 応 帯 域 管 理 により エンドツーエンドのトラフィックシェーピングを 実 現 Page 26
バリュープロポジション 低 い 総 所 有 コスト(TCO) ハンズオフ なセキュリティ 機 能 : 適 応 型 の 侵 入 防 御 機 能 により ハンズ オフ でセキュリティを 実 現 します( 最 低 限 の 設 定 メンテナンス 作 業 でOK です) シームレスな 統 合 :ネットワーク 環 境 にシームレスに 統 合 できるため ネッ トワーク 設 定 の 変 更 が 不 要 です( 透 過 的 なデバイスです) スケーラブルなプラットフォーム:ソフトウェアライセンスのアップグレードだ けで プラットフォームの 拡 張 が 可 能 です 容 量 既 存 のインフラとサーバの 有 効 容 量 が 飛 躍 的 に 拡 大 し ます 社 内 のセキュリティ 専 門 家 マルチレイヤのVoIP 保 護 IPv6 IRCボット 動 作 ベースの 検 出 手 段 などを 提 供 します SLAレポート 貴 社 の 顧 客 に 対 し 価 値 を 証 明 できます Page 27 Page 28