企業のネットワークは、毎日さまざまな脅威にさらされている。アプリケーションやOSの脆弱性が次々と発見され、悪意のあるプログラムの手口は巧妙になっている。セキュリティを固めるには、ネットワークの出入り口で不正な通信をシャットアウトしなければならない。そこで注目されているのが、HPの「TippingPoint NGIPS」だ。

いち早く確実にネットワークを守る「仮想パッチ」機能

　インターネットに接続している企業ネットワークは、さまざまな危険に直面している。OSやアプリケーションのセキュリティホールを攻撃されると、ファイルを送り込まれたり、改ざんされたりしてしまう。ひどいときには、情報が漏洩したり、PCを乗っ取られたりするのだ。社員が持ち込んだ私物のPCがウイルスに感染し、社内ネットワークから外部に接続してしまうこともある。これらの不正な通信を監視し、検知したときに遮断するのが不正侵入防止システム（IPS）だ。

　HPの次世代IPS「TippingPoint NGIPS」は、ネットワークに出入り口に配置して、不正アクセスやウイルスの拡散、情報の漏洩などを防止するソリューション。「次世代」と冠がつくだけの従来製品以上の機能とパフォーマンスを備える。

　「TippingPoint NGIPS」には、三つの大きな特長がある。一つ目が、「仮想パッチ」機能だ。OSやアプリケーションにセキュリティホールが発見されると、そこを攻撃される可能性が出てくる。もちろん、マイクロソフトなどがセキュリティパッチを公開してくれるので、普通はそれを企業がダウンロード して、システムにインストールすれば大丈夫。しかし、ここでさまざまな問題が発生する。


　まず、パッチがあてられない端末がある。例えば、Windows 2000やXPなどのサポートが終了しているOSだ。2015年7月には、Windows Server 2003の延長サポートも終了する。これらのOSにはセキュリティパッチが公開されないのだ。さらに、メーカーの対応パッチを待っていると、初期被害にあう可能性は拭いきれない。

　「TippingPoint NGIPS」は、ここを解決する。仮想パッチをあてることで、ネットワークの出入り口で不正な通信をシャットアウトするのだ。OSやアプリケーションにセキュリティパッチを適用するための評価期間を長めに確保できるので、運用コストを削減できる。また、セキュリティパッチが公開されないOSもまとめて守ってくれるのもうれしい。「現時点でも、利用しているアプリケーションや予算の関係でWindows XP以前のOSを使い続けている企業はたくさんある。そんな企業でも、『TippingPoint NGIPS』」を導入すれば、少なくとも外部からの攻撃は防ぐことができる」（藤田セキュリティセールススペシャリスト）。

　攻撃を防ぐ方法にも工夫を凝らしている。これまでは、例えばエクスプロイトAという攻撃方法が発見されると、それに対応したフィルターをIPSに適用していた。しかしこの方法では、正常な通信も遮断してしまういわゆる誤検知が起きがちだった。しかも、少し切り口を変えられると対処できず、別のフィルターが必要になる。しかし、「TippingPoint NGIPS」のフィルター（仮想パッチ）はセキュリティホールそのものをふさぐようにできている。少々切り口を変えられても防御でき、しかも誤検知が発生しにくい。

　以前、あるポートに対して特定の文字数のサーバー名でリクエストを送信すると、バッファオーバーランが起きるMS03-026というワームがあった。これに対して、従来一般のIPSは、攻撃するコードを分析し、文字列を参考にフィルターを作成していたため、攻撃者が文字列を少し変えると、その文字列に合わせたフィルターがまた必要になり、いたちごっこの状態になってしまっていた。しかし、「TippingPoint NGIPS」のフィルターは、どのような条件で攻撃されるのかを解析し、それにもとづいて通信をブロックする。MS03-026の脆弱性では、あるポートに対して44文字以上のサーバー名を入れようとすると遮断するので、文字列を変更されてもすべて防御することができる。同時に、個別にフィルターを作成するのと比べると、フィルターの数も少なくてすむので、メンテナンス費用も抑えることができる。

　HPは、セキュリティ情報を収集する体制が充実しており、いち早く仮想パッチを提供できるのがウリ。世界中に散らばる約3000人のセキュリティリサーチャーが参加するゼロデイイニシアチブ（ZDI）というプログラムで、世に知られていない脆弱性を発見し、迅速に仮想パッチを提供しているのだ。過去には、Oracle Javaの重要な脆弱性のうち36％を発見し、2013年にはマイクロソフトの重要な脆弱性のうち5割以上を発見している。そのおかげで、「TippingPoint NGIPS」はマイクロソフトがセキュリティパッチをリリースするよりも、平均して26日も前に対応している。「現時点でも、マイクロソフトに報告した脆弱性の件数はHPが一番多くなっています」（藤田セキュリティセールススペシャリスト）という。

未知の攻撃を防ぎつつ高いパフォーマンスも発揮する

　二つ目の特長が、「脅威情報データベース」だ。これは、私物のノートPCやモバイル端末を企業のネットワークに接続するなどして、万が一、ウイルスが侵入してしまった場合に、社外への不正接続を遮断する機能。不正アクセスに利用されているサーバーのIPアドレスやドメイン名を登録したデータベースを参照し、そこに接続しようとする通信をカットすると同時に、それらのサーバーから送信されてくる通信も遮断する。この機能によって、情報の漏洩を防止するのだ。

　近い将来には、不正なサーバーのロケーションや本来取引があるはずのない場所への接続を制御する機能も搭載する予定。そうなれば、新しい不正サーバーが動いても、データベースへの登録を待つことなく脅威を排除できるようになる。

　三つ目の特長は、「低遅延・ハイパフォーマンス」。「TippingPoint NGIPS」はASIC（特定用途集積回路）で処理を行っているので、低遅延・ハイパフォーマンスを発揮する。また、HDDを搭載していないので、耐障害性も高い。そのため、クラウドやバックボーンといったミッションクリティカル（止めることのできない基幹業務）の環境でも、パフォーマンスへの影響を最小限に抑えながら、高度なセキュリティ環境を実現するのだ。スループットは製品によって異なるが、ハイエンドモデルだと最大20Gbpsという性能で、データセンターなどでの利用にも対応する。

　これら三つの特長に加え、ユーザー企業からは扱いやすさも評価されている。「ブートしたときに簡単な設定をして、ネットワークにつなぐだけ。『TippingPoint NGIPS』は管理設定用の他にはIPアドレスをもたないので、設定は簡単ですぐ接続できる。あとは仮想パッチをアップデートすれば完了する」（藤田セキュリティセールススペシャリスト）。

　「TippingPoint NGIPS」を導入しているユーザー企業は、すでに7000社を越えている。例えば製造業の場合、工場ではWindows 2000やXPといった古いOSを使い続けているが、使っているアプリケーションの関係でPCやOSをリプレースできないところがある。そんな企業が、工場と外部ネットワークの境界に「TippingPoint NGIPS」を導入しているのだ。

　また、すでにIPS機能を備えている製品を導入しているが、すべての機能を有効にするとネットワークの速度が落ちてしまうので無効にしているという企業もある。IPSを、IDS（不正侵入検知システム）として利用しているのだ。そんなときも、「TippingPoint NGIPS」を導入することで、パフォーマンスを落とさずにIPSを構築できる。どちらかのシステムが停止しても、もう一方のシステムが稼働していれば最低限のセキュリティを確保できるという多層防御というメリットもある。


　今後は、トレンドマイクロの「Deep Discovery」やラストラインの「Lastline」といったセキュリティソリューションとも連携し、新しい脅威の発見と保護性能の向上に取り組む。さらに今年中には、HPの次世代ファイアウォール「TippingPoint NGFW」と連携して、アプリケーションコントロールを含めたセキュリティを提供する予定だ。