検索
特集/連載

さらなる統合化に向かうセキュリティ業界Column

ネットワーク挙動異常検知技術は、極めて優れた価値がありながらテイクオフできないセキュリティ機能の1つ。業界再編の活発化に伴い、挙動検知機能のIPSシステムへの追加による大幅な機能強化を期待できそうだ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 過剰投資の状態にあるネットワーク/セキュリティ市場では今日、統合が大きな流れとなっており、ベンダー各社は、極めて優れた価値がありながらもテイクオフできないでいるように見える技術を我先に手に入れようとしている。ネットワーク挙動異常検知技術も、そういった技術の1つだ。この技術は、ネットワーキングデバイスから収集したフローベースの情報に基づき、エンタープライズ内部の不審な挙動を検出するというもの。

 ユーザーは常に、自社のネットワークの防御を強化したいと考えており、外辺部の防護が固められた今日、新たに出現しつつある脅威から社内ネットワークを防御することに関心が集まっている。さらにユーザーは、ネットワークのセキュリティを強化しなければならないというプレッシャーも感じている――規制当局からはコンプライアンス(法令遵守)要求をしつこく突きつけられる一方で、中国などの国からはボットネットという形の新たな脅威が次々と出現しているからだ。

 過剰投資の状態にあるネットワーク/セキュリティ市場では今日、統合が大きな流れとなっており、ベンダー各社は、極めて優れた価値がありながらもテイクオフできないでいるように見える技術を我先に手に入れようとしている。ネットワーク挙動異常検知技術も、そういった技術の1つだ。この技術は、ネットワーキングデバイスから収集したフローベースの情報に基づき、エンタープライズ内部の不審な挙動を検出するというもの。

 ユーザーは常に、自社のネットワークの防御を強化したいと考えており、外辺部の防護が固められた今日、新たに出現しつつある脅威から社内ネットワークを防御することに関心が集まっている。さらにユーザーは、ネットワークのセキュリティを強化しなければならないというプレッシャーも感じている――規制当局からはコンプライアンス(法令遵守)要求をしつこく突きつけられる一方で、中国などの国からはボットネットという形の新たな脅威が次々と出現しているからだ。

 ネットワーク挙動検知は従来、IDS/IPS(侵入検知システム/侵入防御システム)に対抗する技術として位置付けられてきたが、依然として単独の技術としての地位を得るには至っていない。業界の再編が進み、インターネット上の脅威が高度化するという状況の中、IPSプロバイダーは自社のアプリケーションインフラを改善する必要があると感じている。(この市場の主要ベンダーとしては、アーバー、ランコープ、マーズー、Q1ラボなどがある。Q1ラボは、自社の挙動検知技術にSIM(セキュリティ情報管理)機能を追加したことで、魅力的なソリューションを開発した。)

 脅威防御分野における最近の重要な動きの1つとして、IPSプロバイダー各社が、アプリケーション開発と製品開発の両方の視点から技術を推進しようとしていることがある。トラフィックのブロック/修正機能を備えたIPS技術は、より大きなネットワークフレームワークの基礎的要素、ならびに大規模な技術統合(例えば挙動検知技術との統合など)のための中核的要素になろうとしている。

 IDS/IPS市場自体もこの数年にわたり、急速かつ根本的な変化を経験した。その背景には、有名な調査会社が「IDSは姿を消す」と予測したのを受け、その影響を危惧したベンダー各社が慌てて動いたことがある。皮肉にも、この苦しい移行が、IPS製品の新たな可能性を切り開くとともに、市場に新たな活気を吹き込んだのである。

 一方、ネットワーク異常検知製品のプロバイダー各社はこの数年間、認知度を高めるのに苦労してきた。この技術は、ほかの脅威防御技術のように多額の予算を確保できる地位を得ることができず、単独製品よりもむしろ製品の1機能と位置付けるのが妥当だという見方がもっぱらだった。

 といっても、ネットワーク異常検知が重要な技術ではないというわけではない。それどころか、この技術はIPSの次世代化に寄与するのである。挙動ベースの検知方式は、社内ネットワークの可視性を高め、ユーザーがネットワーク上で何が起きているかを把握し、不審な挙動がないか調べることを可能にする。一方、IPSは、特定のタイプのトラフィック(攻撃型トラフィックやポリシーに違反したトラフィックなど)の有無を調べることによって、悪意のある挙動を検出しようとする。それゆえユーザーに必要なのは、挙動検知機能を組み込んだIPSソリューションである。総合的な脅威防御製品(すなわちIPS)の主要機能として挙動検知機能を組み込むことに主眼を置いた提携や買収が、今後も続くものと予想される。

 こういった広範なIPSソリューションは、トラフィックパターンの挙動検知による脅威検出といったネットワークインテリジェンス機能を通じて社内ネットワークに対する理解を深め、リスク管理や脆弱性評価といった課題に対処するのに役立つ。挙動検知技術は、IPSベンダーのアプリケーションインフラの成熟化を促すとともに、ユーザーがIPSへの投資を有効活用するのに役立つ。ソースファイアーの「Real-time Network Awareness(RNA)」技術は、この市場の成熟化を示す好例といえるもので、ネットワークの脆弱性を分析する挙動プロファイリング機能を備える。ISS(インターネット セキュリティ システムズ)は今年、自社のIPS製品「ISS Proventia」にアーバーネットワークスの挙動検知技術を組み込むために同社と提携した。エンテラシスも、自社のIPS製品に挙動検知技術を組み込むためにQ1ラボと提携した。

 IPSベンダー各社が将来、自社の技術にアクセスコントロール機能を追加する際に、挙動検知などのネットワークインテリジェンス機能が、彼らのために新たなチャンスを切り開くだろう。個々のユーザーの活動を追跡する、新たな脅威を素早く検出する、継続的にネットワークを監視するといった異常検知製品の機能は、ネットワークアクセスコントロールという枠組みの中で自らを位置付けようとするIPSベンダー各社にとって欠かせないものになろうとしている。

 業界再編の活発化に伴い、ユーザーは既存のIPSシステムへの挙動検知機能の追加による大幅な機能強化を期待できそうだ。挙動検知機能は、新たな脅威との戦いにおいて頼もしい味方になるだろう。

本稿筆者のシャーロット・ダンラップ氏は、競争力向上のための情報をベンダーやインテグレータに提供しているカレントアナリシスのアナリストである。ハイテク/セキュリティ分野のジャーナリストおよびアナリストとして15年以上の経験がある。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る