IDS、FWに加える新機軸のソリューション　〜CTC SP：ActiveScout〜

　CTCSPのActiveScoutは、特許取得済みの独自のシステムが採用された新機軸のセキュリティソリューション。インターネットからの攻撃に対し、IDSとFWだけでは対処できない部分をカバーできるという。そこで、ActiveScoutについてCTCSPにお話を伺った。

>> 攻撃の前に行われる偵察行為を検知して対応

　ワームや不正アクセスに代表されるインターネットからの攻撃は、巧妙化、複雑化が進んでいる。また、OSやソフトウェアの脆弱性の公表から攻撃コードの作成、そして実際の攻撃までといった一連の流れに必要な時間も、短くなる一方というのが現状だ。

　不正アクセスを実行されると、企業内の機密情報だけでなく顧客の個人情報が漏洩したり、さらなる攻撃の踏み台に利用される可能性もあり、致命的な信用問題になってしまう。現在、IDSやFWが企業のセキュリティに一般的に使用されているが、これだけでは完全といえない。

「現状のIDSは、パターンマッチングや異常検知を検知手法として採用しているものが殆んどですがこれらの製品では、既知の攻撃にしか対処できません。しかも、現実的には検知のみという運用がほとんどです。また同様に、FW機器についても完全とはいえません。IPアドレスやサービスでの制御は得意ですが、通信の内容まではチェックしないため攻撃に対しては無防備と言えるかもしれません。」（CTCSP技術本部ネットワークグループリーダー：三田氏）

　また、IDS、FWともに精度が上下する傾向があり、誤検知が発生する可能性が否めない。その結果、不必要なアラートの通知や正常な通信を防御してしまう必要なポートまで閉じてしまうことも考えられる。これでは逆効果になってしまう。

　このような現状を踏まえ、CTCSPが提供するソリューションが
「ActiveScout」そして「WormScout」である。これらの製品は、ともに米国のセキュリティベンダであるForeScout社の技術をベースに、不正アクセス対策とワーム対策にそれぞれ特化させている。この2製品で、IDSやFWでは守りきれないセキュリティホールに対応するわけだ。

　ActiveScoutは企業のFW部分に設置する不正アクセス、侵入防止システム。特許を取得している独自の方法によって攻撃を検知する。その方法とは、不正アクセスの前段階として行われるポートスキャンやパスワードスキャンといった偵察行為の段階から防御策を開始する。

「具体的には、スキャンに対して偽の情報を送出することで、不正アクセスかどうかのトリガにしています。実際には使用していないIPアドレスやホスト名、サービス名などを返すわけです。そのリアクションによって攻撃かどうかを判断できますから、誤検知がほとんどありませんし、未知の攻撃に対応できます。」

　この方法なら、現在一般的に使用されている定義ファイルなどが不要なため、定義ファイルのインストールやアップデートといった手間もいらない。導入後のメンテナンスが不要なので、容易に運用できるメリットがある。

◇「ActiveScout」
http://www.ctc-g.co.jp/~ctcsp/security/forescout.html

【執筆：吉澤亨史】

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec