【UTM選びのツボ】IPSの性能に絶対的な自信 - シスコシステムズ

フル機能のIPSモジュール

シスコシステムズ合同会社テクニカルデベロップメントプロダクトマネジメントシニアプロダクトマネージャー中西一博氏

シスコシステムズが今後のゲートウェイセキュリティ領域におけるポイントとして掲げているのがIPS(侵入防止システム)だ。多くのUTM製品が搭載するこの機能について、同社が重視するのは「性能」である。

「Cisco ASA 5500には、専用機であるCisco IPS 4200と同じモジュールを搭載でき、専用機と同じ検知精度を持つ。その高い評価は専用機、モジュールを含むシスコのIPS/IDS製品の世界でシェアNo1(売上ベース。Synergy Research Group調べ)の実績が示している」(同社)。

グローバル・コリレーション機能

パターンマッチングに基づく従来の検知方法は、パッチの作成に最短でも1～2日はかかる。そのため、数分単位で脅威状況が変化する現在では対応が後手に回る危険性が高い。同社ではこの問題への答えとして「グローバル・コリレーション機能」を提供している。

これは、世界中のユーザーから(同意を得た上で)危険なドメイン情報を収集し、同社のデータベースを「ほぼ常時」更新する仕組みだ。この機能によって危険なサイトとの通信をブロックし、より効果的な境界防御を実現できる。

高速ロギング技術「NetFlow」

実際のネットワーク環境では、ゲートウェイ機器のローカルにログを置いてはいけないというルールを設定している企業も多い。当然ながら、ログは外部ストレージなどに書き出す必要があるが、この作業を高速化するのが「NetFlow」技術だ。「通信事業者様に鍛えられた」というこの技術は、同社製品の信頼性を支える要素の1つでもある。

個々の性能の見極めを

実は同社では、ゲートウェイセキュリティ製品のことを「UTM」とは呼んでいない(シリーズ名ともなっている「ASA:適応型アダプティブアプライアンス」と呼ばれている)。サーバ集約や、多種のシステム間接続など、変化する情報システムの傾向を踏まえると、「画一的に"UTM"という名の箱を買うより、必要な機能を見極めて、最適な場所で求める性能を発揮する製品を使うことこそ重要」というのが同社の考えだ。