SecuAvail NEWS(Vol.5 2015年4月号)
不正侵入検知防御システム(IPS)
なるほど~ NetStare®(ネットステア)
ブラックリストブロックというサービス項目があるけれど、これは何をしているの?
弊社が不正と判断したIPアドレスからの通信をお客様のファイアウォールでブロック(遮断)する様に設定する定期サービスです。
不正と判断するIPアドレスは、弊社が運用している数百台のセキュリティ機器が検出した攻撃者IPアドレス情報と、米国のSANSというセキュリティ機関が定期的に発表している攻撃者IPアドレス情報を元に決定しており、3ヶ月に1回対象となるアドレスリストを作成しています。
このリストをブラックリストと呼び、お客様のファイアウォールで遮断する様に設定しています。
ふ~ん。
すごそうだけれど、3ヶ月に1回で大丈夫?攻撃者のIPアドレスって、日々変わっていくものではないの?
例えば1週間前まではブラックリストのアドレスだったけれど今は悪意のない人が使うアドレスになっているとか。
3ヶ月に1回が妥当かどうかはわかりませんが、1度ブラックリストの対象になったアドレスがすぐに悪意のない人に渡るということは考えにくいんです。
実際、弊社がこれまで10年以上サービスを提供してきた中でも、ブラックリストとしてブロックしたアドレスが、実は正常なアドレスだったということは1度もないですよ。
そうなんだ~。
あ、だけどUTM(統合脅威管理機器)だったら、ブラックリストのIPアドレスで通信を止めなくても、URLフィルタリングやIPS機能で不正なアドレスからの通信は止めてくれてるって聞いたけど。
確かにUTMの場合は、ブラックリストブロックで通信を遮断しなくても、他の機能で遮断する方法があると思います。
にもかかわらずブラックリストIPブロックを実施するのは、機器に余計な負荷をかけないためでもあるんです。
弊社では、ブラックリストIPアドレスの設定投入はお客様のファイアウォールポリシーの最上段・・・つまり一番優先度が高いポリシーとして設定します。
UTMの通信検査は、ファイアウォールのポリシーから始まり、様々な機能に対して順番にチェックしていきます。
ブラックリストIPアドレスを優先度の高いファイアウォールポリシーとして設定しておくと、UTMの通信検査時に余計なチェックをすることなく真っ先に遮断されます。
そのため、UTMの通信検査時に無駄なチェックをなくすことができ、機器のパフォーマンス向上もなるんですよ。
なるほど!
NetStare®(ネットステア)サービスに加入していれば、ブラックリストブロックで攻撃者からの不正な通信を防げるだけでなく機器のパフォーマンスを維持するメリットもあるんだね。