ActiveSensorとは

Think ITの2008年3月の特集「ネットワーク教習所」の金曜日は、企業システムネットワークに導入することで効果のある機器やサービスをさまざまな視点から取り上げ、つないだ効果を学びます。今回は、セキュアウェアの提供する「ActiveSensor（アクティブセンサ、以下AS）」をつないでガッテンしましょう。

ASはセキュアウェアが2007年7月より販売するセキュリティアプライアンスです。このアプライアンスには、2つのコアテクノロジーが組み込まれています。1つはシェルコードを用いた遠隔地からのシステム乗っ取り攻撃（Take Over Attack：TOA）を検知する画期的な技術「ASHULA（日本名：エイシュラジェイピー）」、もう1つはネットワーク経路上で TCPストリームを再構築する技術「Platform7」です。ASでは、これら2つの技術がFPGA（Field Programmable Gate Array）上にハードウェア実装されています。

なおセキュアウェアは、大阪大学サイバーメディアセンターにて創案されたアイデアと基本特許をもとに、2004年4月に設立された大学発ベンチャー企業です。今回は、ASをネットワークにつないだ場合の効果や、この2つの最先端技術について紹介していきましょう。

ActiveSensorをどう使うか

ASは、TOAに関連する通信をすべて記録して解析します。使用に関しては、ネットワークにASを接続する「インライン」、特定のポートをミラーポートとしてリアルトラヒックをコピーして出力させ、そのポートにASを接続する「ミラーリング」の両方に対応可能です。

インラインでの動作モードには、IPS（Intrusion Prevention System）モードとIDS（Intrusion Detection System）モードの2つがあります。IPSモードではTOAを検知すると同時に防御することができ、このときのスループットは1Gbpsで、遅延は10マイクロ秒程度です。他方IDSモードの場合、攻撃の防御はできませんが、ハニーポットと組み合わせることでTOAの発生を検知し、TOA以後の通信を記録し詳細な分析をすることができます。

ASは、ログの解析などの人手のかかるプロセスを簡素化することができます。なぜなら、ASHULAが極めて高精度でシェルコードを検知できるからです。

例えば、ボットの感染によってホスト端末にマルウェアがダウンロードされた場合、そのマルウェアを自動的に切り出すことができます（次ページの図2）。さらにASはホストCPU側に管理用ネットワークのインターフェースを備えていますから、マルウェア情報を他のサーバに自動で通知することができます。

ミラーリング接続を利用する場合は、2ポートでも1ポートでもミラーリング使用が可能です。2ポートミラー接続の場合、ミラーリングハブまたはネットワークタップを使用し、監視対象ポートの上り下りの通信をそれぞれ別のポートにミラーリングして、ASを接続します。2ポートミラー接続ではASの監視ポート1と監視ポート2の両方を使用します。

1ポートミラー接続の場合、ミラーリングハブを使用し、監視対象ポートの上り下りの通信を単一のポートにミラーリングして、ASを接続します。1ポートミラー接続の場合は、ASの監視ポート0だけが有効となります。

では、次にASで実行できる解析について紹介していきましょう。 次のページ