Cisco Intrusion Protection データシート

データシート

Cisco Intrusion Protection

効果的な侵入保護

シスコ^®の統合ネットワークセキュリティソリューションにより、企業の生産性向上を保護し、運用コストを削減することができます。

Cisco Intrusion Protection は、データと情報インフラストラクチャを効果的に保護するように設計されています。セキュリティの脅威がますます複雑になっているため、効果的なネットワーク侵入セキュリティソリューションは、高度な保護を実現するために非常に重要です。慎重な保護は、ビジネスの継続性を確実にし、侵入によるコスト被害の影響を最小限にすることができます。

シスコの先進技術は、次の 4 つの不可欠な要素による、効果的な侵入保護システムを実現します。

1. 脅威に対する正確な検出 — Cisco Intrusion Detection System バージョン 4.0（Cisco IDS 4.0）は、すべての潜在的な攻撃を包括的に検出することにより、安全な環境を実現する、第 1 のステップを提供します。

2. 脅威に対する高度な調査 — Cisco Threat Response テクノロジーは、誤警報を事実上ゼロにし、コスト被害をもたらす侵入を回避するため、どの攻撃が緊急であるかを自動的に判定します。

3. 容易な管理 — ブラウザベースのツールによりユーザ操作が簡素化され、また脅威にすばやく効果的に対応できる強力な分析ツールが用意されています。

4. 柔軟性の高い展開オプション — 複数の高アベイラビリティデバイスが、安全で効果的な侵入保護システムを構築するための、柔軟性の高いバックボーンを提供します。

これら 4 つの要素がすべて結び付いて、安全、効果的、かつ包括的な侵入保護ソリューションを実現します。

脅威に対する正確な検出

Cisco IDS 4.0 は、先進的なセキュリティを提供し、Cisco Intrusion Protection の中核を担っています。ワーム、Denial-of-Service（DoS; サービス拒絶）攻撃、アプリケーション攻撃など、ネットワークをターゲットにした既知および未知の脅威を、正確に特定、分類するように設計されています。効果的で安全な侵入保護システムを実現する第 1 のステップは、考えられるすべての脅威を正確に検出することです。この目標を達成するため、複数の検出方法が採用され、包括的にカバーされています。採用されている方法には、ステートフルパターン認識、プロトコル解析、トラフィック異常の検知、およびプロトコル異常の検知が含まれます。また、Cisco IDS 4.0 では、検出された攻撃がターゲットへ到達するのを防ぐ機能が拡張されています。さらに、効果を最大化するため、使いやすい機能が統合されています。

脅威に対する包括的な保護

複数の検出方式 — Cisco IDS では、数多くの検出方式を使用して、考えられるほぼすべての攻撃を正確に検出します。シスコは、7 年間の IDS の経験を基にして、ステートフルパターン認識、プロトコル解析、トラフィックアノマリー検知、およびプロトコルアノマリー検知など、攻撃に対し最適な検出方式を採用した、ハイブリッドシステムを提供しています。Cisco IDS 4.0 では、これらの検出方式が拡張されてますが、最も顕著であるのはプロトコルアノマリー検知の分野です。さらに、Cisco IDS 4.0 はレイヤ 2 のシグニチャエンジンにより、スイッチング環境における ARP スプーフィング技術からの保護を実現しています。これらの高度な検出技術は、IP デフラグメンテーション、TCP ストリームのリアセンブリ、および deobfuscation などの、IDS への侵入に対抗する技術と連携させることで、数多くの攻撃に対する包括的な保護が実現し、考えられるデータやネットワーク資産への損害のすばやい特定および緩和が可能になります。
広範囲のプロトコル監視 — Cisco IDS 4.0 は、IP、Internet Control Message Protocol（ICMP; インターネット制御メッセージプロトコル）、TCP、および User Datagram Protocol（UDP; ユーザデータグラムプロトコル）などの主要な TCP/IP プロトコルをすべて監視できますが、監視できるプロトコルはこれだけではありません。File Transfer Protocol（FTP; ファイル転送プロトコル）、Simple Mail Transfer Protocol（SMTP; シンプルメール転送プロトコル）、HTTP、Domain Name System（DNS; ドメインネームシステム）、Remote Procedure Call（RPC; リモートプロシージャコール）、NetBIOS、NNTP、および Telnet などのアプリケーション層プロトコルを、ステートフルに解読することもできます。
包括的な攻撃検出 — Cisco IDS 4.0 は、次のすべてのカテゴリにおける攻撃を検出する、最も広範囲で包括的な機能が装備されています。
- 不正行為 — Back Orifice、ログイン試行の失敗、TCP ハイジャックなど、ある人物がネットワークのシステムにアクセスしようとしたり、システムを危険にさらそうとしている兆候
- DoS 行為 — Trinoo、TFN、および SYN フラッドなど、ある人物が帯域幅やコンピューティングのリソースを消費し尽くし、正常な動作を妨害しようとしている兆候
- 偵察行為 — ある人物が、ping スイープやポートスイープなど、ネットワークの探査やマップ作成を行って、「ターゲット候補」を特定しようとする兆候。通常は実際に不正利用を試みる前に行われます。
- 悪用行為 — ある人物が、企業ポリシーを破ろうとする兆候。これは、ネットワークトラフィック内でカスタムテキスト文字列を検出するようにセンサーを設定することで検出できます。たとえば、「XYZ Corporation」という名前の企業であれば、電子メールや FTP で「XYZ Confidential」というフレーズを送信する接続に対して、警告を送信したり、接続を停止するように Cisco IDS を簡単に設定することができます。
- 高度な P2P 攻撃の緩和テクニックのサポートによる、ファイル共有の脅威に対する保護

被害の防止

Cisco IDS では、マルチレイヤ保護オプションを使用して、攻撃がターゲットへ到達してしまうのを防止します。攻撃を正確に特定、分類した後、システムは、被害が発生する前に攻撃を停止させることができます。パケットの破棄、セッションの終了、ルータとスイッチでの Access Control List（ACL; アクセス制御リスト）の再設定、ファイアウォールポリシーの動的変更による侵入者の「回避」など、Cisco IDS は、時間とコストの被害が発生しうる攻撃を停止するために、数多くの即時性のある対応を提供しています。Cisco IDS 4.0 では、機能の拡張により、送信元および宛先の IP アドレスだけでなく、送信元および宛先のポート番号によるシャニング（排除機能）が追加され、これらの技術が強化されています。これにより、応答アクションがより詳細なレベルまで設定できるようになっています。

使いやすさ

柔軟性の高いポリシー言語 — それぞれの IDS 展開では、セキュリティ目的が固有であるため、Cisco IDS では、展開先の環境に特別に適合するように、ユーザがポリシーを作成、および変更することができます。革新的なポリシー言語である Cisco Threat Analysis Micro Engine（T.A.M.E.）を使用すると、ユーザには、独自のセキュリティ目標を満たすようにポリシーを新規で作成したり、既存のポリシーを変更したりといった柔軟性が提供されます。T.A.M.E. ポリシーは検出アプリケーションから分離されているため、ポリシーを変更してもセンサーのパフォーマンスや信頼性には影響しません。単純なパターンマッチングに依存するその他のセキュリティ言語とは異なり、Cisco T.A.M.E 言語では、ユーザは基礎的なプロトコル解析機能を活用できます。Cisco IDS 4.0 では、ナビゲーションの改善によりポリシー管理が簡単になり、カテゴリにまたがってグローバルな変更を適用することができます。さらに、Cisco IDS 4.0 ではアラームトリガに関する詳細情報が表示でき、ユーザに捜査追跡データや高度な解析データを提供することで、サポートプロセスを簡略化できるようになりました。
自動更新による管理の簡素化 — Cisco IDS Active Update テクノロジーは、配備されたセンサーを更新するプロセスを自動化するため、運用コストが削減できます。このプロセスでは、オペレータの操作なしで、新しいシグニチャファイルとアプリケーションのアップグレードを、センサーに自動的に配信する機能が提供されます。安全なステージング技術を使用して、新しいシグニチャファイルは中央サーバに配置され、スケジュールされた間隔でセンサーに渡されます。パッケージの整合性を検証した後、センサーは自動的に更新をインストールします。また、同程度の自動化が、IDS 管理ソリューション（VMS-VPN および Security Management Solution）により実現されます。このソリューションでは、安全なファイル転送機能を使用して、更新を自動的にセンサーに送信できます。このような機能により、リモートのセンサーを定期的に更新するプロセスが大幅に簡素化されるため、この作業に関連した、継続的な運用コストが抑えられます。また、Cisco IDS Active Update 通知サービスに加入すると、脆弱性に関する最新ニュースと公開された対応策の情報を得ることができます。これらのポリシーの更新は、Cisco Countermeasures Research Team（Cisco-CRT）により開発、管理されています。セキュリティの専門家から成るこのエリートチームは、進化する新しい脅威への、迅速な対策に専念しています。

脅威に対する高度な調査

シスコの Threat Response テクノロジーは、Cisco Network IDS センサーと連携して、効果的な侵入保護ソリューションを提供します。Cisco Threat Response では、事実上誤警報は発生せず、実際の攻撃を報告し、コスト被害をもたらす侵入への対策を支援します。

その他の侵入管理ソリューションとは異なり、Cisco Threat Response テクノロジーは、ターゲットとなるホストを自動的にジャストインタイムで分析し、危険が実際に発生したかどうかを判定する、唯一のソリューションです。実際の侵入を効果的に発見し、すばやく侵入に対処する手段は、攻撃にさらされたホストの調査しかありません。このテクノロジーの自動化されたリアルタイム機能により、ネットワーク環境を 24 時間体制で保護できるようになります。

その結果、誤警告がなくなり、実際の侵入の特定と対処がすばやく行われ、攻撃が成功した場合の復旧にかかる、時間、リソース、高いコストが節約されます。

効果の改善、コストの削減

誤警報の排除および実際の攻撃のエスカレーション— ターゲットにされたホストに焦点を合わせた革新的な侵入調査プロセスにより、Cisco Threat Response は、IDS アラームでユーザが注意する必要があるかどうかを正確に判定します。経験豊富なセキュリティの専門家と同じ方法で侵入対策を行うように設計されているため、Cisco Threat Response は、ターゲットにされたホストを慎重に調査し、実際に攻撃を受けたかどうかを判定します。このテクノロジーは、次の 3 段階からなるアプローチを使用します。
- ターゲットの脆弱性の基本調査 — 第 1 のステップでは、ターゲットとなるシステムの OS、パッチレベル、（適用可能な場合）Web サービスを侵入せずにリアルタイムにチェックし、実際に攻撃を受けた可能性があるかどうかを判定します。たとえば、Windows システムへの Linux を対象とした攻撃は低く評価され、攻撃失敗と評価されますが、Windows システムへの Windows を対象とした攻撃は、攻撃が成功した可能性があると評価されます。
- ターゲットに対する高度な調査 — 第 2 のステップは、詳細なシステムレベルの調査で、Web ログ、システムログなどの関連データのキャプチャと分析が行われます。この詳細レベルの調査に基づいて、Cisco Threat Response テクノロジーは、攻撃が成功と失敗のどちらであるかを判定できます失敗した攻撃は低く評価されるため、スタッフは重大なイベントに集中できます。(この機能は、CiscoWorks VPN Security Management Solution（VMS）テクノロジーバンドルの一部としてのみ使用できます。）
- 捜査追跡データのキャプチャ — 確認された問題が存在することをユーザに通知するだけでは、十分ではありません。さらに Cisco Threat Response は、ユーザが情報に基づいて決定を行えるように、関連する操作追跡の証拠を積極的に収集し、的確な情報を提供します。このテクノロジーは、ターゲットにされたシステムから、監査証跡、ログファイル、および侵入のトレースをただちにコピーし、安全な場所に保存します。この方法により、侵入者がこれらのファイルを改ざんすることで、検出を回避することはできません。Cisco Threat Response の実践的なアドバイスと復旧手順は、事態に効果的に対処するガイドになります。(この機能は、CiscoWorks VMS テクノロジーバンドルの一部としてのみ使用できます。）
高速で一貫性のある自動プロセス — 1 日 24 時間、年中無休体制で、Cisco Threat Response はネットワークの脅威となる攻撃を一貫して、確実に、また自動的に調査します。Cisco Threat Response は、検出されたネットワーク攻撃にただちに対処するため、侵入者は何が起こったかが分からなくなります。
導入の容易さ — Cisco Threat Response テクノロジーは、企業内の各システムにソフトウェアエージェントを導入することなく、ホストの調査を行うことができます。すばやく導入でき、メンテナンスも容易です。

容易な管理

シスコは、導入規模の大小にかかわらず、ある範囲の管理オプションを使用することで、効果的なセキュリティの監視と設定を実現しています。すべての管理ツールには、インストール、設定、およびセキュリティ関連のイベントとデバイスの管理をすばやく行えるように、直観的に操作できるユーザインターフェイスと、使いやすいナビゲーションが搭載されています。さらに、Cisco IDS 4.0 では、安全な SSH 接続経由で、全機能を搭載した IOS によく似た Command-Line Interface（CLI; コマンドラインインターフェイス）が使用できます。直感的にイベントを表示します。

セキュアなブラウザベースの GUI— デスクトップで使用されているオペレーティングシステムに関係なく、ほぼすべてのデスクトップから警告を簡単に表示できます。その結果、企業全体のシステムからすばやくデータにアクセスできます。使い慣れたブラウザインターフェイスであるため、非常に使いやすくなってます。また、SSL（Secure Sockets Layer）により、データのセキュリティが確保されます。
セキュリティイベントの統一的かつスケーラブルな表示 — CiscoWorks VMS ソリューションを使用すると、ファイアウォール、Virtual Private Network（VPN; バーチャルプライベートネットワーク）、IDS などの全種類のセキュリティデバイスを、1 つのコンソールから表示することができます。複数のデータソースのサポートと管理が可能です。これにより、企業全体のセキュリティを表示する機能が強化されます。

使いやすい警告処理

捜査追跡データ — Cisco Threat Response テクノロジーを使用すると、侵入イベントの調査と確認を行うために取られた手順を、GUI で表示できます。侵入への対策を支援するため、このテクノロジーにより収集された捜査追跡データにアクセスできます。例としては、Web ログ、システムログなどの関連データが含まれます。(この機能は、CiscoWorks VMS テクノロジーバンドルの一部としてのみ使用できます。）
イベントの相関関係 — CiscoWorks VMS は、複数のセキュリティデバイスからのデータを裏付けることにより、イベントの相関関係を提供して、アラームデータの信頼性を高めることができます。
ネットワークセキュリティデータベース（NSDB）— NSDB では、攻撃、ハイパーリンク、とりうる対策、および関連する脆弱性についての特定の情報に、すぐにアクセスすることができます。NSDB は HTML 形式のデータベースであるため、各ユーザ用にカスタマイズして、特定の攻撃に関する対応と報告の手順など、オペレーションに固有の情報を含めることができます。

柔軟性の高いレポートと通知

デフォルトのレポート — ネットワーク上のセンサーにより監視されるネットワークアクティビティに関するデフォルトのレポートには、アラーム、送信元、または宛先に基づくサマリー（要約）レポートが含まれます。これらのレポートは HTML ベースであるため、主要な管理担当者に電子メールで送信できます。
カスタムレポート — 環境の特別なニーズを満たすように、カスタムレポートを作成できます。

シンプルな設定

ウィザードベースの設定 — ウィザードによって、ユーザは設定プロセスを案内されるため、センサーの設定をすばやく簡単に行うことができます。シグニチャのカスタマイズを使いやすくし、直観的に理解できるように、このウィザードベースの機能が拡張されています。
自動更新 — 自動更新機能により、侵入保護システムの有効性が維持され、定期メンテナンスが簡単に行えます。
リモート管理 — セキュリティ管理者は、常に同じコンピュータや、IDS システムが配備されている場所にいるとは限らないため、安全な Web ブラウザ接続経由のリモートアクセス機能により、リモート接続を簡単に行うことができます。

スケーラブルな企業管理

複数層のアーキテクチャ — CiscoWorks VMS は 3 層構造のアーキテクチャで、企業がセキュリティを展開する際の、高度なスケーラビリティに対するニーズを満たします。
柔軟性の高いデバイスのグループ化 — 機能、位置、または設計によりデバイスをグループ化することで、大規模な設定変更の実行を可能にし、巨大な IDS 配備を簡単に管理できます。
役割ベースのアクセス制御 — 管理アクセスを制御し、デバイス認証を正しく行えるようにします。
階層型承認モデル（オプション）— 設定の定義と配備の機関を分離して、適切な監査と制御を実現します。

柔軟性の高い展開オプション

IDS には非常に幅の広いネットワーク展開オプションが用意されているため、お客様は環境にとって最もコスト効率に優れた侵入保護ソリューションを選択できます。すべてのソリューションは高い可用性を実現するよう設計され、シスコの優れたカスタマーサポートによってバックアップされます。ネットワーク IDS ソリューションは、45 Mbps から最大 1 Gbps に至る範囲のパフォーマンスレベルでご利用いただけます。ネットワーク侵入保護は、Cisco 4200 IDS センサシリーズを使用した専用の機器として、または Cisco Catalyst^®6500 IDS モジュール、および Cisco 2600、3600、3700 シリーズルータ用のネットワークモジュールを使用した統合ソリューションとして提供されています。また、ネットワーク IDS 機能のサブセットは、ルータおよびファイアウォールシステムにおける統合ソリューションとして提供されています。

簡単なインストール

Cisco Intrusion Protection は、すばやく簡単に展開できるよう設計されています。IDS センサーは、技術担当者レベルのインストールを行うように設計されていたため、センサーをネットワークに接続し、電源を入れ、いくつかの初期化パラメータを使用して設定する必要がありました。Catalyst 6500 シリーズの 600 Mbps IDS Service Module のインストールは簡単で、シャーシを開いたスロットにモジュールを差し込み、初期化パラメータを使用してモジュールを設定し、スイッチを設定してカードを認識し、カードにトラフィックを送信します。Cisco IDS ネットワークモジュールは、Cisco 2600XM シリーズ、Cisco 3660 および Cisco 3700 シリーズのプラットフォームにある 1 つのネットワークモジュールスロットに装備され、DC 電源や冗長電源などの、ルータの電源オプションを利用します。センサーが初期化され動作を開始したら、設定を変更し、任意の管理コンソールから設定を送信できます。

Total Cost of Ownership（TCO）の抑制

次のような特長を実現しているため、シスコの柔軟性の高い展開オプションは、企業における IDS の配備の TCO を最小限に抑えることができます。

今までにない対価格性能比
複数のスニフィングインターフェイスをサポート（1 つで最大 5 つのセンサーを提供）することで、複数のネットワークサブネットを同時に保護する機能
非常に幅広いパフォーマンスオプション
アップグレード可能なモジュール形式のコンポーネントの提供による投資保護
帯域利用率に基づくトラフィック検査の最適化を実現する、VLAN のサポート
IDS センサーに付属する、組み込み Web ベースの管理ソリューション

世界中でワールドクラスのサポート

シスコは、ご使用のシスコシステムズ^®製品の高度な運用を実現する、先進のサービスを提供しています。Cisco IDS 4200 シリーズセンサーと Catalyst 6500 IDS モジュールは、すべての SMARTnet メンテナンスオプションの対象になっています。これには、ハードウェアサポートだけでなく、ソフトウェアのアップグレードと、Cisco.com に公開される最新シグニチャへのアクセスが含まれます。管理コンソールソフトウェアは、ソフトウェアアプリケーションサポート（SAS）とソフトウェアアプリケーションサポートプラスアップグレード（SASU）の対象になっています。

ネットワーク IDS の展開オプション

Cisco IDS 4200 シリーズセンサー— 専用の IDS ソリューションにより、ネットワークアーキテクチャにおいて必要となるあらゆる場面で、IDS センサを配備することができます。使用できるパフォーマンスレベルには、次の 4 つがあります。
- Cisco IDS 4215— 80 Mbps
- Cisco IDS 4235— 250 Mbps
- Cisco IDS 4250— 500 Mbps
- Cisco IDS 4250 XL— 1000 Mbps
Cisco Catalyst 6500 シャーシ用の Cisco IDSM-2 モジュール — この製品は専用のモジュールを使用して、IDS のすべての機能を Cisco Catalyst スイッチに効果的に統合し、600 Mbps での統合的な保護を実現します。
Cisco 2600、3600、および 3700 シリーズルータ用の Cisco IDS Network Module— Cisco 2600XM では最大 10 Mbps、Cisco 3700 シリーズでは最大 45 Mbps など、各センサは、さまざまなルータの帯域幅の要件に対応します。IDS とブランチオフィスのルーティングを統合することによって、シスコは、運用コストを削減しながら、WAN リンクのセキュリティの確保を単純化します。また、全機能を装備した侵入保護を、リモートオフィスとブランチオフィスに配備することで、ネットワーク管理者はこれらのリモートサイトにおける脅威を緩和し、企業ネットワークから効果的に脅威を分離することができます。
ルータセンサ — ルータセンサは、ルータ OS に統合されたソフトウェアソリューションを介して、IDS 機能の中心的なセットを提供します。
ファイアウォールセンサー — ファイアウォールセンサーは、ファイアウォール OS に統合されたソフトウェアソリューションを介して、IDS 機能の中心的なセットを提供します。

注文情報

Cisco Intrusion Protection の各製品の注文に関する詳細は、次のページを参照してください。

http://www.cisco.com/go/ids

お問い合せについて

さらなる情報については、次のページを参照してください。

http://www.cisco.com/go/ids

Hierarchical Navigation

IPS（侵入防御システム）