|
|
|
|
 |
このような混沌状態を、明解で管理可能なセキュリティポリシーに変えることが非常に重要だ。それが、将来のネットワークセキュリティシステムがコンバージェンスと統合に焦点を絞らなければならない理由なのである。 ネットワークセキュリティでは、事前に対策を講じるアプローチが不可欠である。これは、できるだけ早く、その攻撃が標的としたホストから遠いうちに、正体を正確に見極めて阻止すること、そしてそれを実行するのに必要なセキュリティアーキテクチャを簡素化するという考え方である。数多くのセキュリティ機能を、適応力を持った 1つのデバイスまたはシステムに統合することで、その複合的な機能が協力して防衛に当たり (サイロ型ではなく) さらに広範な攻撃を阻止し、また展開しなければならない多種多様なデバイスの数を大幅に減らすことができる。その結果、セキュリティの設計と管理が簡素化されるのである。
一般に、ファイアウォールはかなりシンプルなデバイスだが、レイヤ 3 およびレイヤ 4 の情報とセッションの状態に基づいてパケットを遮断したり、通過させたりするのに効果的だと考えられてきた。これは、ある程度のアプリケーション検査機能を提供することができるが、ある種のテクノロジーのような詳細な検査を実施できるわけではない。IPS デバイスは、パケットの中身をさらに深く見て、そのデータが会社のポリシーに適合しているか否かを見極める。そのおかげで、従来のファイアウォールがやり残した部分を補完することができるのである。 しかし、IPS デバイスにはネットワークセキュリティ管理者が必要としている広範な緩和策とファイアウォールのレジリエンスに欠けている。そこで、ファイアウォールと IPS デバイスを組み合わせると、単独で機能させた時よりもはるかに効果が高まる。たとえば、IPS デバイスはファイアウォールが見逃してしまう可能性があるアプリケーションに埋め込まれた攻撃を捕えることができる。一方、IPS デバイスはファイアウォールのような攻撃に対する適切な取り締り行動ができない。そこで、ネットワークセキュリティ管理者はファイアウォールと IPS の能力を統合することによって、IPS の検査のインテリジェンスをすべて備えながら、ファイアウォールの緩和対策とレジリエンスも手にすることができるのである。
IPS デバイスは、その他ネットワークトラフィックに対する非常にきめの細かい観点を持っているが、それはシグネチャ・ベースである。つまり、前もって何を見張るのかを知らせるアップデートを受け取っていなければならないという制約を受けるのだ。シグネチャのアップデートには 24時間から 48時間かかることがあり、そうなるともしかしたら明日受けるかも知れないフラッシュの脅威には効果を発揮できなくなる。ここで、ダイナミックに発生を阻止するアップデートを備えたネットワークのアンチウィルスソフトウェアの出番である。アンチウィルスソフトウェアは極めて迅速にアップデートすることができ、インフラを通じてすべてのエンドポイントに情報を流すことができる。そこで、このインフラが IPS およびファイアウォールと合体すれば、企業は個々の単独パワー以上のものを得ることができるのである。つまり、セキュリティの脅威に対処する防衛システムができ、迅速に情報をアップデートし、ワームやウィルスを識別するためにパケットを詳細に分析する手段を得ると同時に、そのようなパケットのネットワークへの侵入を阻止するファイアウォールの機能とレジリエントの高いソリューションも実現されることになるのだ。
このようなシステム的なアプローチは、受身的なモードで別個のサイロ型テクノロジーとして作用し、検知方法も限定的かつ静的なセキュリティを変革する。つまり、脅威の環境に適応して協調しながら、脅威に対して先制的に防御するセキュリティへと変身させてくれるのだ。
ポープによれば、このようなシステムは検知の改善、イベント分類精度の大幅な向上、運用コストの削減、管理の合理化、そして最先端のセキュリティテクノロジーが開発されると同時に統合するサービスの拡張能力という数多くのメリットを提供してくれる。ここで最も重要なポイントは、このような統合されたシステムはどのようなカテゴリーでも QoS (Quality of Security) で妥協することがなく、むしろ個々の持つ力を相互補完するよう組み合わせ、より堅固で組織的な防衛を実現することである。
