イクシア、サイバー攻撃に対する企業の防御力を強化する「ThreatARMOR」

　イクシアコミュニケーションズ株式会社（以下、イクシア）は29日、ネットワーク攻撃対象領域を縮小するターンキー型のセキュリティデバイス「ThreatARMOR」を発表した。

　ThreatARMORは、業務とは関連性のない国や地域とのトラフィック、既知の不正サイトからのトラフィック、感染した社内デバイスと既知のボットネットC＆Cサーバーや不正サイトとのトラフィックなどをブロックすることで、ネットワーク攻撃対象領域を縮小するアプライアンス製品。

　「ターンキー型」デバイスであるため、ThreatARMORの導入は非常に容易となっている。電源とEthernetケーブルを接続した後、動作モード（レポートのみ、ブロッキング）を選択すれば、後は放置するだけで自動的にトラフィックをブロッキング（またはレポート）するという。

ThreatARMOR（4GBタイプ）

ブロックしたIPアドレスの数やどの国からの脅威が多いかなどの情報を確認できるダッシュボード

　米Ixia アジア太平洋地域エンタープライズセールス統括のデビッド・サジョト氏は、「ネットワークを通過するトラフィックには2種類ある。一つは分析する価値のあるトラフィックだが、もう一つは分析する価値のないトラフィック、すなわち悪意あるIP、ハイジャックされたIP、登録されていないIP、明らかに通信しない送信元、送信先とのトラフィックだ」とし、「ThreatARMORは“分析する価値のない”トラフィックを自動的にブロックすることができる」と述べた。

Ixia アジア太平洋地域エンタープライズセールス統括 デビッド・サジョト氏

　DDoS攻撃やボットネットC＆Cの増加などにより、セキュリティシステムは大量のIPアドレスをブロックする必要に迫られている。これまで不正なトラフィックをブロックするのは主にファイアウォールの役目だったが、サジョト氏は「次世代のファイアウォールは、大規模なIPアドレスのブロックには不向き。ほとんどの次世代ファイアウォールの性能では、1万件程度のルール適用が限界である」と指摘した上で、「ThreatARMORは10億件を超えるIPアドレスをブロックしても性能に影響はでない」と優れたパフォーマンスを強調している。

DDoSの18%は中国から発生し、ロシア、ウクライナ、パキスタン、中国、トルコは、ボットネットのC＆Cトップ10に入るという

　ThreatARMORはセキュリティシステムを構成するいずれかの機器を置き換えるのではなく、セキュリティシステムの機能を補助し、セキュリティシステム全体のコスト削減を目的とした製品である。ThreatARMORが分析する必要のないトラフィックをブロックすることで多くのセキュリティ警告の誤検出を防ぎ、セキュリティシステムは本来の目的である有意義な分析作業により注力することができるようになるという。

分析する必要のないトラフィックをブロックすることで、チームの無駄な時間を短縮し、運用コストを下げることができる

　“分析する必要のないトラフィック”を検出するため、ThreatARMORは5分に一度ATI（Application and Threat Intelligence）研究センターから脅威情報と「ラップシート」と呼ばれるレポートのプッシュをうけている。これらの情報はThreatARMORの内部ストレージに格納され、ネットワークを通過するトラフィックから既知の脅威を検知してブロッキングするしくみとなっている。

　イクシアの展開するATIプログラムは、10年以上にわたってサービスプロバイダやセキュリティ機器ベンダにサイバーセキュリティ製品やシステムの有効性をテストするための脅威情報を提供している。ATIプログラムの提供するラップシートには、ブロックしたすべてのサイトの悪意あるアクティビティを証明するため、最近の確認やスクリーンショットなど、マルウェアの配布やフィッシングなどの画面上の証拠を保存している。

ラップシート

　ダッシュボードやラップシートの内容は今のところ英語でのみの提供となっているが、今後はさまざまな地域の言語での提供を目指す予定であるという。

　ThreatARMORの米国での定価は、4GBのモデルで1万9995ドル。また、別途ATIサブスクリプションの料金が必要となる。