ネットワーク内部における脅威や、従来の境界でのセキュリティ防御の壁を簡単に迂回する脅威が急増した現在、企業は境界を越えた環境でのセキュリティについてより真剣に検討する必要があります。このような課題を満たすためには、多くの方が不正侵入防御システム(Intrusion Prevention Systems;IPS)や、不正侵入検知システム(Intrusion Detection Systems;IDS)を思い浮かべるかもしれません。しかしながら IPS や IDS は、多層型のセキュリティ対策としては効果が期待できる製品ですが、内部ネットワーク用として検討した場合には、内部セキュリティを維持するために必要な要件に対し、部分的にしか対処できません。
本来、 IPS と IDS は、従来の多くのファイアウォールや境界防御システムに欠けているセキュリティ要件を補完するために設計されました。 IDS ソリューションは、基本的にネットワークへの侵入の事実が発生した後で侵入を検知するために利用され、 IPS ソリューションは、攻撃トラフィックを識別してブロックすることにのみ重点が置かれています。また、多くのIPSは、その前身である IDS から、事後対策型(リアクティブな)なシグネチャへ依存した攻撃検知と、境界セキュリティ指向の特性を持ちます。いずれのシステムも外部攻撃防御において重要な役割を担っていますが、ネットワーク内部に潜在する脅威からンネットワークを完全に保護する機能は備えていません。
以下の理由により、IPS や IDS は内部セキュリティが必要とするセキュリティ要件を満たすことができません。
- すでに感染しているノート PC が直接内部ネットワークに接続された場合など、内部から蔓延する破壊的なワームに対して、IPS/IDS
システム共に内部ネットワークを安全に保護できません。
- ホストベースの IDS システムと IPS システムでは、ネットワーク内でのワームと攻撃の拡散を防止するために不可欠な、セキュリティ・ゾーンのセグメント化と隔離を実行できません。
- IPS と IDS が持つ攻撃に対する防御機能は、製品がインストールされている特定のデバイスに限定されます。
- IDS と IPS は、タイムリーに対応できないシグネチャ・ファイルなど、何かセキュリティ上の問題が発生してから、対策が考え出される「反応ベース」のセキュリティ・メカニズムに主に依存しており、リアルタイムなセキュリティ保護や事前の防御機能を提供することができません。
内部のセキュリティ脅威からネットワークを完全に保護するために、企業は内部ネットワーク環境のセキュリティ維持に特化したセキュリティ・ゲートウェイを導入する必要があります。チェック・ポイントが世界初の内部セキュリティ・ゲートウェイとして提供する InterSpect は、内部ネットワーク環境特有のセキュリティ要件を満たす、IPS や IDS より進化した、真の内部ネットワーク・セキュリティを実現します。
- 従来の境界セキュリティ実施ポイントの内側である、内部ネットワーク環境で発生するアプリケーション・レベルの脅威から確実にネットワーク全体を保護します。
- 内部ネットワークにおけるネットワークおよびアプリケーション・レベルに対するセキュリティ保護だけでなく、ゾーンのセグメント化と隔離による脅威の封じ込めを実行し、セキュリティ上の問題が発生したセグメント外に脅威を伝播させません。
- エンドポイント・セキュリティ・ポリシーを実施します。
- ネットワーク・リソースなどで脆弱性が発見された場合に、InterSpect が提供する事前の防御対策により、脆弱性に対する攻撃を確実に防御する、確実なセキュリティ防御を実現します。