■技術に関するQ&A
ASHULA™について
シグネチャとは何ですか?
シグネチャとは既知の攻撃から抽出された特定のパターンです。
シグネチャ検知とは何ですか?
過去のシグネチャに照らして,一致するものがあったとき攻撃とみなす技術です。
シグネチャ検知とどう違うのですか?
ASHULA™はシグネチャを用ずに,アルゴリズムで検知する技術です。
シグネチャ検知に対するメリットは?
未知の攻撃に対応できることです。また,ハードウェア化が可能になります。
シグネチャ検知に対するデメリットは?
どんな脆弱性に対する攻撃か特定できないことです。
※逆に,脆弱性に依存しない攻撃の検知が可能になります。
ふるまい検知とは何ですか?
プログラムを動かして,悪意があるかないかを判定する技術です。
ふるまい検知とどう違うのですか?
ASHULA™はデータを命令と解釈し,その並びから悪意があるかどうかを判定する技術です。
ふるまい検知に対するメリットは?
処理が軽く,少ないリソースで高速に判定することができます。また,判定するのにプログラムの全体を必要せず,データを逐次的に処理できます。
アノマリー検知とは何ですか?
通常のパターンとは異なる挙動(プロトコル違反,トラヒック異常など)を検出する技術です。
アノマリー検知とどう違うのですか?
アノマリー検知では,形式からの逸脱や統計量の変化から異常を検出しますが,ASHULA™はデータの中に攻撃コードが含まれるかどうかを検出します。
アノマリー検知に対するメリットは?
アノマリー検知は,異常状態の定義が難しく,高度なチューニングが必要です。それに対し,ASHULA™はチューニングの必要がありません。
アノマリー検知に対するデメリットは?
プロトコル違反を検出できません。
※逆に,正常なプロトコルで送られる攻撃でも検知できます。
バッファオーバーフローとは何ですか?
入力データによってメモリの破壊が起こる脆弱性のことです。
システム乗っ取り攻撃(TOA)とは何ですか?
攻撃者が脆弱性を利用して,任意のプログラムを対象ホストで実行する攻撃です。
ゼロデイアタックとは何ですか?
脆弱性が公開されると同時(あるいはそれより前)に行われる攻撃のことです。
なぜゼロデイアタックが防げるのですか?
セキュアウェア独自のアルゴリズムによって未知の攻撃が検知できるからです。
なぜ未知の攻撃が検知できるのですか?
システム乗っ取り攻撃には普遍的な特徴があるからです。
システム乗っ取り攻撃に対する他の対策はありますか?
特殊なライブラリをリンクする,OSレベルで書き込み可能なデータ領域に置かれた命令の実行を禁止する,CPUの保護機構を利用するなどがあります。
※いづれもホスト上での対策になります。
ネットワーク上での対策のメリットは?
アプリケーションにデータが渡る前に,攻撃を防御できることです。
ボットとは何ですか?
コンピュータウイルスの一種で,コンピュータに感染し,そのコンピュータを,ネットワーク (インターネット)を通じて外部から操ることを目的として作成されたプログラムです。(出展:IPAホームページより)
ボットネットとは何ですか?
複数のボット,指令サーバーおよび指令者が構築する仮想ネットワークで,スパムの送信やDDoS攻撃などに用いられています。
ボット対策に有効ですか?
システム乗っ取り攻撃を高精度に検出できるASHULA™を用いれば,感染活動を記録できるので,ボット対策に有効だと考えています。
どんな種類のマシンを保護できるのですか?
CPUは Intel,SPARC,PowerPC
OSは Windows,Linux,FreeBSD,Solaris for x86/Sparc, MacOSXです。
スループットはどの程度ですか?
納入実績はあるのですか?
・Juniper Networks, Inc.
・KDDI株式会社
・NiCT (独立行政法人 情報通信研究機構)
・日立情報システムズ
に納入実績があります。
価格はいくらですか?
indraについて
indraとはどのような製品ですか?
ネットワークを流れるパケットから,アプリケーションデータを取り出し,記録・検査し,必要に応じて通信を切断するボードです。
メインボード単体では,主に通信の記録に使います。
オプションボードを使うと,ハードウェアで通信内容を検査し,必要に応じて通信を切断することができます。
※メインボード単体でもCPUを使うことにより,検査および切断が可能です。ただし,スループットは期待できません。
どんなことができるのですか?
今のところは,通信の記録とシステム乗っ取り攻撃のブロックです。
他の用途に使えますか?
開発費が必要となりますが,オプションボード上のFPGAを書き換えることで,他の用途にも使うことができます。
Firewall / IDS / IPS との違いは?
分類としてはIPSに該当します。検知防御対象はシステム乗っ取り攻撃に限定されますが,検知精度(検知率の高さ,誤検知率の低さ)が優れています。未知の攻撃に対応可能であるにも関わらず,チューニングが不要です。
TCPフローの識別はどうやっているのですか?
パケットの順番が入れ替わっても,TCPストリームの再構成は可能ですか?
コネクション数は?
どの程度スループットがでますか?
接続したり切ったりをものすごい勢いでやっても大丈夫?DoS攻撃に耐えれるの?(その他よくある攻撃については?)
そのあたりは考慮した上で設計しています。
※DoS耐性はどれだけハードウェアリソースを投入するかによります。
ネットワーク透過的とは?
受信したものをそのまま出すということです。ケーブルと同じなのです。
既存のネットワーク中にどのように設置するのですか?
ミラーリングしたパケットの検査に使えないの?
使用可能です。ただし,コネクションの切断機能は使えません。
コネクション切断とはどういうことでしょうか?
パケットをDROPするのではなく,リセットを出しているということです。
1Gbpsしか出ないのですか?
今のところ,1Gbpsが限界となっております。
ただ,既存のIPSなどが,長いフレームはブロックできるが,短いフレームは通過することがある,などの問題があると聞いています。我々の設計方針は,可用性(availability)重視というよりは,安全性重視です。
安全性を考えるならば採用していただく価値は十分にあると考えています。
10Gbps対応は考えていますか?
IPv6に対応していますか?
IPv6対応は考えていますか?
