イクシアコミュニケーションズの「ThreatARMOR」は、IPアドレスによるアクセス制御という既存のやり方をサイバー攻撃対策に応用したネットワークアプライアンス装置である。「IPアドレスのブラックリストでインターネットとの通信をフィルタリングすれば監視対象の通信量を減らせる」というアイディアに基づく。これにより、セキュリティ対策にかかるコストを削減する。

ThreatARMORの概要。既設のファイアウォール機器と併設して利用する。ファイアウォールにトラフィックを渡す前に、大量のIPアドレスのブラックリストで不要な通信を除外する(出典:イクシアコミュニケーションズ)
ThreatARMORの概要。既設のファイアウォール機器と併設して利用する。ファイアウォールにトラフィックを渡す前に、大量のIPアドレスのブラックリストで不要な通信を除外する(出典:イクシアコミュニケーションズ)
[画像のクリックで拡大表示]

 実態は、IPアドレスでアクセスを制御する機能に特化したセキュリティゲートウエイ機器である。4個のネットワークポートを備えており、インターネットとファイアウォール機器の間に入ってインバウンドの通信をブロックすると同時に、ファイアウォール機器と社内LANの間に入ってアウトバウンドの通信をブロックする。ThreatARMORの故障時に通信に影響を与えないように、故障時にはネットワークカード(NIC)が通信をバイパスする。

 IPアドレスでアクセスを制御するだけであれば、ファイアウォールやルーターを筆頭に、多くのネットワーク機器が同様の機能を備えている。ThreatARMORがこうした機器と違うのは、大量のIPアドレスのリストでアクセスを制御する用途に特化していること。「10億件のIPアドレスをブロックしても性能に影響がない」としている。これに対して、現状の次世代ファイアウォール機器は、ヘッダー情報だけでなく、パケットの中身を詳しく調査しているため、大量のIPアドレスのリストを使ったアクセス制御には向いていないという。

 ブラックリストは5分間隔で更新する。ブラックリストに含まれる情報は、危険なサーバーのIPアドレス、ドメイン名、地域情報(国家)など。ドメイン名は、外部のDNSを参照することなく自前で対応表を持つ。地域情報の対応表も米イクシアが構築したもの。危険なサーバーの例として、マルウエアのダウンロードサイトや、マルウエアが通信する司令塔サーバーのC&Cサーバーなどがある。地域については、サイバー攻撃の主要地域である一方で業務上通信する必要のない地域を一律でブロックするといった使い方ができる。

 通信をブロックした場合、その旨を記録として残す。例えば、社内のパソコンから外部のC&Cサーバーに通信しようとした際に、これをブロックした場合、ブロックした理由や、社内のパソコンのIPアドレスなどが記録として残る。これを管理画面から参照できるほか、外部のログ管理サーバーにSyslogで通知するといった使い方ができる。管理画面では、個々のブロック状況だけでなく、統計情報をダッシュボードとして表示できる。

ThreatARMORの概要
用途と機能IPアドレスによるアクセス制御という既存のやり方をサイバー攻撃対策に応用したセキュリティゲートウエイ機器
IPアドレスによるアクセス制御機能に特化している
アイディアIPアドレスのブラックリストでインターネットとの通信をフィルタリングすれば監視対象の通信量を減らせる、というアイディアを製品化した
これによりセキュリティ対策にかかるコストを削減する
提供形態アプライアンス機器
インバウンド通信(インターネットからファイアウォールへの通信)と、アウトバウンド通信(社内LANからファイアウォールへの通信)をインラインで中継する
ブラックリストの内容危険なサーバーのIPアドレス、ドメイン名、地域情報(国家)など
ドメイン名は、外部のDNSを参照することなく自前で対応表を持つ
地域情報の対応表も米イクシアが構築したもの
ブラックリストの更新間隔5分単位
米国での価格1GbE(1000BASE-T)ポート搭載モデルが1万9995ドル(ブラックリストの更新費用は年間2995ドル)
このほかに上位モデルとして10GbE(SFP+)ポート搭載モデルがある
発表日2015年10月29日
出荷日2015年10月29日