IPS Software Blade

Check Point IPS Software Bladeは最高レベルの侵入防御システム(IPS)を備えており、従来型のスタンドアロンIPSソリューションよりも低コストで革新的なパフォーマンスを実現します。包括的かつプロアクティブな侵入防御機能を提供するIPS Software Bladeは、導入や管理も容易で、統合型で拡張性に優れた次世代ファイアウォール・ソリューションを補完します。

概要

次世代レベルとなる保護機能とパフォーマンス

  • 業界をリードするIPSとファイアウォール(NSS Labsのテストで実証済み): 脅威の振る舞いとシグネチャに基づく、数千種類におよぶ事前対応型の防御機能を提供
  • MicrosoftおよびAdobe製品の脆弱性への対応実績では業界ナンバー1を獲得
  • 最高レベルのファイアウォールをはじめ、アプリケーション制御やURLフィルタリング、DLP(データ損失防止)など各種機能を大規模ネットワーク向け次世代ファイアウォールに統合

統合型IPSの比類のないマルチギガビットのパフォーマンス

  • 最大15 GbpsのIPSスループット、30 Gbpsのファイアウォール・スループット
  • ステートフル・インスペクションおよびSecureXL技術により、多層IPS検査とIPSスループットの高速化を実現
  • CoreXL技術により、マルチコア技術の効率性とパフォーマンスを最大化

あらゆるエンタープライズ・レベルのファイアウォール・ソリューションでTCOの最小化と素早い投資回収を実現

  • すべてのチェック・ポイントのゲートウェイでIPSおよびファイアウォール機能をワン・クリックで有効化
  • 他に類を見ない高い拡張性と柔軟性を実現。いずれも初期コストの追加は不要
  • オンデマンドのセキュリティを実現するチェック・ポイントのSoftware Bladeアーキテクチャに統合

詳細

包括的な侵入防御機能

IPS Software Bladeは、ファイアウォール技術を補完し、ゲートウェイのパフォーマンスを低下させることなくネットワークのセキュリティを強化します。Geo-Protection機能搭載のフル機能のIPSを実現する一方で、最新の脅威に対応するための新しい防御が絶え間なく更新されます。


フル機能の IPS

IPS Software Blade は、包括的な IPS セキュリティ・ソリューションです。次のような悪意のある、あるいは好ましくないネットワーク・トラフィックに対する幅広い保護機能を提供します。

  • マルウェアによる攻撃
  • DoS/DDoS (サービス妨害/分散サービス妨害)攻撃
  • アプリケーションやサーバの脆弱性を狙う攻撃
  • 内部からの脅威
  • インスタント・メッセンジャー(IM)やピアツーピア(P2P)など、好ましくないアプリケーションのトラフィック

地理情報を活用する Geo-Protection 機能

Geo-Protection機能はトラフィックを監視し、その発信元/送信先の国に基づいてポリシーを実施します。Geo-Protectionポリシーには例外も設定できるため、正規のトラフィックを許可しつつ、不明な発信元や信頼できない発信元からのトラフィックの遮断や監視が可能になります。アクティビティの監視は、SmartEvent Software Bladeを使用して行います。


実績のあるセキュリティ
  • リアルタイムでの保護: IPS Software Blade は、拡大する脅威に対する最新の防御を定期的に更新しています。チェック・ポイントの IPS 機能は常に先手を打ち、脆弱性が発見されたり、ハッカーに侵入される前に防御機能を提供します。
  • Microsoft 製品の脆弱性への対応: チェック・ポイントは、Microsoft 製品の脆弱性への対応実績で第1位にランクされています。これらの対応実績の中には、脆弱性や攻撃に事前対応したケースも含まれています。

統合型 IPS

IPS機能が統合されたIPS Software Bladeは、スタンドアロンのソリューションを複数導入する場合と比べて、導入コストを最大で半分にまで抑えてトータル・セキュリティを実現します。また既存の統合型IPSソリューションと比較して、最大10倍の価格性能比を得ることが可能です。

統合型IPSには次のような数多くの利点があります。これらの利点によって、統合型IPSはセキュリティ・ゲートウェイの標準的な形態となりつつあります。

  • 複数の独立したソリューションを統合することによるコストの削減
    IPS Software Blade を既存のファイアウォールに統合することで、次のようなコストを削減できます。
    • 機器の購入コスト
    • ハードウェアの設置スペース
    • トレーニングと日常的な運用管理のコスト
    • ラック・スペース
    • 配線関連のコスト
    • 冷却コスト
    • 電力コスト
  • 遅延時間の短縮
    • ファイアウォールと IPS でのトラフィック検査回数を合わせて1回だけにすることにより、ボトルネックとなる箇所を削減
  • 一貫性のあるセキュリティ・ポリシーの提供
    • ソリューションを統合することにより、1つに集約された一貫性のあるセキュリティ・ポリシーを実現
  • 管理とトレーニングの共通化
    • 管理とトレーニングのコストを削減
    • 設定ミスや設定漏れを削減
    • IT 部門の組織編成との整合性が向上
    • 運用管理の効果と効率性が向上
  • IPS の導入が容易
    • チェックボックスを1つクリックするだけで、IPS 機能をゲートウェイに追加可能

統合型IPSのマルチギガビットのパフォーマンス

デフォルトのIPSプロファイルを使用して、最大15 GbpsのIPSスループットを実現します。IPS Software Bladeには高速のパターン・マッチング・エンジンが採用されており、マルチレイヤの2層の検査を行って、膨大な数の保護機能を有効にした場合に劣らない高いパフォーマンスを提供します。


SSLで暗号化されたトラフィックの検査

ゲートウェイを通過するSSL暗号化トラフィックをスキャンして安全性を確認できます。トラフィックが通過する際、ゲートウェイは、送信元の公開鍵を使用してトラフィックを復号化し、検査を行います。問題がないことを確認後に、トラフィックを再暗号化して受信側に送信します。 SSL検査については例外をきめ細かく設定できるため、ユーザのプライバシーを保護し、企業ポリシーを遵守しながら運用することが可能です。検査すべきでない暗号化コンテンツについては、簡単なポリシーを定義するだけでゲートウェイをバイパスするように設定できます。




動的な脅威管理

IPS Software BladeとSmartEvent Software Bladeを組み合わせることにより、リアルタイムで進化を続ける多種多様な脅威に動的に対処できるようになります

チェック・ポイントの脅威管理ワークフローでは、絶え間ない変化に素早く効率的に対処できるため、運用管理の負担を軽減し、迅速かつ確実に保護機能を適用することが可能です。

  • 保護機能サンドボックス: ネットワークに影響を与えることなく、サンドボックス環境で新しい保護機能を試すことができます。
  • 保護機能の自動的な有効化: パフォーマンスへの影響や信頼性指数、脅威の深刻度といった設定パラメータに基づいて、新しい保護機能を自動的に有効にできます。これにより、数千に及ぶ保護機能を常時個別に管理する煩雑さから解放されます。

各保護機能には、脅威の深刻度、信頼性レベル、パフォーマンスへの影響に関する情報が設定されています。

プロファイルでの条件に従って保護機能が有効にされます。

  • 統一管理: IPS Software Blade は、他のセキュリティ・ゲートウェイ・ブレードや専用 IPS と同じチェック・ポイントの管理インタフェースを使用して設定および管理できます。
  • 具体的なアクションを実施できるカスタマイズ可能な監視機能: 重要性の高い情報だけを示す詳細なレポートとログを使用してイベントを追跡できます。IPS 用とプロビジョニング用のセキュリティ管理ブレードを使用すると、脅威の分析を簡素化し、運用管理の負担を軽減することができます。
    • ビジネス・レベル・ビュー: ビジネスにとって重要なシステムに関連する重大なセキュリティ・イベントを容易に監視できるカスタマイズ可能なレポート。
    • 多次元ソート: イベント・データの列をドラッグアンドドロップすると、自動的に情報の並べ替えが行われます。
    • 具体的なアクションを実施可能なイベント・ログ: ログ・エントリから直接、関連する保護機能の編集、例外の設定、パケット・データの参照を行うことができます。

脅威やその深刻度をリアルタイムで表示
重要性の高いイベントだけが表示されるようにカスタマイズ
ログから直接アクションを実施


容易な導入
  • 既存のファイアウォールに導入: 既存のセキュリティ・インフラストラクチャを活用することで、導入に必要な時間とコストを削減できます。
  • きめ細かく設定できる保護機能: 使い勝手に優れた保護プロファイルを使用し、ネットワーク環境のセキュリティ要件に合わせてシグネチャや保護機能の有効化ルールを定義できます。
  • 事前定義されたデフォルト/推奨プロファイル: セキュリティまたはパフォーマンスが最適になるようにチューニングされた、すぐに使用可能なプロファイルが用意されています。
  • オプションの検出専用モード: トラフィックをブロックせず検出だけを行うよう既存の保護機能を設定して、通信を遮断することなくプロファイルを評価できます。

事前対応型のセキュリティ機能

パッチは、セキュリティ対策として決して万全な方策ではなく、その適用のタイミングによってはネットワークが攻撃にさらされてしまうことがあります。強力な IPS 技術と確固たるパッチ戦略を組み合わせたより包括的なアプローチを採用することで、システム管理者は、毎月のパッチのリリース日を乗り切り、パッチ未公開の脆弱性を突く攻撃にも対処できるようになります。チェック・ポイントの IPS 製品を活用してパッチ対応の諸問題を克服する方法については、 技術白書をご覧ください。

Software Bladeアーキテクチャとの統合

IPS Software Bladeは、Software Bladeアーキテクチャに統合されています。そのため、チェック・ポイントの既存のセキュリティ・ゲートウェイに迅速かつ容易に導入することができます。既存のセキュリティ・インフラストラクチャをそのまま活用することで、時間とコストの節約が可能です。

仕様

パフォーマンス
統合型 IPS のパフォーマンス最大 15 Gbps
ゲートウェイの負荷に対するしきい値ソフトウェアのバイパスを設定することで、負荷の高い状況でもファイアウォールのパフォーマンスを維持
セキュリティ
マルチ・メソッド検出エンジン
  • 脆弱性悪用シグネチャ
  • プロトコル検証
  • アノーマリ検出
  • 振る舞い分析に基づく検出
  • 複数要素の相関分析
Microsoft 製品の脆弱性への対応 2008年以降は対応実績第1位
パッチ・プロセスの補完ベンダー・パッチの適用前でもネットワークを攻撃から保護
リアルタイムの保護次の要素に対する保護機能/アップデートを提供:
  • クライアントおよびサーバの脆弱性
  • 脆弱性の悪用
  • プロトコル違反
  • マルウェアによる外向きの通信
  • トンネリングの試み
  • アプリケーション・コントロール
  • 汎用的な攻撃(シグネチャなしで対処)
  • 事前対応型のセキュリティ機能
Application Intelligenceインスタント・メッセンジャーやピアツーピアなどのアプリケーションの保護と制御
オープン・シグネチャオープン・シグネチャ言語を使用してカスタム・シグネチャを作成
DoS 防止エンジン強化されたサービス妨害(DoS)攻撃対策
導入
プロファイル同じ保護設定を複数のゲートウェイに適用することで運用管理の負担を軽減
事前定義されたプロファイルセキュリティまたはパフォーマンスに最適化された、すぐに使用できる保護プロファイル
検出専用モード悪意のあるトラフィックをブロックせず、検出だけを行うよう既存の保護機能を設定
保護機能サンドボックスネットワークに影響を与えることなく、新しい保護機能を試すことができるサンドボックス環境
管理
有効化ルール次の条件に従って保護機能を有効にできます。
  1. 脅威の深刻度
  2. パフォーマンスへの影響
  3. 保護機能の信頼性レベル
パケット・キャプチャトラフィック・データを収集して詳細なフォレンジック分析を実施
追跡調査後から分析を行うため保護機能にフラグを設定
タイムライン・ビュー自社にとって重要な情報(重要性の高いネットワーク資産に関連するセキュリティ・イベントなど)のみを表示するカスタム・ビューを容易に設定
システム概要IPS システムの状態を一目で確認
統一管理統合型 IPS と専用 IPS の両方を単一のインタフェースから管理
例外の設定保護機能に例外を設定
保護機能への情報の追加各保護機能に次のような詳細情報を追加できます。
  1. 脆弱性と脅威についての説明
  2. 脅威の深刻度
  3. パフォーマンスへの影響
  4. 信頼性レベル