製品・サービス SecureSphere

SecureSphere ラインナップ別機能

 SecureSphere
WAF
SecureSphere
DAM / DBF
SecureSphere
FAM / FFW
ダイナミック Web・XML ファイアウォールn/an/a
ThreatRadar (ゼロディ攻撃防御)n/an/a
データベース 検出・脆弱性検査n/an/a
データベース アクセス・レスポンス 監査n/an/a
ダイナミック データベースファイアウォールn/a○ (DBFのみ)n/a
ファイルサーバ 検出n/an/a
ファイルサーバ アクセス監査n/an/a
ダイナミック ファイルファイアウォールn/an/a○ (FFWのみ)
Active Directory / LDAP アクセス権限分析n/an/a
攻撃・脆弱性 シグネチャ検知
IPS (NW ファイアウォール)
IPS (HTTPプロトコル アノマリ)n/an/a
IPS (SQLプロトコル アノマリ)n/an/a
相関攻撃検証n/a
エンドポイント マルウェア対策との連携n/a

データベース 監査(DAM/DBF)

データベースアクティビティの全詳細を完全キャプチャ
従来のデータベース監査・ファイアウォール製品は、トランザクション数が多くなると簡単には対処できなくなり、 一定時間内にカスタマテーブルが10回読まれた、などといったデータベースアクティビティの集計データしか記録できなくなります。 それに対しSecureSphereは、セキュリティチームおよび監査チーム両方の要求に応えるべく、どんなに大きくそして使用頻度の高いデータベースであっても、 クエリレベルに至るまでのあらゆるデータベースアクティビティを完全かつ詳細に記録し、 不正なアクティビティに対して、アラートを発報したり、アクセスを遮断します。
データベース フルレスポンス監査
アクセスだけでなく、レスポンス(実際に閲覧されたデータ)を完全記録
ローカルデータベースアクセス(DBA)の監視
SecureSphere専用モニタエージェントにより、ローカルコンソールからのアクセスや通信系路上、暗号化されたデータベースアクセスも監視・ブロックが可能

・対象リレーショナルデータベース:
Oracle, MS-SQL, DB2, Sybase ASE, Sybase IQ, MySQL, PostgreSQL, Informix, Teradata, Netezza, IMS, Progress OpenEdge, Maria DB, SAP HANA

・対象ビッグデータディストリビューション:
Hadoop, MongoDB, Cassandra DataStax

ページトップへ

ダイナミックプロファイリング(WAF/DAM/DBF/FAM/FFW)

ダイナミックプロファイリングはSecureSphereの核となる機能であり、 変化するアプリケーション環境に自動的に対応します。 ダイナミックプロファイリングはアプリケーションの構成、および正常なふるまいをプロファイルとして構築するために、 SecureSphere導入後直ちにユーザと、Web/データベース/ファイルサーバ 間すべての通信を自動的にモニタリングします。 SecureSphereは実際のトラフィックとプロファイルの比較により、潜在的に悪意のあるどんな種類の行為も識別し防御します。 プロファイルは継続的な学習アルゴリズムにより、アプリケーションの変更を自動的に検知でき、 手動による調整や設定を最小限に抑えます。 この継続的にアップデートされるダイナミックプロファイルを基に、 すべてのサービス (Web/XML/DB/File ファイアウォール、 IPS)を実行します。

SecureSphere:ダイナミックプロファイリング機能

Web/XML/DB/File ファイアウォール(WAF/DBF/FFW)

(注) WAFにはDB/Fileファイアウォール機能はありません。DBFにはWeb/XML/Fileファイアウォール機能はありません。FFWにはWeb/XML/DBファイアウォール機能はありません。
SecureSphereゲートウェイのセキュリティコンポーネントとなる各種ダイナミックファイアウォールは、外部または企業内部から のWebサイト・データベース・ファイルサーバへの攻撃・侵害に対し、ダイナミックプロファイリング情報を用いて防御します。

ダイナミック Webファイアウォール
ダイナミック Webファイアウォールは、ダイナミックプロファイルに含まれた正当なURL、HTTPメソッド、パラメータ、クッキー、 レスポンスコードおよびHiddenフィールドといった、ユニークなWeb構成要素にフォーカスすることにより、 Webアプリケーションを攻撃から保護します。プロファイルには、HTTPリクエストおよびHTTPレスポンス情報が含まれます。 オープンWebアプリケーションセキュリティプロジェクト (OWASP) で最も重大な攻撃としてあげられるWebアプリケーションの脆弱性をターゲットとした攻撃であっても、 ユーザとWebサーバ間の正常な相互通信を詳述したプロファイルを用いて防御します。
・対象プロトコル: HTTP・HTTPS
ダイナミック XML ファイアウォール
ダイナミック XMLファイアウォールは、正当なXML URL, SOAP アクション, XML要素といった、ユニークなXML構成要素にフォーカスすることにより、XMLの脆弱性を利用した攻撃からWebを保護します。
・対象プロトコル: XML・SOAP・WSDL
ダイナミック データベース ファイアウォール
ダイナミック データベースファイアウォールは、正当なSQLクエリ、SQLクエリ毎の有効な送信元IPアドレス、 SQLクエリ毎の有効なユーザ名といったユニークなSQL構成要素にフォーカスすることにより、データベースを攻撃から保護します。 さらに、Webサーバを経由した攻撃だけでなく、企業内部からの不正なリクエストを含む様々な不正データベースクエリを検知し、 内部からのデータベース侵害も防御します。また、監査のためにデータベースアクセスをすべて記録するか、 特定のクエリだけを記録するかを定義することができます。
・対象リレーショナルデータベース:
Oracle, MS-SQL, DB2, Sybase ASE, Sybase IQ, MySQL, PostgreSQL, Informix, Teradata, Netezza, IMS, Progress OpenEdge, Maria DB, SAP HANA
・対象ビッグデータディストリビューション:
Hadoop, MongoDB, Cassandra DataStax
ダイナミック ファイルファイアウォール
ダイナミック ファイルファイアウォールは、ファイルサーバやNASに対して、動的なデータ分類による分析を行います。 これらの動的な分析結果とユーザおよびユーザグループのアクセスパターンを検証することでアクセスコントロールを実施することができます。 特定なユーザおよびユーザグループのみを特定なセンシティブデータへアクセス許可することで、企業内部からの不正なファイルを制御します。 また、ファイル監査のためにサーバアクセスをすべて記録するか、特定のディレクトリだけを記録するかを定義することができます。

SecureSphere:Web/XML/DB ファイアウォール機能

ページトップへ


相関攻撃検証(WAF/DAM/DBF)

SecureSphereの相関攻撃検証エンジンは、複数のSecureSphereセキュリティ サービス(ダイナミック Web ファイアウォール、ダイナミック データベース ファイアウォール、シグネチャなど)を通してクライアントユーザの行為を追跡し、 イベント同士の関連を監視検証することで、 ハッカー活動かどうかを識別します。

例えば、もしIPSがシグネチャによりURL中の"union"という単語を検知した場合、それはSQLインジェクション攻撃を示すものかもしれませんが、 単にWebサイト内の単語結合の正常処理かもしれません。 しかし同じパケットが、ダイナミックWeb ファイアウォール違反("union"が通常の アプリケーション機能ではない)と、ダイナミックデータベース ファイアウォール違反(異常なデータベースクエリ)の両方を引き起こす場合、 相関攻撃検証は攻撃と判断しトラフィックを止めます。

相関攻撃検証は、単一のイベントではなく複数の監視による違反処理に基づき、 複雑で精巧な攻撃も正確に検知し防御します。

SecureSphere:相関攻撃検証機能

IPS (Intrusion Prevention System: 侵入防止システム) (WAF/DBF/FFW)

SecureSphereのIPSは、既知ワームとネットワークレベルの脅威からWeb/DB/File サーバの領域全体を保護します。 IPSはネットワークファイアウォール、シグネチャ検出、WebプロトコルアノマリおよびSQLプロトコルアノマリの検査機能を含みます。

ネットワーク ファイアウォール
SecureSphereのネットワーク ファイアウォールは、防御されたネットワークセグメントへ入出するトラフィックに対するネットワークレイヤアクセス コントロールを提供します。 Telnet、市販のリモートツールあるいはSQLといった危険なプロトコルを介して、内部のユーザが重要なサーバに不当にア クセスすることを防止できるように、ホワイトリストまたはブラックリストによる設定をサポートしています。 ファイアウォール外または内部ユーザの デスクトップから、不要のポートを介してプロテクトされたネットワークセグメントへワームが蔓延することを防止することで、包括的なワーム防御に おいても重要な役割を担っています。
シグネチャ検知
SecureSphereは8,000を超えるシグネチャを有し、Webアプリケーション、各インフラソフトウェア(Apache、IIS、Oracleなど)、 OSの既知の脆弱性をターゲットにしたWebアプリケーション攻撃、ワームおよびネットワーク攻撃から各監視対象サーバを保護します。 シグネチャは、影響を受けるシステム、リスク、正確さ、頻度などの属性を、Imperva社のアプリケーションディフェンスセンター(ADC)からの情報で追加しています。 SecureSphereのシグネチャ管理ウィザードを使用することで、ユーザは簡単にシグネチャディクショナリを作成することができます。 シグネチャはすべてインターネット経由で自動的に更新されます。
HTTPプロトコル アノマリ
SecureSphereのプロトコル アノマリチェックは、HTTPプロトコルがRFCで要求された仕様に適合していることを確認します。 例えば、不正なURL、異常に長いURL、異常に長いリクエストヘッダ、およびその他多くのプロトコル アノマリをチェックすることが可能です。 HTTPプロトコルがRFCに準拠しているか確認することにより、Webサーバの脆弱性に対するワーム攻撃を防御します。
SQLプロトコル アノマリ
SQLプロトコル アノマリはSecureSphereシステムの独自機能です。 攻撃者がデータベースにおける不適当なフィールド長、パラメータ値、規則に反する名前あるいはストリングを含んだ悪意のあるSQLリクエストを送る場合、 SecureSphereはアラートを発報したり、リクエストを遮断します。

SecureSphere:IPS機能

ページトップへ


ThreatRadar: ゼロディ攻撃・ボット攻撃の防御と、ログインアカウントの不正利用対策 (WAF)

ThreatRadar (レピュテーション防御サービス)

ThreatRadarは、Webアプリケーションファイアウォール(WAF)のユニークな追加セキュリティサービスです。 ThreatRadarは、ボットネットのような大規模で、自動化された攻撃に対し自動防御機能を提供します。 Imperva社はグローバルに攻撃元を追跡し随時WAFに既知の攻撃元IPリストを分配します。 一旦SecureSphere WAFが既知の攻撃元IPリストを得ればThreatRadarは攻撃が始められる前に、悪意のある トラフィックに対しアラートを発生しブロックすることができます。
また、インターネット上に流れるWebトラフィック全体の60%以上がボットによる通信であり、さらにそのほとんどが悪質な通信であることが確認されている現状を踏まえ、ThreatRadarはWebサイトへの通信を自動解析します。 「人による正規・悪意な通信」、「無害・悪意なボットによる通信」を判定するエンジンを利用することで、未知・既知のボット対策を実現できます。
さらに、ThreatRadarは、90ヶ国以上に導入されている全世界の SecureSphere WAF ユーザにおいて検知された攻撃通信をImperva社のThreatRadarサーバにて情報収集・集計することで、 ランキング上位に該当する攻撃の送信元IPリストをThreatRadarユーザに提供します。 この情報を基にして、企業は他のWebサイトを攻撃したアウトローによる自社Webサイトへのアクセスを排除することができます。

ThreatRadarは、多数の脅威に対し正確で最新の保護を提供します。

・コメントスパムリスト (Comment Spam IP)
ブログ、フォーラム、掲示板などのWebサイトに悪質なスパムメッセージを書き込んでいる送信元IPリストをブロックすることで、 Webサーバへの通信負荷を軽減します。
・悪意のある送信元リスト (Malicious IP)
他のアプリケーション上で繰り返し悪意のある活動を行なっている送信元IP。これまでに、 1000万以上のボットネットがリモート操作するハッカーの代わりに攻撃を実行しました。
・Anonymousプロキシ/TOR IP リスト (Anonymous Proxy / TOR IP)
実際の攻撃送信元を隠すために、ハッカーはAnonymousプロキシや、TOR IPをよく利用します。
・フィッシングURL (Phishing URL)
フィッシングをホストしているノードからの通信をブロックすることで、フィッシング サイトの出現を早期に発見ことができます。また、フィッシングサイトにオリジナルコンテンツが使われないよう、 未然の対策が可能となります。
・国別アクセス制御 (IP GeoLocation)
送信元からの通信許可・制御を、国単位で指定することができます。Webサイトの特性に応じて設定することで、 不要なトラフィック削減を実現します。
・ボット防御 (Bot Protection)
Webサイトへの訪問者を分類する独自のエンジンが自動的に通信を解析し、人とボットを判別します。また、二要素認証の役割を果たす CAPTCHA をログインページに表示する機能を利用することで、より精度の高い本人確認が可能となります。
・ゼロディ対策用緊急シグネチャ (Emergency Feed)
世界的に危険度・緊急性の高い、新たな脆弱性が発見された場合に迅速対応するカスタムシグネチャです。
これは、Imperva 社のアプリケーションディフェンス センター(ADC)による公式なシグネチャに先行して、ThreatRadar サービス利用者に提供されます。
・ログインアカウントの不正利用対策 (ThreatRadar Account Takeover)
昨今のWebアプリケーション関連攻撃の約半数には、搾取されたWebサイトのログインアカウント情報が含まれています。 一方、攻撃者の挙動には、それらの情報を使って短時間に複数の異なるサイトに大量のログインを試行するなど、アカウントの搾取行為に関連する様々な特徴が見られます。
ThreatRadar Account Takeover(ATO) は、不審なユーザやデバイスの挙動をインテリジェンスに分析し、パスワード辞書攻撃やブルートフォースなどの大量通信、 デバイスの地理情報と送信元IPアドレスの不一致などの疑わしい挙動を検知することで、盗まれたアカウントの不正利用からWebサーバを保護します。

ページトップへ


ファイル セキュリティ(FAM/FFW)

重要なシステムに影響を与えることなくファイル・データへのすべてのアクセスを監査
SecureSphereは、ファイル・サーバのパフォーマンスや可用性に悪影響を与えることなく、ファイルに対するあらゆる操作をリアルタイムで継続的に モニタリングおよび監査します。 SecureSphereは、ユーザ名、アクセスしたファイル、親フォルダ、アクセス時刻、アクセス操作などを含む詳細な監査 証跡を作成します。
異常な活動をリアルタイムでアラートまたはブロック(ブロックはFFWのみ対応)
SecureSphereは、企業ポリシーに違反するアクセス活動をブロックまたはアラートすることにより、ファイルを保護します。管理者は、ポリシーに基づくブ ロック機能により、ACLレベルでのエラーを防止することができます。 柔軟なポリシー・フレームワークにより、ファイルのメタデータ、組織の状況、アク セス活動、データ分類など多種多様な条件を考慮してポリシーを作成して、好ましくない挙動が観察された場合に対策をとることができます。
ポリシー管理のためにデータの所有者を特定
SecureSphereは、ファイルやフォルダの使用状況を分析することにより、データの所有者を特定します。データがビジネスにどの程度関連するのか、そし てデータをどのように管理および保護すべきかを把握しているのは所有者です。 したがって、所有者の特定は、コンプライアンス、セキュリティ、ITの 運用に欠かせません。

ページトップへ


マネジメント&レポーティング(共通機能)

SecureSphereゲートウェイには「Web管理コンソール」が実装されているため単体でも動作しますが、複数のゲートウェイ環境ではSecureSphere MX マネジメントサーバ の導入を推奨いたします。

SecureSphere MX マネジメントサーバは「Web管理コンソール」「マネジメントサーバ」「ゲートウェイ」の3層構造の管理アーキテクチャにより、 複数のSecureSphere ゲートウェイを同時に管理することができます。

3層構造の中心に位置する MX マネジメントサーバは、一元管理しているプロファイルおよびポリシー情報を、企業全体に展開する各ゲートウェイに 容易に配信することができます。

各ゲートウェイで生成されたアラート、ログ、グラフィカルレポートデータは自動的に MX マネジメントサーバで収集 され、管理者へコンソール画面で提供されます。 ログとイベントは、ユーザに定義されたパラメータに基づいた組織またはグループによる ロールベースの管理も可能です。
統合されたグラフィカルレポーティングツールは、カスタムレポートを作成し、傾向分析、監査、実行の意思決定などをサポートします。

ページトップへ


配備設定オプション (共通機能)

SecureSphere ゲートウェイはすべてのユーザの要求を満たすために、インライン/フェールオープン、 インライン/HA(ハイアベイラビリティ)、スニファモードなど多くの配置オプションを提供します。 また、 インライン配置の場合、トランスペアレント ブリッジ モード、リバース プロキシ モードを 用意することで組織のニーズに柔軟に対応することが可能です。

スニファモードの場合、ネットワークの停止時間や導入の失敗がなく、容易にゲートウェイを配置することが可能です。 また、スニファモードでのブロッキング機能は、ゲートウェイによるTCPリセットが可能です。

インライン/フェールオープンモードは、導入の失敗および冗長化システムのコストや複雑さを気にすることなく 導入することが可能です。

インライン/HA(ハイアベイラビリティ)モードでは、アプリケーションを保護するだけでなく、十分なセキュリティ 保護が常に維持されることを保証する、冗長化されたSecureSphereシステムの配備を可能にします。 プライマリSecureSphereがダウン等を起こした場合、すべてのセキュリティ操作がバックアップSecureSphereシステムに切り換えられます。

SecureSphere:配置例

ページトップへ


SecureSphere DAM/DBF DB監査機能

対象データベース リレーショナルデータベース (RDBMS) ビッグデータ (Big Data)
DB2 LUW 9.5, 9.7, 10.0, 10.5, 11.0
DB2 for z/OS 10, 11
IMS for z/OS 13, 14
Informix 11.5, 11.7, 12.1
Maria DB 5.5, 10.0, 10.1, 10.2
MS-SQL 2008, 2008 R2, 2012, 2014, 2016
MySQL 5.5 - 5.7
Netezza 7.0 - 7.2
Oracle 11.2, 12c
PostgreSQL 9.2 - 9.6
Progress OpenEdge 11.3, 11.4, 11.5, 11.6
SAP HANA v1 SPS 8-12, 2.0 SPS 02
Sybase Anywhere 16, 17
Sybase ASE 15.7, 16.0
Sybase IQ 16.0, 16.1
Teradata 14, 14.1, 15.0, 15.1, 16.0
Cassandra DataStax 4.7.0, 4.8.6, 4.8.8

Hadoop Cloudera 5.1.0, 5.1.2, 5.3.0,
5.3.1, 5.4.0, 5.4.10, 5.5.0 - 5.5.4,
5.6.0 - 5.6.1, 5.7.1 - 5.7.4, 5.8.0 - 5.8.2

Hadoop Hortonworks 2.1.1 - 2.1.5, 2.2.0,
2.3.2 - 2.3.4, 2.4.0 - 2.4.3, 2.5.0 - 2.5.3

Hadoop IBM BigInsights 4.1.0.0 - 4.1.0.2, 4.2.0.0

MongoDB 2.4, 2.6.5, 2.6.6, 3.0.6, 3.0.14,
3.2.5 - 3.2.11
日時の記録 ログイン、ログアウト、SQL実行の操作日時を記録
ユーザ情報の記録 DBユーザ名、送信元OSユーザ名、送信元アプリケーション、送信元ホスト名、送信元IP、ソースURL、 Webアプリ ユーザ名、WebクライアントIP、 Web セッションID
操作対象データベース
情報の記録
データベースのIP、データベース名、スキーマ名、テーブル名、カラム名
記録対象
オペレーション
ログイン、ログアウト、すべてのSQLオペレーション (DML、DDL、DCL、ストアドプロシージャ)、オペレーションの成功/失敗、 ローカルDBアクセス(エージェント導入必要)
クエリの記録 クエリ全文、クエリグループ、レスポンス内容全文、レスポンスレコード件数、レスポンスタイム、バインド変数、 影響を与えた件数(更新や削除された件数)

ページトップへ


SecureSphere 物理アプライアンス スペック

SecureSphere X1020 / X2020 スペック

  SecureSphere X1020 SecureSphere X2020
スループット(WAF/DAS) 100 Mbps 500 Mbps
HTTP RSA/Sec (2048ビット) 1,200 6,000
遅延 1ms 以下
モニタリング
ネットワーク
インターフェース
4 x 10/100/1000 Mbps Copper
マネジメント
インターフェース
2 x 10/100/1000 Mbps Copper
最大監視セグメント 2 (ブリッジ) / 5 (プロキシ、ノン・インライン)
重量 6.2 Kg
サイズ 438 x 416 x 44 mm
フォーム ファクター 1U
電源 220W 100-240V, 50-60 Hz
SecureSphere
対応製品
WAF/DAS
X1020 (旧 X1010) X2020 (旧 X2010)

SecureSphere X2510 / X4510 / X6510 スペック

  SecureSphere X2510 SecureSphere X4510 SecureSphere X6510
スループット(WAF/DAS
/DAM/DBF)
500 Mbps 1 Gbps 2 Gbps
スループット
(FAM/FFW)
2 Gbps 4 Gbps n/a
HTTPS RSA/Sec
(2048ビット)
2,500 3,000 13,500
DAM IPU
(DB監査サイジング)    
5,000 9,000 18,000
遅延 5ms 以下
モニタリング
ネットワーク
インターフェース
(スロット 1)
デフォルト : 4 x 10/100/1000 Mbps Copper
オプション(いずれかを選択可):
4 x 10/100/1000 Mbps Copper
4 x 1 Gbps SR/LR
2 x 10 Gbps SR/LR
モニタリング
ネットワーク
インターフェース
(スロット 2)
デフォルト : 4 x 10/100/1000 Mbps Copper(X2510 のみオプション)
オプション(いずれかを選択可):
4 x 10/100/1000 Mbps Copper
4 x 1 Gbps SR/LR
2 x 10 Gbps SR/LR
マネジメント
インターフェース
2 x 10/100/1000 Mbps Copper
最大監視セグメント 4 (ブリッジ) / 9 (プロキシ、ノン・インライン)
重量 14.45 Kg 14.75 Kg 18.45 Kg
サイズ 442 x 513 x 88 mm 442 x 513 x 88 mm 446 x 645 x 88 mm
フォーム ファクター 2U
電源 400 W (2重化) 100-240V, 50-60 Hz 400 W (2重化) 100-240V, 50-60 Hz 600 W (2重化) 100-240V, 50-60 Hz
SecureSphere
対応製品
WAF/DAS/DAM/
DBF/FAM/FFW
WAF/DAM/DBF/
FAM/FFW
WAF/DAM/DBF
X2510 (旧 X2500) X4510 (旧 X4500) X6510 (旧 X6500)

SecureSphere マネジメントサーバ スペック

  SecureSphere M120 SecureSphere M160
マネジメント
インターフェース
2 x 10/100/1000 Mbps Copper
重量 6.1 Kg 14.15 Kg
サイズ 438 x 416 x 44 mm 442 x 513 x 88 mm
フォーム ファクター 1U 2U
電源 220W
100-240V, 50-60 Hz
400 W (2重化)
100-240V, 50-60 Hz
SecureSphere
対応製品
   MX Management Server    MX Management Server / SOM
M120 (旧 M110) M160 (旧 M150)

ページトップへ


SecureSphere 仮想アプライアンス スペック

  SecureSphere V1000 SecureSphere V2500 SecureSphere V4500 SecureSphere VM150
パフォーマンス
スループット(WAF/DAM/DBF) MAX: 100 Mbps MAX: 500 Mbps MAX: 1 Gbps n/a
スループット(FAM/FFW) n/a MAX: 2 Gbps MAX: 4 Gbps n/a
SecureSphere 対応製品 WAF WAF/DAM/DBF/FAM/FFW MX Management Server / SOM
物理ホスト最小必要条件 (括弧内は、アークンによる推奨条件)
Hypervisor VMware ESX/ESXi 5.x/6.x
プロセッサ Dual Core Server Intel VTx または AMD-V
メモリ 4 GB (8 GB) 4 GB (8 GB) 8 GB (16 GB) 8 GB
HDD 250 GB (500 GB)
ネットワークインターフェース Hypervisor がサポートするネットワークインタフェースカード
各ゲスト SecureSphere 仮想アプライアンス 最小必要条件 (括弧内は、アークンによる推奨条件)
CPU 2 2 4 4
メモリ 4 GB (8 GB) 4 GB (8 GB) 8 GB (16 GB) 8 GB
HDDスペース
(WAF)
160 GB
HDDスペース
(DAM/DBF/FAM/FFW)
n/a160 GB (500 GB)

*実際のパフォーマンスはベースとなるハードウェアおよび仮想インフラに依存します。

ページトップへ