テクノロジー

Dynamic Profiling Universal User Tracking Transparent Inspection Correlated Attack Validation

ダイナミック・プロファイリング（Dynamic Profiling™）

自動化された利用パターンとアプリケーション構造のモデリング

ダイナミックプロファイリングは、実行中のWebアプリケーション及びデータベーストラフィックを検査し、利用パターンとアプリケーション構造のダイナミック・ポジティブ・セキュリティモデルを自動的に作成する機能です。有効なアプリケーションとデータベースの変更内容が自動的に認識され、時間とともにプロファイルに組み込まれます。

SecureSphere Webアプリケーション・ファイアウォール、データベース・モニタリング・ゲートウェイおよびデータベース・セキュリティ・ゲートウェイの各製品は、正当なユーザー活動のモデルを作成するのにダイナミック・プロファイリング技術を利用しています。プロファイルされた要素を実際のトラフィックと比較することで、SecureSphereは様々な不正なアクティビティとホワイトリストの例外を検知します。

業務効率

煩雑な監査対応作業とセキュリティポリシーの手動管理という、一般的なアプリケーションやデータのセキュリティ・ソリューションやコンプライアンス・ソリューションの最大の欠点を克服する技術がダイナミック・プロファイリングです。アプリケーションとデータベース管理には、URLパラメータ、cookies、クエリー、コマンド、およびストアド・プロシージャなど常時変化する多数の変数を理解する必要があります。ダイナミック・プロファイリングは、マニュアルでの設定や調整が不要で、完全に自動化された監査とセキュリティを提供します。実際に使用・適用しているセキュリティポリシーとの違いを修正するために、管理者はいつでも手動でチューニングを加えることもできます。

カスタム・ポリシー定義

ダイナミック・プロファイリングで定義される自動化されたポリシーに加えて、SecureSphereでは、セキュリティ管理者がプロファイルされた情報を閲覧、修正し、望みのカスタムのポリシー・ルールを作成することも可能です。その結果、運用上の調整作業という余分な手間が不要となり、データセンター資産の包括的な防御が可能となります。

SecureSphereは、自動的にWebアプリケーション・ストラクチャとデータベースのユーザーとSQL クエリーを同時にプロファイル化します。

ユニバーサル・ユーザー・トラッキング

監査のアカウンタビリティ要件

データベース監査処理の主要な要件のひとつは、あらゆるデータベース・トランザクションについてユーザーのアカウンタビリティ（責任追跡性）が適切に確立しているかの検証があります。SecureSphere のユニバーサル・ユーザー・トラッキング技術では、ユーザーが Oracle E-Business Suite、SAP、PeopleSoft や J.D. Edwards、SiebelなどのビジネスアプリケーションやカスタムWebアプリケーションからデータにアクセスした場合でも、個別のユーザーのアカウンタビリティを特定します。

一般的な監査ソリューションは、完全なアカウンタビリティを提供していません

多くの場合、ユーザーがアプリケーションを介してデータベースにアクセスした場合、アプリケーションサーバーによりプールされるため、すべてのデータベースアクセスは単一のデータベース接続上で行われます。一般的な監査ソリューションでは、コネクション・プーリングが使われている場合、アプリケーションのログイン名のみが記録されるので、データベース・アクティビティを特定のユーザーに正しくリンクすることができません。

一般的なデータベース監査製品は、実際にアクセスしたユーザー名ではなくアプリケーション名のみを記録しますが、ユニバーサル・ユーザー・トラッキングは監査要件を満たしています。

ユニバーサル・ユーザー・トラッキングは、複数のトラッキング機能を使って接続プーリングが使われていても、すべてのデータベーストランザクションでエンドユーザーのアカウンタビリティを特定します。ユニバーサルユーザートラッキング方式には以下が含まれます。

• Webアプリケーション・ユーザー・トラッキング
• Web経由データベース・ユーザー・トラッキング
• SQLコネクションユーザートラッキング
• ダイレクトユーザートラッキング

これら4種類のトラッキング方式により、SecureSphereはどのような経路でデータベースに接続しているかにかかわらず、エンドユーザーを監査できます。SecureSphereは、エンドユーザーをトラックすることで、セキュリティ警告や監査ログ、レポートなどにユーザーIDを含むことができます。さらに、ユーザーIDごとにアクセスを制限することで、セキュリティポリシーが作成できます。ユニバーサル・ユーザー・トラッキングは、データベースの活動に可視性や詳細なセキュリティ管理、近年の厳格な規制要件順守などの機能を提供しています。

トランスペアレント・インスペクション

Impervaのトランスペアレント・インスペクション技術は、アプリケーションやデータベース環境の最も高い要件を満たす、マルチギガビットの性能、1ms以下の遅延および高可用性オプションを備えます。SecureSphere は、トランスペアレント・インスペクションによって、Webサーバーやデータベース・サーバーなどのデータセンターのインフラストラクチャに何ら変更を加える必要がありません。

セキュリティの観点からみて、OSI(Open Systems Interconnection)モデルの上部レイヤの検査は、防御を実現するために必要とされます。逆にネットワークを運用する立場からみると、シームレスでトランスペアレントなオペレーションが望ましい運用形態です。同様にネットワーク・ノードしてどのように機能するかという観点に立つと、より低いレイヤで動作することが、アプリケーションやデータベースのセキュリティ・ソリューションとして望ましくなるでしょう。

トランスペアレント・インスペクション・エンジンは、トラフィックをOSIモデルのレイヤ2で遮断し、アプリケーションとデータベースの動作を検査するために、スタックの上位レイヤを再構築します。

このアーキテクチャにより、SecureSphere を以下の設置モードで動作させることができます。

• トランスペアレント・レイヤ2 ブリッジ
• レイヤ3 ネットワークルーター
• リバースプロキシ
• トランスペアレントプロキシ
• 非インラインモニタ

高性能・低遅延

SecureSphereは、1ms以下のパケットの遅延を維持しながら、マルチギガビットのスループットと、1秒間に何千ものトランザクションを処理する性能を特徴とします。この高レベルのパフォーマンスは、他社の追従を許しません。 単一のSecureSphereゲートウェイでも、大半のお客様の環境には対応できますが、大規模なシステム環境であれば、統合管理サーバーで複数のゲートウェイを展開することもできます。SecureSphereのセキュリティ機能は、データセンターのサービスレベル契約（SLA）に一切の影響を与えません。

既存ネットワークへの変更は不要

SecureSphereは、トランスペアレント・ブリッジ、ルーター、非インラインモニタとして（ SecureSphere Webアプリケーション・ファイアウォールではリバースプロキシとして）、ネットワーク上でフレキシブルに展開できます。この柔軟性により、ネットワーク・ルーターやロードバランサー、およびサーバーなど既存のネットワーク・アーキテクチャの変更は必要ありません。

アプリケーション／データベース・インフラストラクチャの変更は不要

ネットワーク・トラフィックは SecureSphereを通過の際に変更されることはありません。このため、SecureSphereはエンドポイント（クライアントおよびアプリケーションまたはデータベースサーバー）に対して完全に透過的です。企業のデータセンターで、詳細に最適化されたアプリケーションとデータベースに何ら変更を加えずに、データベースにSecureSphereを簡単に設置できるということです。

高可用性

SecureSphere は、最大限のアップタイムとアプリケーションの利用度を保証するために、様々なオプションをサポートしています。

• Imperva ハイアベイラビリティプロトコル（IMPVHA）は、ブリッジモードで展開されている2台以上のSecureSphere ゲートウェイで1秒以内のフェイルオーバーを提供します。
• バーチャルルーター冗長プロトコル（VRRP）は、SecureSphereがルーターとして、または SecureSphere Webアプリケーションファイアウォールでリバースプロキシとして構成されている場合に、フェイルオーバーを提供します。
• 冗長システムインフラストラクチャの環境では、冗長ゲートウェイが展開できます。 SecureSphere のトランスペアレント展開モードは、外部HAメカニズムを使用している場合、アクティブ-アクティブとアクティブ-パッシブフェイルオーバーの双方の設定をサポートします。
• インラインフェイル・オープンネットワーク・インターフェースにより、ソフトウェア、ハードウェア、または電源障害の場合にも可用性を保証します
• 非インラインモニタリング設定により、単一障害点のないトランスペアレントな導入が可能になります。

SecureSphere の相関攻撃検知

比類のない正確さ

Imperva SecureSphere は、マニュアル調整不要で正確なアタック防御を可能にする、マルチレイヤーセキュリティアーキテクチャを採用しています。 SecureSphere のセキュリティアーキテクチャは、ダイナミックポジティブ（ホワイトリスト）およびダイナミックネガティブ（ブラックリスト）セキュリティモデルの両方があります。 両方のセキュリティモデルの洗練された実行アルゴリズムにより高度な攻撃も認識してブロックします。

ダイナミックポジティブおよびネガティブセキュリティモデル

Imperva のダイナミックプロファイリング技術は、SecureSphere のダイナミックポジティブセキュリティモデルの中心となるプロファイルを作成して管理します。

ポジティブセキュリティモデルには、ネットワークファイアウォールホワイトリストとおよび HTTP と SQL プロトコルチェックも含まれています。 これらのモデルを組み合わせることで、有効なネットワーク IP アドレスから高レベルアプリケーションとデータベースオペレーションまでの通常の挙動のベースラインを作成します。

SecureSphere のダイナミックネガティブセキュリティモデルは、ネットワークファイアウォールブラックリスト、すべてのプロトコルにわたる Snort® 対応シグネチャ、そして Imperva の独自の国際セキュリティ開発機関であるアプリケーションディフェンスセンター（ADC）からの高度なシグネチャが含まれています。 SecureSphere セキュリティアップデートサービスは、最新の防御を常に施行できるように定期的に更新されます。

相関攻撃検知（CAV）

Imperva 独自の相関攻撃検証（CAV）技術は、正当か不当か明確でない複雑な攻撃を検証します。相関攻撃検知（CAV）は、ネットワーク、プロトコルおよびアプリケーションレベルで複数の情報を検査し、時間とともに攻撃か有効なユーザートラフィックかどうかの判断をしていきます。 単一のイベントよりも複数のイベントを基に判断する CAV は、いくつかのスタンドアローンセキュリティシステムを利用しても得られないほどの、高い精度と完全に自動化された保護システムを提供します。

相関攻撃検知は、効果的にマルチステージウェブおよびデータベースアプリケーションアタックをブロックします。 これらのアタックは、単一のリクエストまたはクエリーに複数のイベントや複数のコンポーネントが含まれていますので、単純なシグネチャマッチでは防止できません。 例えば、HTTP リクエストsmugglingは、Webアプリケーションアタックと 2 個以上の Content-Length 値を HTTP リクエストヘッダーとを組み合わせます。 脆弱なWebサーバーとプロキシサーバーは、リクエストを受け取り、最初の Content-Length 値で指示された内容を処理します。 HTTP リクエストの残りの部分の悪意のある内容が、ウェブプロキシキャッシュを汚染したり、クロスサイトスクリプティングやセッションハイジャックアタックなどを含んでいるかもしれません。

SecureSphere は、アタックの重大性と誤検知の可能性を基にアタックシグネチャを分類します。 もしアタックシグネチャが高い誤検出の可能性を持っている場合、SecureSphere は警告を発するだけで、そのシグネチャを含む HTTP リクエストをブロックしないように設定することもできます。 しかしながら、HTTP smuggling アタックの場合は、SecureSphere は複数の Content-Length フィールドを持つ HTTP リクエストを検知して、この情報をシグネチャと関連付けて正確に確認してから、攻撃をブロックします。