• データ・セキュリティにおける技術革新

    Imperva の技術革新により、データに特化したセキュリティの展開を実現します。 エンタプライズ・セキュリティの第 3 の中核を提唱するImperva は、進化し続けるデータ・アーキテクチャに対応し、永続的なポリシー・チューニングの必要なく、攻撃を的確に防御するなど、データ・セキュリティに要求される課題に取り組んでいます。 これらの要求に応えるため、Imperva は、データ・セキュリティを定義する画期的な技術を開発しました。

    Imperva の技術は精度を向上し、複雑性を緩和し、完全なアカウンタビリティ(説明責任)を実現し、パフォーマンスを向上し、幅広い導入オプションを提供します。

    • 相関攻撃検証
       
    • ダイナミック・プロファイリング
       
    • Transparent
      Inspection
    • Universal
      User Tracking
      • 今日のセキュリティ脅威には、アプリケーションの偵察、高度な多段攻撃、分散型攻撃などがあります。 単一の要因のみを基にセキュリティに関する意思決定を行うと、事象に対する背景やさらなる洞察を提供する可能性のある情報を見逃しかねません。 相関攻撃検証 は、プロトコル違反、攻撃シグニチャ、データ漏洩シグニチャ、および過去の挙動との差異など、複数のデータを相関分析することにより、悪意ある挙動に対する的確な保護を提供します。 この機能が、今日の複雑な多段攻撃に対して、より強力な保護を提供します。 相関攻撃検証 による的確な保護により、お客様のサイトへのアクセスを保証しながらも、攻撃者はブロックします。

      主な機能

      • アプリケーション学習機能が、匿名の挙動と攻撃の危険性を特定

        Imperva SecureSphere は、様々なアーキテクチャを統合しており、負荷の高い手動のチューニングをしなくても的確に攻撃を防御します。 SecureSphereは、ホワイト・リストとブラック・リストの両方のセキュリティ・モデルを統合しています。 2 つのセキュリティ・モデルを活用した堅牢なアルゴリズムにより、高度な攻撃でも特定し、阻止します。

        Imperva の動的ホワイト・リストの中枢であるダイナミック・プロファイリング技術 を活用して、SecureSphere はアプリケーションまたはデータベースの使用状況の変化を検知します。 ホワイト・リストには、ネットワーク・ファイアウォール・ホワイト・リスト、HTTP および SQL プロトコル・チェックも含まれています。 これらリストにより、有効なネットワーク IP アドレスからアプリケーションおよびデータベース操作にいたるまで、正常な挙動の全体像を把握できます

      • 高度なシグニチャ解析により強力なデータ・セキュリティを実現

        SecureSphere は攻撃の深刻度と、誤検出の可能性を基に攻撃シグニチャを分類します。 攻撃シグニチャに誤検出の可能性が高い場合は、シグニチャを含む HTTP リクエストをブロックするのではなく、アラートを発信するように設定可能です。 またHTTP Smuggling 攻撃の場合は、SecureSphere は複数の Content-Length フィールドを含む HTTP リクエストを検知し、この情報を攻撃シグニチャと相関し、的確に攻撃を特定し、ブロックします。 これらデータ・セキュリティ・レイヤーを組み合わせることで、重要なデータベースやアプリケーションを強固に保護します。

        SecureSphere の 相関攻撃検証 は、複数のイベントを相関分析することで、高度な攻撃を的確に特定し、阻止します。

      • 多段にわたる分析により、正確な意思決定を実現

        Imperva 独自の 相関分析検証 は、ネットワーク、プロトコル、およびアプリケーション・レベルの、即時および一定期間にわたる複数の情報を精査し、攻撃と正当なユーザー・トラフィックを区別します。 1 つのイベントではなく、複数の監視結果を基に意思決定することで、相関攻撃検証 は、アプリケーション攻撃および悪用に対し、高い精度を保持し、完全に自動化された防御システムを提供します。

      • Web アプリケーションやデータベース・セキュリティを導入するにあたり、主な障害となるのは、アプリケーション構造、予想されるユーザー挙動、許容可能な SQL クエリなどを含むセキュリティ・ポリシーの定義です。 アプリケーションやデータベースの動的な性質と保護対象となる要素の多さから、高度に統制された組織でも、データ・セキュリティを管理することは容易ではありません。画期的なImperva のダイナミック・プロファイリング技術 により、実際のアプリケーションやデータベースの挙動を基にセキュリティ・ポリシーを作成できます。

        ダイナミック・プロファイリングは、攻撃の可能性がある挙動、予想範囲を超える不審な挙動を検知することにより、セキュリティを強化します。 ダイナミック・プロファイリング違反を、SQL インジェクションや XSS キーワードまたは HTTP プロトコル違反などの他の攻撃兆候と相関検証することで、SecureSphere は高度な攻撃を的確に特定します。

      主な機能

      • 容易なポリシー設定

        Imperva のダイナミック・プロファイリング技術は、ポリシーの作成と管理を簡易化します。 ダイナミック・プロファイリング は自動的にアプリケーションおよびデータベースのトラフィックを検査し、アプリケーションやデータベースの構造と動態を学習します。 このプロファイルは関係者やセキュリティ担当者によって閲覧可能で、実際の使用状況と企業のセキュリティ・ポリシーの間のギャップを手動で修正し、補完可能です。

        ダイナミック・プロファイリング は、膨大なセキュリティ・ポリシーの手作業による作成と維持という、データ・セキュリティ・ソリューションを実装する上での最大の障害を解決します。 データ・セキュリティを実装するには、URL、パラメータ、クッキー、クエリ、コマンド、ストアド・プロシージャといった、常に変化する大量の変数を理解する必要があります。 ダイナミック・プロファイリングは、アプリケーションやデータベース要素すべてのプロファイルを自動的に作成し、許容可能なユーザー挙動の基準値を構築します。 正確なプロファイルやアプリケーションおよびデータベースの使用状況の「ホワイト・リスト」を作成することで、ダイナミック・プロファイリング は、手動での設定やチューニングを必要とせずに、監視およびセキュリティ・ポリシーの設定を効率的に行うことができます。 ダイナミック・プロファイリングにより、SecureSphere が瞬時に、お客様のデータを保護します

      • セキュリティ効果の最大化

        Web アプリケーションとデータベースは動的であるため、データ・セキュリティ・ソリューションは、これらの変更に継続的に対応する必要があります。ダイナミック・プロファイリングは、正当なユーザー挙動のプロファイルを構築するだけでなく、有効なアプリケーションやデータベースに対する変更も自動的に認識します。 SecureSphere は、アプリケーションおよびデータベースの変更に従って、プロファイルを自動的に更新し、セキュリティ・ポリシーを最新の状態に維持します。

        ダイナミック・プロファイリング は、初期設定時だけでなく、その後も永続的にセキュリティ設定を完全自動化します。

      • カスタム・ポリシーの有効化

        ダイナミック・プロファイリングは、保護下の Web およびデータベース・リソースのプロファイルの構築や変更を自動的に検知しますが、挙動プロファイルを手動で変更することも可能です。 SecureSphere に搭載されているプロファイルのすべてが、カスタマイズ可能です。 必要であらば、SecureSphere 管理インターフェイスを通して、プロファイルを完全に手動で設定することも可能です。

        ポリシー設定の効率化に加え、SecureSphere では、セキュリティ管理者がアプリケーションやデータベース・トラフィックの特性に関するカスタム・セキュリティ・ポリシーを定義することも可能です。 精度の細かいカスタム・ルールによって 、Web やデータベースの複数の属性を評価することで、プロファイル・ルールのみの場合と比較して、より強力な制御と拡張性を提供できます。 たとえば、カスタム Web アプリケーション・ルールは、プロファイル違反、HTTP ヘッダー・オプション、IP ソース・アドレス、リクエストされた URL、特定の攻撃シグニチャを検索することができます。 20を超える照合基準により、セキュリティ管理者は、効果的で高精度なセキュリティ・ポリシーを構築できます。

        SecureSphere のダイナミック・プロファイリング技術は、ポリシー設定、挙動における変化の検知、自動且つ的確なデータ・セキュリティのための柔軟なカスタム・ポリシー定義を容易にします。

      • パフォーマンスとアップタイムは、あらゆるセキュリティ・ソリューションにとって重要です。 組織はデータ資産の保護と、既存ネットワーク環境の維持、エンド・ユーザーに快適なWeb環境を提供するかの間で、選択を迫られる必要はありません。

        Imperva が開発した Transparent Inspection は、接続を終端したり、代理する必要なく、アプリケーション層のセキュリティを透過的に提供します。 この画期的な技術はネットワークに変更を加えることなく、数ギガビット単位のパフォーマンス、ミリ秒未満のレーテンシー、高可用性オプションを提供し、最も厳しい要件のデータ・センターにも対応可能で、TCOコストを削減できます。

      主な機能

      • 高性能、低いレーテンシー

        Transparent Inspection アーキテクチャを採用する SecureSphere は、ミリ秒未満のパケット・レーテンシーを維持しながら、ギガビット単位のスループットを提供し、1 秒当たり何万というトランザクションを処理します。 多くのお客様にとって単一のSecureSphereアプライアンスでも十分ですが、管理サーバーから複数のゲートウェイを管理可能なため、大企業の要件にも適合できるよう拡張できます。

      • 柔軟な導入

        Transparent Inspection エンジンは、第 2 層でパケットを傍受し、接続を終了することなく Web および SQL トランザクションを再構築します。 このアーキテクチャを採用しているため、SecureSphere は導入において柔軟に対応可能です:

        • 透過型ブリッジ
        • 非インライン型モニター
        • リバース・プロキシ
        • 透過プロキシ

        SecureSphereの柔軟な導入オプションにより、ネットワーク・ルーター、ロード・バランサー、サーバーを含め、既存のネットワーク・アーキテクチャを変更する必要はありません。

      • アプリケーションやデータベース・インフラストラクチャへの変更は不要

        ネットワーク・トラフィックは変更を加えられないまま SecureSphere を通過するため、SecureSphere は、エンドユーザー、アプリケーション、データベース、ファイル・サーバーにとって透過的です。 SecureSphere をお客様の環境下に展開するだけで、最適化されたアプリケーションやデータベースに変更を加える必要はありません。 Imperva の Transparent Inspection 技術を活用して、SecureSphere は最小限の変更で最高のデータ・セキュリティを提供します。

        SecureSphere はネットワーク上の他のデバイスにとっても透過的であるため、統合型のフェイル・オープン・ネットワーク・インターフェイスを通しても高可用性を実現します。 停電、ハードウェアまたはソフトウェア障害が発生した場合は、フェイル・オープン・インターフェイスが自動的に接続を転送するため、クライアント、Web、データベースやファイル・サーバー間の通信が中断されることはありません。

    • 主な機能

      • データベース監査のためのアカウンタビリティ(説明責任)要件

        あらゆる監査プロセスの主な要件の 1 つは、適切なアカウンタビリティ(説明責任)を立証することです。 しかし、Oracle E-Business Suite、SAP、PeopleSoft、およびカスタム Web アプリケーションのような今日の複雑な多階層でのアプリケーションでは、ユーザーとデータの間の交信を追跡することはほぼ不可能です。 アカウンタビリティ(説明責任)を立証できないことにより、組織が監査に合格できず、その結果、規制違反の罰金を支払わなければならないことがよくあります。 SecureSphere の Universal User Tracking 機能により、複雑な環境下でも、ユーザーとその挙動を関連づけることで、監査に合格し、規制違反への罰金を回避できます。

      • 従来のデータ監査ソリューションは完全なアカウンタビリティ(説明責任)を提供しません

        多くの場合、ユーザーがアプリケーションを通してデータベースにアクセスすると、接続は、データベースへの単一の接続としてアプリケーション・サーバーによってプールされます。 従来のデータベース監査システムでは、アプリケーションのログイン名しか記録されないため、特定のユーザーとデータベース挙動を継続的に関連づけることができません。 SecureSphere は、アプリケーションへのログインではなく、各ユーザー接続を個別に追跡するため、完全なデータベース監査に対するアカウンタビリティ(説明責任)が提供されます。

        多くの場合、ネイティブのデータベース監査ログには、実際のアプリケーション・ユーザー名ではなく、アプリケーション・サーバーの名前が記録されています

      • Universal User Tracking が要件に適合

        Universal User Tracking には、複数の追跡メカニズムが統合されており、接続プール環境であっても、すべてのデータベース・トランザクションについて、アカウンタビリティ(説明責任)を持つエンド・ユーザーが特定できます。 Universal User Trackingには以下の方法が含まれます:

        • Web アプリケーション・ユーザー・トラッキング
        • Web からデータベースへのユーザー・トラッキング
        • SQL 接続ユーザー・トラッキング
        • ダイレクト・ユーザー・トラッキング

        これら 4 つの追跡方法により、 SecureSphere は、データベースへの接続方法に関わらずエンド・ユーザーを監査できるため、完全なアカウンタビリティ(説明責任)を実現できます。 エンド・ユーザーを追跡することで、SecureSphere はデータベース・セキュリティ・アラート、監査ログ、およびレポートにユーザー ID を表示可能です。 また、ユーザー ID によってアクセスを制限するデータベース・セキュリティ・ポリシーを作成することもできます。Universal User Tracking機能 は、データベースの使用状況に対する可視性と、精度の高いセキュリティ統制、および厳しい規制要件への準拠をサポートします。

        より徹底したデータベース監査によって、組織はPCI DSSなどの規制に対するデータ・コンプライアンスを達成できます。

        Universal User Tracking の方法の 1 つである、Web からデータベースへのユーザー・トラッキングでは、アプリケーション・サーバーが単一のデータベース接続プールを利用する場合でも、アカウンタビリティ(説明責任)情報を提供します。