今さら聞けない「ロードバランサの基本」 (8) 次世代IPSとADCの連携は"可視化/自動化"で管理者の泣き所を解決

具体的な仕組みはこうだ。Cisco Sourcefireはパケットのヘッダやデータフィールドを含めて分析し、どのようなホストOS上でどのようなアプリケーションがバックエンドで稼働しているのかを学習する。例えばLinux OS上にApacheを使ったアプリケーションが稼働していると判断された場合、Cisco Sourcefireは必要とされないWindows OS関連のシグネチャをパターンマッチングの対象から自動的に外すのだ。
こうしてユーザーのアプリケーション環境にとって不要なシグネチャをどんどん外していけば、そのぶん誤検知の確率は下がり、さらにシグネチャマッチングの処理量を削減できるので性能も向上する。また、管理者が自社には関係のないイベントを分析するといった無駄な手間を削減することにも役立つ。こうした仕組みによって、従来のIPSには付き物であった運用上の泣き所を取り除くことを狙っているのだ。

Cisco Sourcefireではさらに、シグネチャもクラウドの仕組みを通じて自動的に更新される。世界中で発生しているインシデントを分析して検出された新たな脅威情報は、自動的にシスコシステムズが運営するクラウド上にアップロードされる。