第2回 今そこにある“機器”、最新技術を追う
乙部幸一朗
パロアルトネットワークス合同会社
技術本部長
2011/6/29
新しいアプリと脅威に対するファイアウォールの有効性
では、これらのファイアウォールによる防御が、今日の新しいアプリケーションと脅威に対してどのぐらい有効に機能するかという点を見ていこう。
前回述べたとおり、最近の企業ネットワークを取り巻くアプリケーションや脅威は、ポート番号やプロトコルを自在に変化させながら動作する。このため、アドレス・ポート番号・プロトコルといった限られた情報だけを基に動作しているパケットフィルタ型やステートフルパケットインスペクション型の場合には、これらの通信を区別できない。例えば、本来とは別のポート番号上でアプリケーションを動作させることにより、セキュリティ上の抜け道ができてしまう。
アプリケーションゲートウェイ型の場合には、ポート番号が同じでもプロトコルレベルでの検査が行えるため、例えばTCP 80番ポートを流れるパケットが、正規のHTTPのプロトコルを利用した通信であるかどうかの検査を行うことができる。これによって、開放したポート上で予期していないプロトコルの通信が流れるという事態は防ぐことができる。
ただし、実際には多くのアプリケーションが正規のHTTPパケットを利用しており、またSSLのように暗号化された通信であれば中身を見られることなく通過してしまう。この場合には、アプリケーションゲートウェイ型の場合でも通り抜けられてしまうことになる。
上記のような理由から、最近ではアプリケーションインスペクション型の次世代ファイアウォールに注目が集まっている。このタイプのファイアウォールの場合、ポート番号やプロトコルといった情報に依存せずにアプリケーションの識別を行うので、どのようなポート番号でも、また例えばHTTPでカプセル化されて別のプロトコルがトンネルされているような場合でも、中身のアプリケーションを特定できる。
例えば暗号化されたSSL通信であっても、サーバ証明書に含まれるCommon Name(CN)の情報などを基にアプリケーションを特定したり、製品によってはSSL暗号通信を復号したりする機能を持つものも存在する。そのため、他のタイプのファイアウォールと違い、アプリケーション単位できめ細かい分類と制御が可能になっている。
ただ課題として、対応しているアプリケーション数が少ない点が挙げられる。また、アプリケーション側もバージョンアップなどで動作仕様を変更する場合があるため、メーカー側でもリアルタイムでの対応が必要となる。
文字通り“攻撃を防ぐ”IPS
商用ファイアウォールが登場し始めた1980年代後半ごろ、ホストに対するアクセスの追跡調査を行うという観点から、IDS(Intrusion Detection System)という製品が生まれた。
当初はユーザーのアクセス統計情報から異常を見つけるというホスト型のIDSが主流であったが、その後、ネットワーク型で通信を検査する製品が生まれ、さらに検知だけでなく遮断もできるIPS(Intrusion Prevention System)へと形を変えていった。IPSとはその名前のとおり「不正な侵入を防ぐ」ための製品である。
| 【関連記事】 5分で絶対に分かるIDS http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html |
ネットワーク型で動作するIPSは、ファイアウォールを通り抜けてしまった“攻撃”を防ぐために、ファイアウォールの補完的な位置付けで導入される場合が多い。最近ではUTM(統合脅威管理)と呼ばれ、ファイアウォールの上に別の複数のセキュリティエンジンを搭載している製品も存在する。このような製品の場合、ファイアウォールとIPSのエンジンを搭載しているので、両方の機能を1台で実現できる。
ネットワーク型IPSを大別すると、一般的には下記の2つの検知手法を組み合わせて、対象とする脅威の通信を検出している。
■シグネチャ検知
通信パケットのペイロード部分に特定の攻撃パターン(不正スクリプト)に該当する文字列が含まれていないかを検査することによって、不正な通信を見つけ出すという手法。
例えば、scriptタグを使ったクロスサイトスクリプティング攻撃を止めたい場合、IPS上ではHTTPのPOST通信の中に<script>という文字列が含まれていないかチェックする検査パターン(シグネチャ)を追加する。これにより、不正なタグの埋め込みを検知およびブロックできる。
当然、日々新しい脆弱性やそれを突いた攻撃手法が発見されているため、IPSを提供しているメーカーは、常に最新の攻撃手法を調査し、新しいシグネチャを提供し続けている。
シグネチャのマッチングを行う場合、パケットの到達順の入れ替わりや複数パケットにまたがるパターンでも検知できるように、ステートフルにパケットデータと照合していくのが一般的だ。このとき、単純にパケットペイロードに対して全照合を掛けるのではなく、最近ではプロトコルデコードと呼ばれる分析処理によって、利用されているプロトコル内のエレメントを抜き出し、適切なシグネチャと照合していくことで処理の高速化と誤検知の発生を抑える方法が利用されている。
■アノーマリ/振る舞い検知
通信パケットの特徴の中からアノーマリ(異常)を見つけ出すという手法。シグネチャ検知のように特定の攻撃パターンに引っかからないケースであっても、通信を検出できるという特徴がある。
一口に異常といっても、その内容にはさまざまなものがあり、例えばトラフィックレベルでの異常(例:多くのSYNが一度に送信されている)、プロトコルレベルでの異常(例:HTTPだがRFCに準拠した正しいプロトコルのメッセージフォーマットを使っていない)、アプリケーションレベルでの異常(例:HTTPでRFCには準拠しているが、異常な長さのURLが含まれている)といった観点からアノーマリを見つけていくことになる。
また、継続的にトラフィックパターンの学習を行いながら異常な通信を見つけるといった機能を持つ製品もある。特定の決まったパターンで検出するのではなく、通信の振る舞いやしきい値をベースとした検出となるため、誤検知が発生しやすいという特徴がある。
今日のアプリと脅威に対するIPSの有効性
では今度は、IPSによる防御が、今日の新しいアプリケーションと脅威に対してどのくらい有効に機能するかという点を見ていこう。
先に述べたとおり、IPSはそもそも「不正な侵入を防ぐ」ための製品であったが、最近では脆弱性攻撃のような分かりやすい脅威だけでなく、アプリケーションの検知にも対応する製品が増えている。
現在市場にあるIPS製品の多くは先に述べた2つの検知手法を使って、新しいアプリケーションの検知にも対応してきているため、仮にこれらの通信がファイアウォールを通り抜けてしまってもIPSでブロックできる。
またIPS製品は、元来このような攻撃を秘匿する手法に対応するよう設計されている。従って、アプリケーションインスペクション型のファイアウォールで紹介したようなSSL通信の復号化はもちろん、GREや、IPv6トンネリングの1種であるISATAPといったトンネルされた通信内を検査する機能を兼ね備えているものが多い(図5)。この場合にはトンネル内に埋もれたアプリケーションを検知できるというメリットがある。
 |
| 図5 暗号化通信やトンネルされた通信の検査が可能な製品も |
ただ課題もある。そもそも、IPSではファイアウォールが標準的に提供しているダイナミックルーティング、NATやVPNといった基本機能に対応していない製品がほとんどだ。このため、IPSはファイアウォールを別途導入することを前提としており、その分、コストは増えてしまう。
またIPSは製品の特性上、パフォーマンスの低下や誤検知を考慮して、管理者がシグネチャやアノーマリのパラメータをチューニングできるようになっている。このため、完全に製品を機能させながら自社で運用できる企業は少なく、外部会社にIPSの運用を任せるケースが多い。当然、このアウトソースに関わる部分も運用コストとして重くのしかかってくる。
ファイアウォール vs IPS、本命は?
ここまで紹介してきたように、ファイアウォールでもIPSと同じようにディープパケットインスペクション(DPI)の技術を駆使してアプリケーションを識別できるものまで登場してきた。新しいアプリケーションに対応するために、セキュリティ製品の側も進化していることが分かる。
本来、ファイアウォールの穴を通り抜けてきた“攻撃”を防ぐことを目的として別製品として生まれたIPSだが、最近はファイアウォールにIPSの機能を統合しているUTMのような製品も多く登場してきた。この観点からいうと、2つの製品の技術的な境界はなくなりつつあるといえる。ただ、アプリケーション通信を検知・制御する仕組みから考えると、この2つの製品には大きな違いがある。
次回では、実際にアプリケーション通信をファイアウォールやIPSで検知・制御する際の技術的な仕組みの違いを含めて、どちらが現代のアプリケーションセキュリティの本命としてふさわしいのか、もう少し踏み込んで比較していきたいと思う。
 |
2/2 |
| Index | |
| 今そこにある“機器”、最新技術を追う | |
| Page1 典型的なセキュリティ機器は新たな脅威にどう対応? 「火を防ぐ壁」という名を冠するファイアウォール |
|
 |
Page2 新しいアプリと脅威に対するファイアウォールの有効性 文字通り“攻撃を防ぐ”IPS 今日のアプリと脅威に対するIPSの有効性 ファイアウォール vs IPS、本命は? |
 |
ソーシャルアプリ時代のセキュリティ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
