IPS(不正侵入防御システム)を知る[前編]
IPSの実装方法と防御技術とは
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
営業企画部 テクニカルソリューション課マネージャ
(エグゼクティブ・セキュリティ・エンジニア)
2005/3/16
不正侵入対策としてIPSが注目を集めている。従来のIDSが攻撃を検知するものだったのに対して、IPSは一歩進んで攻撃を防御する。本記事は、IPSとは何か、IPSで何ができるのかという解説をお届けする(編集局)。
IDS(不正侵入検知システム)の限界 |
IPSとは、Intrusion Prevention/Protection Systemの略であり、不正侵入予防/保護システムのことである。IPSが生まれた背景には、IDS【注】の限界が挙げられるだろう。IDSとは、Intrusion Detection Systemの名前のとおり不正侵入「検知」システムであり、検知以上のことは何も行わない。
【注】 「5分で絶対に分かるIDS」を参照のこと http://www.atmarkit.co.jp/fsecurity/special/19fivemin/fivemin00.html |
しかし市販されているIDSの多くは、検知以上の機能として防御する機能を持っている。だが、IDSとしての防御形式には主に3つしか存在しない。
|
||||||||
IDSの防御機能 |
しかもこれらはいずれも完全であるとはいえない。速度が10Mbpsのネットワークでは十分対応できるだろう。しかし100Mbpsが当たり前、バックボーンはギガビットクラスの通信速度が当たり前の高速なネットワークでは、応答が間に合わず、防御できないのである。
いずれの防御方法においても、検知した攻撃そのもの、つまり最低1回はIDSをすり抜けてしまう危険性が高い。具体的にいえば、SQL Slammerのようなポートスキャンなどの動作が存在せず、セッションレスで、かつ1パケットで感染可能なワームの場合、いずれの防御方法でも完全に防御することはできない。IDSの防御技術は、ネットワークの速度と攻撃手法の発展についていけなくなっている、といっても過言ではない。
IPSが生まれた背景には、IDSの技術的限界だけが存在するのではない。IDSが広く利用されるようになった結果、「検知後の対応は人手で行わなければならない」という点が敬遠され始めたのだ。
IDSは当初セキュリティ・エリートと呼ばれる、一部の先進的な企業だけで利用されていた。そのような企業ではもともとセキュリティ意識が高く、技術だけではなくそれを運用する人的リソースの確保がしっかり行われていた。
IDSの知名度が上がるにつれ、そのほかの一般的な企業においても利用が増加していった。しかし多くの企業では、IDS技術を導入したがそのための人的リソースを追加投入することはなかった。IDSが発生する大量のアラートに対し、なすすべもなかった彼らは、一斉にIDSへの不満を口にすることになった。「検知するだけで防御してくれない」と……。
IPS製品の歴史 |
初めて製品として市場に送り出されたIPSは、Network ICEの「BlackICE Guard」である(Network ICEはInternet Security Systemsに買収され、その後Guardは販売停止になっている)。2001年にリリースされたGuardはソフトウェア製品であった。ソフトウェアでありながら、パフォーマンス維持のため、DELLとCOMPAQ(現HP)の特定のプラットフォーム上でしかサポートされていなかった。
続く2002年、OneSecure(NetScreenに買収され、その後NetScreen自体がJuniperに買収された)から「IDP(Intrusion Detection and Prevention)」アプライアンスがリリースされた。それ以降登場する主なIPSは、すべてアプライアンスとなった。その後、市場にはさまざまなIPSが発表され続けている。
IPSで何が変わったのか |
IPSという呼び名が知られるようになってから日がまだ浅いため、「何がIDSと異なっているのか」という疑問に対して、さまざまな説明がなされている。その一部には明らかに間違っているものさえ存在する。間違いの代表的例が「IPSだからIDSより誤検知が少ない」だ。しかしそれはIPSにするために必要条件であって、IPSを説明するものではない。
IPSを最も簡単に説明するとすれば、「IDSに防御機能を付加したもの」であるといえる。その防御機能は、IPSをインラインに実装して初めて有効に働くものがほとんどだ。
|
||||||||
IPSの防御機能 |
しかしこれは機能の概略を説明したものにすぎず、実現するには多くの技術的な問題を解決しなければならない。ここでは「実装方法」「防御技術」「検知技術」という3つの視点から説明する。
1/3 |
Index | |
IPSの実装方法と防御技術とは | |
Page1 IDS(不正侵入検知システム)の限界 IPS製品の歴史 IPSで何が変わったのか |
|
Page2 IPSの実装方法 -IPSの実装場所 IPSの防御技術 -正しく攻撃を排除できない -パフォーマンスへの悪影響 |
|
Page3 IPSの検知技術 -ステートフルなプロトコル分析とは -アノーマリ検知 -ヒューリスティックなビヘイビア検知 コラム:誤検知について |
関連リンク | |
IPSを実装する場所と考慮すべき点 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|