 |
IPS(不正侵入防御システム)を知る[後編]
IPSを実装する場所と考慮すべき点
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
エグゼクティブ・セキュリティ・エンジニア
営業企画部 テクニカルソリューション課マネージャ
2005/5/20
IPS(不正侵入防御システム)はIDS(不正侵入検知システム)とは異なり、もはやネットワークの境界部分に設置する装置ではない。LAN内部や閉域網内部、いわゆるイントラネット内に設置されるケースが、インターネット接続点に設置されるケースを上回っている。
今回はイントラネットに設置されるパターンのうちの主要な2つを挙げて説明しよう。1つはパッチ適用が不可能なサーバの保護、もう1つはネットワーク内での脅威の拡散防止である。いずれも筆者の経験に基づいている。
 |
パッチ適用が不可能なサーバの保護 |
パッチ適用が不可能という言葉にはいくつかの状況が含まれている。まずパッチがベンダから提供されないケースがある。現在のWindows NTのように、高価な契約を結ばない限りパッチが提供されないケースや、ベンダ自体が積極的に提供していないケースがある。そのほか、パッチは提供されているが、事実上適用できないケースも存在する。
サーバや各種機器を保護するための最良の手法は、ベンダからリリースされたセキュリティパッチを適用することだ、といわれている。その半面、セキュリティパッチを適切に適用するには、運用上の問題が大きいこともよく知られている。ここでは3つほど問題を取り上げてみた。
- パッチの評価期間と評価手順の確立は可能か
パッチ自体の評価期間、環境、(人的コストを含む)費用は十分かどうか。
- パッチ適用後障害が発生したらどうするのか
アプリケーションとパッチが競合を起こした場合、該当パッチの適用をあきらめなければならない。アプリケーションで問題が発生することを理解したうえでパッチ適用を強行するようなケースを、筆者は知らない。さらにそのような状況下において、ほかに保護するような代替策を取ることができるかどうか、という点が重要だ。
- パッチ適用の際の提供サービスへの影響はどうか
パッチ適用後、ホストもしくは該当サービスの再起動処理のため、短期間のシステム停止が発生する。この一時的なシステム停止が許容されたとしても、1カ月程度前の告知が必要なことがよくある。また万が一適用に失敗した場合、切り戻し作業などのため、停止期間が長くなる危険性がある。
このように考えると、セキュリティパッチがシステム運用と相反する性格を持っていることが分かる。このような問題を避けるためにIPSを利用しようとする動きがある。それはIPSを仮想的なパッチとして利用する、というものである(インターネットセキュリティシステムズでは、この仕組みをVirtual PatchTMと呼んでいる)。パッチ自体がセキュリティ対策の1つの方法にすぎないため、それに代わるより良い方法があれば、そちらを採用したくなるのは極めて自然といえる。
Virtual Patchとは、図1で示すように、サーバの前にIPSを設置し、脅威の侵入をIPSで取り除いてしまおうという考え方である。これにより、リスクの高いパッチ適用をサーバに対して実施しないような運用にすることが可能となる。
 |
| 図1 Virtual PatchTMの考え方 (2005、インターネット セキュリティ システムズ株式会社) |
だからといって、多くの管理者がそのままパッチを適用しないでサーバを利用し続けるわけではない。パッチ評価期間を確保できるだけでも、IPSの導入価値があると判断されることがほとんどだ。このような手法によるサーバ保護という考え方は、筆者の経験からいっても徐々に広がりつつある。
図2はある国内企業でのIPS実装例を簡単に図にしたものだ。この企業では、パッチの適用が実質的に不可能なサーバ群の保護と、ワームの拡大防止のために複数のIPSを導入している。このケースではIPSの設置場所は閉域網の内部であり、インターネット接続点ではない。このような閉域網内部の施策についてはこの後でまた詳しく説明する。
 |
図2 ある国内企業でのIPS実装例 |
1/4 |
|
| Index | |
| IPSを実装する場所と考慮すべき点 | |
 |
Page1 パッチ適用が不可能なサーバの保護 |
| Page2 脆弱性シグネチャという考え方 サーバ保護のために |
|
| Page3 ネットワーク内での脅威の拡散防止 脅威の方向をイメージせよ |
|
| Page4 フェイルセーフという考え方 さらなる考慮点 |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
