 |
IPS(不正侵入防御システム)を知る[後編]
IPSを実装する場所と考慮すべき点
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
エグゼクティブ・セキュリティ・エンジニア
営業企画部 テクニカルソリューション課マネージャ
2005/5/20
 |
脆弱性シグネチャという考え方 |
Virtual Patchを実現するためには、保護対象の持つ脆弱点と、IPSが持つ保護シグネチャが対応していることが重要だ。そうでなければ「脆弱点を仮想的に保護している」と説明することはできない。このような考え方の保護シグネチャを「脆弱性シグネチャ」と呼ぶ。これに対するシグネチャは「攻撃シグネチャ」だ。
脆弱性シグネチャとは、バッファオーバーフローの境界条件のような、実際に脆弱点が悪用される条件を基に検知・防御するタイプのシグネチャだ。従って多数の亜種が存在するワームも1つのシグネチャで防御可能になる。また脆弱点が判明した時点で対応可能なため、実際にワームなどの脅威が発生する前に防御態勢を整えることが可能だ。
攻撃シグネチャとは、攻撃プログラムやワームの攻撃パターンを基に検知するタイプのシグネチャである。そのため攻撃パターンが異なる亜種などが発生した場合、それごとのシグネチャが必要になる。また攻撃が出現しないとシグネチャを作成できないため、現状主流のアンチウイルスと同じような、時間との闘いになってしまう。
では少し具体的に違いを確認してみよう。MS04-011の脆弱点を悪用するワームとしてSasserとKorgoを挙げることができる。この2つは同じ脆弱点を悪用するという意味では単なる亜種にすぎないが、技術的には面白い点がある。
Sasserは日本時間で2004年5月1日、Korgoは5月23日に発見されている。実はこの2つはMS04-011の脆弱点を攻撃する際に異なる通信を利用している。Sasserはターゲットとの通信の際に、SMBの上位プロトコルであるSMB PIPEプロトコル、つまりLSARpc名前付きPIPEを使用している。KorgoはPIPEを使用せず、SMBのWrite AndX リクエストを使用してターゲットと通信を行っている。MS04-011の脆弱点を悪用するには、さらに上位層であるMicrosoft独自通信で利用される情報を操作する必要があるが、その下位層の通信手法には幅があるのだ。
 |
| 図3 SasserとKorgoの違い (2005、インターネット セキュリティ システムズ株式会社) |
攻撃シグネチャでは、このように悪用の手法が異なる場合、個別にシグネチャが必要となってしまう。一方、脆弱性シグネチャでは、LSASS.DLLの脆弱点を悪用する手法、もっと具体的にいえばバッファオーバーフローの境界条件で検知・防御することができるため、SasserもKorgoも関係ないのである。いくらワームや攻撃プログラムから脆弱点を悪用するための条件を取り出そうと試みても、それは攻撃解析にすぎず、脆弱点の把握にはならないことに注意する必要がある。
|
サーバ保護のために |
IPSは、単純にワームや攻撃プログラムが送り込むパケットをひたすらたたき落とせばいいのではないか、という誤解を受けることがある。前回の記事にも書いたように、それだけでは技術的に正しく防御できないうえ、単なる攻撃対応になり、本当にサーバを保護することにはならない。
またサーバに存在する脆弱点を把握することは非常に重要だ。しかし脆弱性監査ツールの結果は、脆弱点の有無とパッチを当てろ、ということを説明するための長々とした技術的な読み物になってしまっている。多くの企業では、これだけで手いっぱいになってしまい、脆弱性監査結果を実際の保護活動に生かしきれないでいる。分厚いレポートによって得られた答えが「パッチを当てろ」だけでは、実際には何もできないのは当たり前だろう。
脆弱性シグネチャに基づくIPSが提供するVirtual Patchと、脆弱性診断結果を組み合わせることで、脆弱性がIPSで保護できるかどうか、確実に判断することができる。筆者はこのような考え方を「脆弱性マッピング」と呼び、IPS導入により期待される保護効果と、導入後の機器導入効果評価に利用するよう、提案している。この考え方は攻撃シグネチャで対応しているIPSでは、全く成り立たない。
とにかくIPSを設置すればサーバを保護できる、という単純な考え方では、多くの企業が持つ疑問には答えられない。インターネット接続点に設置する場合に比べ、「サーバを保護する」という目的は、より重要であり、厳密性を求められるだろう。「なぜ脆弱点を保護できるといえるのか? その判断基準は?」、「保護できているという効果をアウトプットとして得るには?」などのような疑問に答えられなければならない。
 |
2/4 |
|
| Index | |
| IPSを実装する場所と考慮すべき点 | |
| Page1 パッチ適用が不可能なサーバの保護 |
|
 |
Page2 脆弱性シグネチャという考え方 サーバ保護のために |
| Page3 ネットワーク内での脅威の拡散防止 脅威の方向をイメージせよ |
|
| Page4 フェイルセーフという考え方 さらなる考慮点 |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
||
|
||
|
注目のテーマ
Security & Trust 記事ランキング
- 攻撃者が"低リスクモデル"へ転換 IBMのセキュリティレポートから最新の動向を探る
- Windows OSやMicrosoft Officeが「緊急」 Microsoftが2025年5月の月例セキュリティ更新プログラムを公開
- Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表 どう役立つのか
- 生成AI活用におけるデータベース管理はどうあるべきか――PostgreSQLをけん引するEnterpriseDBに聞く
- ゼロトラスト戦略の“盲点”? ガートナージャパンが生成AI、AIエージェント全盛時代のセキュリティに警鐘
- Fortinet、「FortiGate」用OS「FortiOS 7.6.3」からSSL VPNトンネルモードのサポートを終了へ
- AI/MLツールへの送信データ量は合計3624TBに ゼットスケーラーがAIセキュリティレポートを公開
- Fortinet、「FortiGate」用OS「FortiOS 7.6.3」からSSL VPNトンネルモードのサポートを終了へ
- 攻撃者が真正面から狙う「あのファイル」 Web管理者が今すぐ確認すべき設定とは
- Windows OSやMicrosoft Officeが「緊急」 Microsoftが2025年5月の月例セキュリティ更新プログラムを公開
- ゼロトラスト戦略の“盲点”? ガートナージャパンが生成AI、AIエージェント全盛時代のセキュリティに警鐘
- 気付かないうちに忍び寄る“透明な脅威” ポリグロット手法についてKasperskyが解説
- 「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- 年3回? 4回? 標的型攻撃メール訓練の効果を最大化する「黄金ルール」とは LRMが調査
- 無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材 IPAが公開
- AIとセキュリティの「4つの指針」が導く次世代防御戦略 ガートナーが解説
転職/派遣情報を探す
