 |
IPS(不正侵入防御システム)を知る[後編]
IPSを実装する場所と考慮すべき点
小倉 秀敏(おぐら ひでとし)インターネット セキュリティ システムズ株式会社
エグゼクティブ・セキュリティ・エンジニア
営業企画部 テクニカルソリューション課マネージャ
2005/5/20
 |
ネットワーク内での脅威の拡散防止 |
この目的でIPSの実装場所を考える前に、企業のネットワークモデルを考えておかなければならない。ネットワークモデルを用いることは、IPSを効果的に設置するためには非常に重要な点だ。
 |
| 図4 企業のネットワークモデル (2005、インターネット セキュリティ システムズ株式会社) |
図4のモデルでは、あえてセキュリティ的に強固だと考えられがちなネットワークを採用している。ここでのポイントは以下の2つだ。
- 閉域網で拠点間が接続されている
- インターネット接続点は1つに絞られている
複数の拠点とビジネスパートナーを、IP-VPNや広域イーサネットもしくはインターネットVPNなどの閉域網技術で接続し、通信を他者から秘匿している。もちろん現実的にはインターネットVPNのように暗号技術に頼るもの、IP-VPN、特にMPLSを使ったIP-VPNのようにタグ付きルーティングに頼るものなど、実装技術はさまざまだが、他者から通信を秘匿する、という目的は同じだ。
そしてインターネットとの接続点は1点に絞られ、IDS、ファイアウォール、ウイルス対策などがそこに設置される。場合によってはURLフィルタ、スパムフィルタなどのコンテンツセキュリティ系の装置やソフトウェアも設置されていることだろう。
このようなネットワーク構成の場合、数年前までなら、セキュリティベンダやコンサルタントは、「そうはいっても管理されていないインターネット接続が存在する可能性はありませんか」などと話をしていた。多くの企業において、拠点が独自にインターネット接続を保有しているケースがよく見られていたことも事実だ。しかし現在は、複数のインターネット接続点を網の中に設置することはまずあり得ない。これは俗に「足回り」といわれる通信経路のコストが劇的に低下したことが大きな要因だ。
このようなネットワークを持っている企業のセキュリティ意識は低いわけがなく、彼ら自身もそれを意識している。「うちは閉域網を使っているし、インターネット接続も1カ所だよ。そこにはIDSも入っているから大丈夫」。筆者自身そんな言葉を何回となく耳にしてきた。しかし脅威がどこから来るのか、正しく理解していないために出た発言といえるだろう。
|
脅威の方向をイメージせよ |
IDSは伝統的にゲートウェイに設置されてきた。それはファイアウォールやゲートウェイ型ウイルス対策と同じ考え方を基本にしているからだ。脅威は外から来るのだ、という考え方だ。
事実、数年前までは確かにそのとおりだった。しかしネットワークを活用する企業活動の変化とワームの出現が状況を一変させてしまった。今日では、脅威が外からしか来ないという考えは幻想にすぎないことが多くの人々に理解されているが、いまだにその考え方にとらわれている企業や組織が存在することも、残念ながらまた事実だ。
先に説明したような閉域網で相互接続されたネットワークモデルにおいて、閉域網だから大丈夫と安心している。そもそも閉域網がどんな脅威に対する技術なのか、正しく理解していないこともその要因の1つなのだが、脅威がどこから来るのかを理解していないことが誤解を招く最も大きな要因だろう。
では企業のネットワークにとって、脅威はどこから来るのか、簡単にまとめてみた。筆者は大まかに以下の5つを取り上げている。
- 外部から
インターネット接続点から入り込んでくる脅威。一般的なWebサーバやWebアプリケーションへの攻撃のほとんどは外部から実施される。
- 外部から脅威が内部に持ち込まれる
契約社員などが外部より持ち込んだ自社管理外のノートPCなどにワームやウイルスが存在し、それがネットワークに接続されたときにばらまかれるケース。MS-Blastワームの際に実際にあった話として、サーバのメンテナンス会社スタッフがメンテナンス用に持ち込んだノートPCがBlastワームに感染していて、接続された途端サーバルームからワーム感染が広がったケースがあった。
- 内部から外部の脅威を呼び込む
以前は受動的攻撃と呼ばれていたもの。バックドア、ワーム、キーロガーなどの不正プログラムを仕込まれたWebページなどを参照した結果、ネットワーク内に持ち込んでしまうケース。最近ではキーロガーなどが仕込まれたBlogサイトが数多く発見され、話題になった。Nimdaワームは、攻撃したWebサーバ内のページの最後に、そのWebサイトを訪れたブラウザがNimdaワーム自体をダウンロードするようスクリプトを追加していた。
- 内部から内部
組織内部の人間が自社のシステムに対して攻撃するケース。情報漏えいはこのパターンで起こることが多い。筆者が目にしたよくあるパターンは、セキュリティに興味がある自社社員が興味本位でスキャンなどを実施しているもの。インターネット上には無償のツールが非常に多く存在する。聞きかじりの中途半端なセキュリティ技術を持つ人間が興味を持つ場合が多い。
- 内部から外部に移動後脅威を呼び込む
MS-BlastやSQL Slammerといったワームがネットワーク内に持ち込まれたのは、このケースが非常に多い。2003年8月にBlastワームに感染してしまった世田谷区役所もこのケースだ。仕事熱心な人間が会社のノートPCを自宅に持ち帰り、そこで感染したウイルスなどの脅威を社内に呼び込んでしまったという企業が非常に多かった。
 |
| 図5 脅威の方向 (2005、インターネット セキュリティ システムズ株式会社) |
 |
3/4 |
|
| Index | |
| IPSを実装する場所と考慮すべき点 | |
| Page1 パッチ適用が不可能なサーバの保護 |
|
| Page2 脆弱性シグネチャという考え方 サーバ保護のために |
|
 |
Page3 ネットワーク内での脅威の拡散防止 脅威の方向をイメージせよ |
| Page4 フェイルセーフという考え方 さらなる考慮点 |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
