 |
IPSアプライアンスカタログ2005[前編]
セキュリティの次の一手となる不正侵入防御システム
岡田大助@IT編集部
2005/6/24
Security&TrustフォーラムとMaster of IP Networkフォーラムが共同で実施した最新の読者調査(2005年4月27日〜5月23日)によれば、2005年度の重点セキュリティ対策課題として「関係者による不正アクセス/漏えい」が筆頭に挙げられている(この調査は後日公開される予定)。また、ウイルスやワームの感染、外部からの不正アクセスにも依然として高い関心が寄せられていることも分かった。
2004年ごろから、日本のセキュリティ市場においてIPS(不正侵入防御システム:Intrusion Prevention System)に注目が集まっている。それまでの不正アクセス対策としては、ネットワークの境界部に設置するファイアウォールと不正侵入が発生したときに警告するIDS(不正侵入検知システム:Intrusion Detection System)を組み合わせて対抗していたが、いくつかの理由からIDSの限界が叫ばれていた。
今回から3回にわたって、日本国内で流通しているIPS製品を紹介する。なお、ファイアウォールやVPNゲートウェイにIPS機能を統合したオールインワンタイプの製品は対象外としている。その理由は、IPSの設置場所が必ずしもネットワークの境界部のみに限定されるものではないからだ。
 |
IDSの限界 |
IDSとIPSは共に不正アクセスを防ぐためのソリューションであるが、前者がその名前どおりに攻撃の検知しかしないのに対して、後者は防御までを行うのが決定的な違いである。
IDSの限界の1つとして、セキュリティ(もしくはネットワーク)管理者に高い専門知識とスキルを要求するという点が挙げられる。IDSはあらかじめ登録しておいた攻撃パターン(シグネチャ)と実際の攻撃をマッチングすることで攻撃を検知する。Snortのような代表的なIDSを運用する場合、管理者の前に最初に立ちはだかる壁がシグネチャを自らが管理するネットワークに最適にチューニングすることだといわれている。
また、ネットワークへの攻撃が多様化するにつれ、IDSが出力するアラートも増加した。Snortの作者であるマーティン・ロッシュ氏も言及している(ITmediaの記事)が、管理者は膨大なアラートの中から重要なものとそうでないものをかぎ分けるスキルも身に付けなくてはならない。
「誤検知(False Positive)」と「非検知(False Negative)」もしばしば問題視される。前者は攻撃でないものが攻撃として検知されるもので、後者は攻撃が見落とされてしまうものだ。シグネチャのチューニングスキルの問題ともいえるが、複雑になった企業ネットワークの構造に対応しきれないIDSの技術的な限界という側面も無視できない。
例えば、クライアントPCはWindows、サーバ群はLinux、それぞれのネットワークは別のセグメントに切り分けられている企業を考えてみる。Windowsの脆弱性を突いた攻撃がLinuxサーバしか存在しないネットワークを攻撃した場合でもIDSはそれを検知する。このWindowsの脆弱性そのものの危険度が高かったとしても、攻撃がLinuxを対象としているのであれば危険度は相対的に下がるにも関わらずだ。これをIDSで効果的に防ごうとするならば、それぞれのセグメントごとにチューニングした複数のIDSが必要となり、必ずしも管理者の負担減につながるとは限らない。
ワーム被害もIPSの普及のきっかけの1つとして挙げられる。企業のセキュリティ管理者は、これまでのような外から内への不正侵入だけを監視していればよい時代は終わった。これからは、内から外、内から内への不正侵入もリアルタイムで防御しなくてはならない。
|
IPS選定のポイント |
多くのIPSには、いくつかの運用モードが用意されておりIDSとして利用することも可能だ。だが、IPSの持つ防御機能を有効に生かすためには、インラインで設置する必要がある。ネットワークのボトルネックにならないようにスループットを念頭に置いておく必要がある。
ただし、「高速であればそれだけで問題がない」というものでもない。シグネチャによるパターンマッチング機能だけで防御すれば高速化することはたやすいが、それでIPSとして役割を十分に果たしているといえるだろうか。
多くのIPSはパターンマッチング機能に加えて、アノーマリ分析など未知の攻撃に対する機能も備えている。速度と防御能力のバランスが重要であり、IPSを設置するネットワークの特性に応じたものを導入したい。また、インラインで設置する以上、可用性・冗長性も考慮に入れておきたい。
IPSの攻撃検知技術はIDSで培われたものを引き継ぎつつ、より洗練されたものとなっている。基本となるシグネチャによるパターンマッチング技術にしても、シグネチャの書き方にベンダの特徴を発見できる。また、ゼロデイアタックなど未知の攻撃に対して効果的なアノーマリ分析にしても、統計異常、プロトコル異常、アプリケーション異常といったさまざまな方式が組み合わされている。
ファイアウォールと違って、IPSはネットワークの境界部に1つ設置すれば、それで完了というものではない。先述したように、内から内への攻撃も防がなくてはならないし、情報漏えい対策として用いるならばサーバファームの前に設置することもあるだろう。ネットワークの規模にもよるが、複数台のIPSの導入が望ましいため、それらを一元管理するマネジメント機能も選定のポイントの1つとなる。IPS導入のメリットの1つに管理者の負担減という面がある以上、運用のしやすさも考慮に入れたい。
基本的にIPSは、攻撃を検知しリアルタイムで適切な防御を実施する製品であり、基本思想においては各ベンダとも似たようなものを投入している。それ故、各製品の固有の特徴やベンダの戦略など、極力差別化できるポイントを中心にカタログを展開していく。
1/3 |
|
| Index | |
| セキュリティの次の一手となる不正侵入防御システム | |
 |
Page1 IDSの限界 IPS選定のポイント |
| Page2 Proventia G(ISS) |
|
| Page3 IntruShield(マカフィー) |
|
| 関連リンク | |
| IPSの実装方法と防御技術とは | |
| IPSを実装する場所と考慮すべき点 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
