IPSアプライアンスカタログ2005[前編]

セキュリティの次の一手となる不正侵入防御システム

岡田大助
＠IT編集部
2005/6/24

---

　Security＆TrustフォーラムとMaster of IP Networkフォーラムが共同で実施した最新の読者調査（2005年4月27日～5月23日）によれば、2005年度の重点セキュリティ対策課題として「関係者による不正アクセス／漏えい」が筆頭に挙げられている（この調査は後日公開される予定）。また、ウイルスやワームの感染、外部からの不正アクセスにも依然として高い関心が寄せられていることも分かった。

　2004年ごろから、日本のセキュリティ市場においてIPS（不正侵入防御システム：Intrusion Prevention System）に注目が集まっている。それまでの不正アクセス対策としては、ネットワークの境界部に設置するファイアウォールと不正侵入が発生したときに警告するIDS（不正侵入検知システム：Intrusion Detection System）を組み合わせて対抗していたが、いくつかの理由からIDSの限界が叫ばれていた。

　今回から3回にわたって、日本国内で流通しているIPS製品を紹介する。なお、ファイアウォールやVPNゲートウェイにIPS機能を統合したオールインワンタイプの製品は対象外としている。その理由は、IPSの設置場所が必ずしもネットワークの境界部のみに限定されるものではないからだ。

IDSの限界

　IDSとIPSは共に不正アクセスを防ぐためのソリューションであるが、前者がその名前どおりに攻撃の検知しかしないのに対して、後者は防御までを行うのが決定的な違いである。

参考記事：5分で絶対に分かるIDS（侵入検知システム）

　IDSの限界の1つとして、セキュリティ（もしくはネットワーク）管理者に高い専門知識とスキルを要求するという点が挙げられる。IDSはあらかじめ登録しておいた攻撃パターン（シグネチャ）と実際の攻撃をマッチングすることで攻撃を検知する。Snortのような代表的なIDSを運用する場合、管理者の前に最初に立ちはだかる壁がシグネチャを自らが管理するネットワークに最適にチューニングすることだといわれている。

　また、ネットワークへの攻撃が多様化するにつれ、IDSが出力するアラートも増加した。Snortの作者であるマーティン・ロッシュ氏も言及している（ITmediaの記事）が、管理者は膨大なアラートの中から重要なものとそうでないものをかぎ分けるスキルも身に付けなくてはならない。

　「誤検知（False Positive）」と「非検知（False Negative）」もしばしば問題視される。前者は攻撃でないものが攻撃として検知されるもので、後者は攻撃が見落とされてしまうものだ。シグネチャのチューニングスキルの問題ともいえるが、複雑になった企業ネットワークの構造に対応しきれないIDSの技術的な限界という側面も無視できない。

参考記事：誤検知を減らすためのSnortチューニング

　例えば、クライアントPCはWindows、サーバ群はLinux、それぞれのネットワークは別のセグメントに切り分けられている企業を考えてみる。Windowsの脆弱性を突いた攻撃がLinuxサーバしか存在しないネットワークを攻撃した場合でもIDSはそれを検知する。このWindowsの脆弱性そのものの危険度が高かったとしても、攻撃がLinuxを対象としているのであれば危険度は相対的に下がるにも関わらずだ。これをIDSで効果的に防ごうとするならば、それぞれのセグメントごとにチューニングした複数のIDSが必要となり、必ずしも管理者の負担減につながるとは限らない。

　ワーム被害もIPSの普及のきっかけの1つとして挙げられる。企業のセキュリティ管理者は、これまでのような外から内への不正侵入だけを監視していればよい時代は終わった。これからは、内から外、内から内への不正侵入もリアルタイムで防御しなくてはならない。

IPS選定のポイント

　多くのIPSには、いくつかの運用モードが用意されておりIDSとして利用することも可能だ。だが、IPSの持つ防御機能を有効に生かすためには、インラインで設置する必要がある。ネットワークのボトルネックにならないようにスループットを念頭に置いておく必要がある。

　ただし、「高速であればそれだけで問題がない」というものでもない。シグネチャによるパターンマッチング機能だけで防御すれば高速化することはたやすいが、それでIPSとして役割を十分に果たしているといえるだろうか。

　多くのIPSはパターンマッチング機能に加えて、アノーマリ分析など未知の攻撃に対する機能も備えている。速度と防御能力のバランスが重要であり、IPSを設置するネットワークの特性に応じたものを導入したい。また、インラインで設置する以上、可用性・冗長性も考慮に入れておきたい。

　IPSの攻撃検知技術はIDSで培われたものを引き継ぎつつ、より洗練されたものとなっている。基本となるシグネチャによるパターンマッチング技術にしても、シグネチャの書き方にベンダの特徴を発見できる。また、ゼロデイアタックなど未知の攻撃に対して効果的なアノーマリ分析にしても、統計異常、プロトコル異常、アプリケーション異常といったさまざまな方式が組み合わされている。

　ファイアウォールと違って、IPSはネットワークの境界部に1つ設置すれば、それで完了というものではない。先述したように、内から内への攻撃も防がなくてはならないし、情報漏えい対策として用いるならばサーバファームの前に設置することもあるだろう。ネットワークの規模にもよるが、複数台のIPSの導入が望ましいため、それらを一元管理するマネジメント機能も選定のポイントの1つとなる。IPS導入のメリットの1つに管理者の負担減という面がある以上、運用のしやすさも考慮に入れたい。

　基本的にIPSは、攻撃を検知しリアルタイムで適切な防御を実施する製品であり、基本思想においては各ベンダとも似たようなものを投入している。それ故、各製品の固有の特徴やベンダの戦略など、極力差別化できるポイントを中心にカタログを展開していく。

1/3

Index
セキュリティの次の一手となる不正侵入防御システム
	Page1 IDSの限界 IPS選定のポイント
	Page2 Proventia G（ISS）
	Page3 IntruShield（マカフィー）

関連リンク
	IPSの実装方法と防御技術とは
	IPSを実装する場所と考慮すべき点

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）