IDS や IPS、WAF という用語を聞いて、その概要や違いについて即座に説明できる人はあまり多くはないでしょう。これらの技術は、IT 環境のセキュリティを守るにあたってそれぞれどのような役割を持っているのでしょうか。
この記事では、IDS・IPS・WAF それぞれの概要と違いについて説明します。ぜひ参考にしてください。
IDS とは
IDSは不正侵入検知システムのことです。インターネット環境からのアクセスの要求には、正当なものもあれば不正なものもあります。
IDS を利用することで、正当なアクセスと不正なアクセスを振り分け、不正なアクセスを検知できます。異常を検知するとシステム管理者に通知し、管理者は対応策を講じることが可能になります。
IDS のサイバー攻撃検出の仕組み
IDS はパケットをベースに検出する仕組みです。一般的には、ファイアウォールで許可されたポートと IP アドレスを通過したパケットを検査します。
IDS が検知する不正なアクセスとは、脆弱性を突くコードや攻撃に利用される通常とは異なる通信、プロトコルの標準仕様からはずれたパケットなどを指します。
IDS は社外から社内への通信だけでなく社外から社内への通信も検知します。また、攻撃そのものでなくても不審な通信をきっかけにサイバー攻撃の被害を発見することもあるため、監視カメラに例えられることもあります。
IPS とは
IPS は不正アクセスを防御するためのシステムです。IDS と検出機能は変わりませんが、IDS が不正アクセスを検知するだけに対して、IPS は実際に防御できます。
そのため、IDS はネットワークに影響を与えないようにネットワークからパケットをコピーするワンアーム構成で導入するのに対し、IPS はファイアウォールのようにネットワークにインラインで導入します。
IDS を導入するケースですが、IPS 検査によるわずかな通信遅延や瞬断も許されないシステムなどの場合は検出のみの IDS を使うケースがあります。最近では、通常の企業では IPS を使うことが多くなっています。
IDS/IPS の種類
IDS/IPS にはネットワーク型、ホスト型、クラウド型の3つの種類があります。
ネットワーク型とは、ネットワーク上に流れるパケットの中身を検査することで不正なアクセスを検知するタイプの IDS/IPS です。当社では McAfee Network Security Protection が該当します。
ホスト型とは、サーバー上に設置し、ファイルの改ざんやオペレーションのエラーなどを検知できるタイプの IDS/IPS です。サーバーごとに設置する必要があります。当社では Cloud One Workload Security といった製品があります。
クラウド型はクラウド上に設置されているタイプの IDS/IPS で、スムーズに導入できます。IaaS サービスではネットワーク型仮想アプライアンスが用意されている場合があります。
ある程度のサーバー台数を持つシステムはネットワーク型の製品が用いられることが多くあります。これは、通信速度が求められる環境に導入されることが多いためと、サーバー台数が多いと管理が安いため、ネットワーク型の製品が選ばれます。サーバー台数が少ない環境ではホスト型が使われる傾向があります。最近ではファイアウォールと統合された UTM として導入している企業も増えています。
IPS で防げる攻撃
IPS を利用すると、IDS で検出できる攻撃に加えて、さらにいろいろな攻撃を防げます。
まずは脆弱性を突く攻撃に対して、仮想パッチと呼ばれるシグネチャ(防御ルール)を適用できます。これを使うことで、利用中のシステムにおいて既知の脆弱性が公開されてもパッチを当てるまでの猶予時間を確保できます。
DoS 攻撃は、対象となるサーバーやサービスに対して負荷を掛けるリクエストやアクセスを大量に送りつける攻撃のことです。バッファオーバーフロー攻撃はプログラムのバグを突いてサーバーのメモリー上に不審な攻撃コードを展開することです。これらはどちらも IPS でアクセスを防御できます。他にも Smurf 攻撃、PoD 攻撃、SYN フラッド攻撃などの DoS 攻撃にも対応できます。
また、不審なパケットを見つけることで攻撃そのものでなくても、サイバーインシデント調査のきっかけとなり侵害の早期発見につながるケースもあります。
WAF とは
WAF とは、Web Application Firewall の略で、Web アプリケーションの脆弱性に対するインターネット上からの攻撃を防ぐことに特化したセキュリティ対策です。Web アプリケーション内に設置するわけではなく、ネットワークや Web アプリケーションの周辺に設置します。
IDS/IPS は OS や ミドルウェアに対する保護を提供しますが、WAF は CMS や個別に開発された Web アプリケーションの脆弱性を保護します。そのため IDS/IPS とはセキュリティ対策範囲が異なります。
WAF はインターネットバンキングやネットショッピングなど、幅広い Web アプリケーションのセキュリティ対策に利用されています。
Web アプリケーションも IDS/IPS の保護範囲である OS やミドルウェアを使うため、WAF とIDS/IPS どちらがいいかではなく、両方を利用するのが理想です。
WAF が防げる攻撃
WAF もさまざまな攻撃を防ぐことが可能です。
掲示板などの Web サイトに不正なスクリプトを書き込むことによって Web サイトを攻撃することを、クロスサイトスクリプティングと言います。WAF を導入していれば、不正なスクリプトの挿入を防げます。
他にも、Web アプリケーションに対するバッファオーバーフロー、SQL インジェクション、OS コマンドインジェクション、ブルートフォースアタック、ディレクトリトラバーサルなどの攻撃も WAF で防御可能です。クラウド型の WAF であれば DDoS 攻撃も防ぐことができるサービスもあります。
ファイアウォールとは
ファイアウォールとはインターネットを通した攻撃からサーバーや PC、データなどを守るためのセキュリティ対策です。パーソナルファイアウォールとネットワーク用ファイアウォールの2種類があります。
個々のパソコンを保護するのはパーソナルファイアウォールです。インターネットからパソコンへの不正なアクセスや通信を防ぎます。それに対して、ネットワーク全体を保護できるのがネットワーク用ファイアウォールです。
ファイアウォールが防げる攻撃
ファイアウォールもさまざまな攻撃を防げます。基本的にはポートと IP アドレスのフィルタリングを行います。
パーソナルファイアウォールはインストールしたアプリケーション個別にインターネットアクセスを許可するなど詳細な設定が可能です。一方で、ネットワーク用ファイアウォールは内部からアクセス要求した場合、その通信に対してのみ一時的に外部からのポートアクセスを開放するステートフルインスペクションと呼ばれる機能があります。
ネットワーク用ファイアウォールは企業にとって内部に入ってこないようにする最初に導入すべきセキュリティ対策になります。
IDS/IPS と WAF、ファイアウォールそれぞれの違い
IDS、IPS、WAF、ファイアウォールのそれぞれの違いについて、もう一つ理解しきれない人もいるかもしれません。以下で、それぞれの違いについて整理します。
IDS/IPS とファイアウォールの違い
IDS、IPS はパケット内容を監視して、不正アクセスを検知したり防御したりできます。一方で、ファイアウォールは IP アドレスとポートだけなので通信内容(パケット)までは精査できません。
IDS/IPS と WAF の違い
WAF は Web アプリケーションの脆弱性を突いた攻撃に特化して防御するセキュリティ対策です。一方で IDS/IPS は、OS やミドルウェアと言ったプラットフォームに対する不正アクセスや攻撃を防御することができます。
まとめ
この記事では、IDS、IPS、WAF、ファイアウォールについて、それぞれ概要や違いをごく簡単に説明しました。自社の目的や必要にあわせて、上手に利用しましょう。
セキュリティ企業である当社としては、最低限ファイアウォールと IDS/IPS(もしくは、両方が統合された UTM)は導入して適切に運用すべきだと考えますし、重要性の高い Web アプリケーションがある場合は WAF を導入することをおすすめします。
インターネット環境がより普及し、デジタルサービスを利用する企業が増えてくることで、サイバー攻撃の被害も増えてきています。サイバー攻撃の脅威から自社サービスを守れるよう、上記全ての機能が備わった「Imperva App Protect」の利用をぜひご検討ください。
