情報セキュリティ対策を実施する上で、IDS/IPS 対策は非常に重要です。しかし、IDS と IPS の違いについては、よくわかっていないという人も多いのではないでしょうか。
そこで本記事では、IDS/IPS 製品それぞれの概要や違い、メリットや防げる攻撃など、IDS/IPS 製品について押さえておきたいポイントをまとめてご紹介します。
IDS とは
IDS とは不正侵入検知システムのことを指します。基本的には検知に特化して役割を果たします。検知に特化するため導入はスイッチのミラーポートでパケットをコピーしてトラフィックに影響を与えない構成となりますが、トラフィックの向き(外部→内部、内部→外部)は識別できません。
遮断対応は RST パケットを用いて、通信を遮断することで不正侵入を防御することになりますが、遮断方式の仕様上通信を遮断できない場合もありますし、結果として遮断できたかどうかもわからないため、防御を優先したい場合には後ほどご紹介する IPS を利用する方がおすすめです。サービス継続を優先したい場合には、IDS を使いましょう。
IPS とは
IPS とは不正侵入防止システムのことです。その名の通り、ネットワークからの不正なアクセスを防ぐことに特化しています。通信パケットの動作や内容から不正侵入とそうでないものを判断し、不正なものについてはアクセスを防ぐ役割を果たします。
IPS はネットワークにインラインで導入するため、機器の障害発生時にサービスを止めないよう、一般的には HA 構成を組んだりフェイルオープン機能を使います。防御を優先したければ IPS を使えばよいのですが、瞬断も許せないようなクリティカルな環境であれば IDS を使う方がおすすめです。
IDS と IPS の違い
IDS と IPS の違いは基本的に、導入方式の違いです。そのため、ネットワークの速度や障害発生時にサービスを中断期間の要件によって、IDS/IPS のどちらを導入するかを判断すればよいのです。
最近の IPS は検知能力を高めるために宛先の IP アドレスのブラックリストを利用したり、不審な Web パケットをブラウザエミュレーションして、実際の環境で実行して検出したりする機能もあります。こうした機能は UTM/次世代ファイアウォールに統合されてきており、IDS/IPS 専用の機器を使うのは高機能なパケット解析やサーバー毎に厳密なポリシーを作成する場合、少しの遅延も許されないサービスや高いスループットが必要な場合など限られた環境になってきており、使い分けが重要です。
IDS/IPS の仕組み
IDS/IPS はファイアウォールの後段に配置し、パケットを精査することで脆弱性を突く不正侵入を検知する役割を果たします。主にシグネチャと振る舞い検知を使って検知をします。
シグネチャベースの検知
既知の脆弱性を突く攻撃に対するシグネチャを用意します。緊急度の高い脆弱性が公開されたサーバーがパッチを即時に当てることができることの方が少ないでしょう。IPS はこのパッチを当てるまでの期間のセキュリティを提供するのが第一の機能です。高機能な IDS/IPS はカスタムシグネチャーを作成して自組織の環境に合ったルールを作ることもできます。
シグネチャに頼らない検知
様々な手法で、不審な通信を検出します。例えば、エミュレーション技術により Web ブラウザや PDF、JAVA 環境を IPS 内で再現して疑わしいファイルやコードを実行して検知します。
宛先 IP アドレスやファイルの評価(攻撃で使うファイルのハッシュ値と比較)を使って通信を評価します。ほかにも、プロトコルから Web アプリケーションを識別して制御することもできたり、通信のベースラインを作り異常があった場合にアラートを発報することができます。
IDS/IPS は確実なサイバー攻撃でなくとも不審な通信に気づくことがあるため、サイバー攻撃の兆候に気づきやすい仕組みでもあります。
IDS/IPS が防げる攻撃
IDS/IPS は不正侵入防止システムです。IPS によって防ぐ(IDS は検知のみ)ことができる攻撃について本項でご説明します。通信内容の検査をベースにしているため様々な攻撃に対応しますが、以下はその一例です。
バックドア
バックドアとは、ネットワークの管理者が気づかないように設置される、ネットワークへの不正な入り口のことです。IDS/IPS はバックドアを通じてネットワークに侵入しようとする不正アクセスを検知できます。
トロイの木馬
トロイの木馬もマルウェアの一種です。トロイの木馬は、脆弱性を突いてネットワークに不正侵入できるバックドアを勝手に設置し、不正なウイルスをバックドアから侵入させようとしますが、IDS/IPS を使えばそのような不正なアクセスも検知できます。
バッファオーバーフロー
バッファオーバーフローとは、対応できる容量以上のメモリーを攻撃相手に送りつけることで、攻撃対象を不正に操作する攻撃です。IDS/IPS を用いれば、バッファオーバーフローの兆候があるかどうかを観察できます。
DDoS 攻撃/DoS 攻撃
DDoS 攻撃/DoS 攻撃とは複数のコンピュータから攻撃対象のコンピュータに一斉にリクエストを送り、攻撃対象のサービスやサーバーに負荷をかける攻撃です。IPS はアプリケーションの負荷を高めるような不正なリクエストを防ぐことができます。通常はしきい値をもうけることで対応します。帯域を消費するタイプの DDoS 対策についてはIDS/IPS とは別の CDN やインターネット回線での対応が必要になります。
Smurf 攻撃
Smurf 攻撃とは、偽装された IP アドレスから、攻撃対象のネットワークアドレスに一斉にping が送付される攻撃です。IPS は送付された ping を防ぐことができます。
PoD 攻撃
PoD(ping of death)攻撃とは、攻撃対象となる相手が受信不可能なほどサイズが大きい pingデータを送りつけ、相手のサーバーやサービスを機能不全に陥らせる攻撃です。IPS は送信された ping の攻撃を防ぐことができます。
SYN フラッド攻撃
SYN フラッド攻撃とは、複数のコンピュータから攻撃対象に対してリクエストを送信し、サーバーやサービスの継続を停止させる攻撃です。IPS を用いることで、不正なアクセスやリクエストを検知し、SYN フラッド攻撃の兆候を見抜けます。
マルウェア感染
マルウェアとは、コンピュータやネットワークに被害をもたらすウイルスのことですが、IDS/IPS は、通過するファイルを様々なエミュレート技術を使って評価します。また、マルウェアが感染後に行うコールバック通信について検知できます。
IDS/IPS が防げない攻撃
IDS/IPS を用いて防ぐことができる攻撃も多いですが、防げない攻撃も当然あります。ここでは、IDS/IPS で防げない攻撃についてご紹介します。
Web アプリケーションの脆弱性をつく攻撃への対応
IDS/IPS は Web アプリケーションの脆弱性に対しては、プロトコルが違うため一部しか対応できず、Web アプリケーションの脆弱性を突く攻撃の多くは防げません。そのため、Web アプリケーションは WAF(Web Application Firewall)を導入し、OS やミドルウェアの脆弱性は IDS/IPS で保護しましょう。
IDS/IPS を導入すべき企業
IDS/IPS を導入すべき企業はどのような企業でしょうか。基本的には、IDS/IPS は全ての企業が導入した方がよいでしょう。IDS と IPS は導入形式が違うため、それぞれの企業の要件に合った方のセキュリティ対策を導入することをおすすめします。
IDS/IPS のおすすめ製品
IDS/IPS を導入したい企業におすすめしたい製品が、「McAfee Network Security Platform (NSP)」です。IDS/IPS では多くの実績があり、サイバー攻撃に対して最新の検知手法を複数用いて高度な検知ができます。
IDS/IPS 専用機までは高度な運用はしない、という場合は UTM/次世代ファイアウォールがお勧めです。標準で IDS/IPS を含めた多層防御ができるため、コストとパフォーマンスのバランスがいいです。当社ではセキュリティ監視サービスも含めてご提供しています。
IDS/IPS 製品を選定する際のポイント
IDS/IPS 製品を選ぶ際のポイントは導入コスト、サポート体制、導入形態の3点です。それぞれについてご説明します。
導入コスト
IDS/IPS 製品を選定する際、最初に気にすべきポイントはコストです。高機能な IDS/IPS は非常に高価です。そのため、自組織にどこまで必要なのか要件を定めて、適正な IDS/IPS を導入しましょう。
サポート体制
IDS/IPS 製品は高度なセキュリティ対策であるため、困ったときにすぐにサービスについての質問ができるサポート体制も重要です。サポート体制が手厚いサービスを選びましょう。
運用体制
IDS/IPS は使いこなすことで早期にサイバー攻撃を検知、防御するという高い効果が得られます。それには、セキュリティ運用を見据えての導入が肝要です。とり得るリスクを考慮して自組織で運用するのか、外部へ委託するのかを決めましょう。
まとめ
IDS/IPS の概要や違い、それぞれが防ぐことができる攻撃の種類などについて説明しました。IDS/IPS は、企業がセキュリティリスクに備えるなら導入が推奨されるでしょう。IDS は主に不正な侵入を検知する役割、IPS は不正な侵入を防御する役割をそれぞれ果たします。多くの企業が両方をあわせて導入しています。
IDS/IPS を導入するなら、「McAfee Network Security Platform (NSP)」がおすすめです。ぜひお気軽にお問い合わせください。
