侵入防止システム(IPS)を探る(2/2)

高崎達哉 2005年07月28日 10時00分

  • このエントリーをはてなブックマークに追加

前回は、外部からのワームの侵入や内部でのワームの拡散を防ぐ「侵入防止システム(IPS)」の概要と防御の仕組みについて解説した。今回は、IPSにおける侵入検知の方式と、設置や導入の方法について解説する。

代表的な侵入検知の方式は3種類ある

 IPS(侵入防止システム)の検知方式は、実はIDS(侵入検知システム)のものと変わらない。IDS/IPSの攻撃の検知方式には、大きく分けて「不正検知方式(Misuse Detection)」と「異常検知方式(Anomaly Detection)」の2種類がある。

 不正検知方式は、「シグネチャ検知方式」や「シグネチャ・マッチング方式」とも呼ばれる。この方式では、図1のように、既知の攻撃の特徴を記述したシグネチャと呼ばれるデータをデータベースに格納しておき、ネットワーク上を流れるパケットの内容と比較して、一致した場合に攻撃が発生したとして検知する。

図1 シグネチャ検知方式では既知の攻撃の特徴をもとに検知する

 これに対して、異常検知方式とは、正常なアクセスのデータを持っておき、ネットワーク上を流れるパケットの内容と比較して、一致しなかった場合に攻撃が発生したとして検知するものである。

 異常検知方式には、保持しておく正常アクセスのデータの違いによって、さらに「統計的異常検知方式(Statistical Anomaly Detection)」と「プロトコル異常検知方式(Protocol Anomaly Detection)」に分かれる。

 統計的異常検知方式では、図2のように、ネットワーク上を定常的に流れるトラフィックの特徴を学習しておき、それを「プロファイル」として保持しておく。ワームが発生した場合には、プロファイルの内容から大きく外れたアクセスが発生するため、検知することができるのである。

図2 統計的異常検知方式では通常と異なるトラフィックを検知する

 プロトコル異常検知方式は、プロトコルの仕様に準拠していないアクセスを異常として検知する。プロトコルの仕様はRFCに記述されている。ただ、アプリケーションプロトコルのフィールドの最大長などは、RFCでは規定されていない場合が多く、これでは、ワームの侵入に利用されることの多いバッファオーバーフロー攻撃を検知することができない。このため、多くのIDS/IPSベンダでは、通常のアクセスで利用される長さの範囲をフィールド毎に独自に規定することで、バッファオーバーフロー攻撃などを検知できるようにしている。

IPSの効果的な設置の仕方

 内部でのワームの拡散を防ぐためには、各セグメントの境界にIPSを設置するのが有効だろう。しかし、それぞれの境界に別々にIPSを設置していたのでは、IPSの台数が非常に多くなり、コストがかかってしまう。このため、多くのIPS機器では、複数のセグメントを同時に監視できる機能を備えている。

 例えば、インタフェースを6つ持つIPSの場合は、インタフェースを2つずつ3グループに分けることによって、図4のように、3つのセグメントを1台でまとめて監視することができる。バーチャルIPS機能を持つ製品であれば、この3つのセグメントをそれぞれ別のポリシーで監視することもできる。製品によっては、VLANに対応したものもあり、その場合は、2つの物理インタフェースで複数のVLANセグメントを監視することも可能となる。

図3 1台のIPSで複数のセグメントの境界を監視

IPSの効果的な導入手順

 IPSをいきなりインラインで設置して動作させると、誤検知された正常なアクセスが遮断されて業務が中断されたり、全体のネットワークの性能が急激に下がったりしてしまう可能性があり、お勧めできない。IPSは、以下の3つの手順を踏んで導入するのが良いだろう。

  1. IPSをIDSモードにして監視のみを行い、検知精度のチューニングを行う
  2. IPSをインラインで設置して監視のみを行い、パフォーマンスの確認を行う
  3. IPSの防御機能を有効にして運用する

  • IDSモードで監視する
  • 導入するIPSに、IDSのようにトラフィックをキャプチャして監視するモードが備わっている場合は、すでに設置してあるスイッチングハブの余っているポートを、上位ルータと接続しているポートのミラーポートとして設定し、IPSのインタフェースを接続して監視のみを行う。そしてこの状態で、発生するアラームを監視し、誤検知の発生状況を把握する。もし、誤検知が発生するようであれば、その誤検知のもととなるシグネチャのパラメータを変更したり、シグネチャ自体を無効にしたりする。
  • インライン接続で監視する
  • IDSモードでチューニングを行い、誤検知が発生しないようになれば、実際にIPSをインラインで設置して動作させてみる。しかし、ここではまだIPSの遮断機能は無効にしておき、通常アクセスのパフォーマンスに影響がないかどうかを確認する。
  • 遮断機能を有効にする
  • チューニングが終了し、通常アクセスのパフォーマンスに影響が出ていないようであれば、IPSの遮断機能を有効にする。この場合もいきなりすべての項目を遮断するのではなく、確実に侵入だと判断されるものから徐々に遮断をしていくのが良いだろう。

    • このエントリーをはてなブックマークに追加
    関連キーワード
    セキュリティ

    関連ホワイトペーパー

    SpecialPR

    連載

    CIO
    藤本恭史「もっと気楽にFinTech」
    Fintechの正体
    内山悟志「IT部門はどこに向かうのか」
    情報通信技術の新しい使い方
    米ZDNet編集長Larryの独り言
    谷川耕一「エンプラITならこれは知っとけ」
    田中克己「2020年のIT企業」
    大木豊成「Apple法人ユースの取説」
    デジタル未来からの手紙
    モノのインターネットの衝撃
    松岡功「一言もの申す」
    三国大洋のスクラップブック
    大河原克行のエンプラ徒然
    今週の明言
    アナリストの視点
    コミュニケーション
    情報系システム最適化
    モバイル
    通信のゆくえを追う
    スマートデバイス戦略
    セキュリティ
    ネットワークセキュリティ
    セキュリティの論点
    スペシャル
    de:code
    Sapphire Now
    VMworld
    HPE Discover
    Oracle OpenWorld
    Dell World
    AWS re:Invent
    PTC LiveWorx
    デプロイ王子のテクノロジ解説!
    古賀政純「Dockerがもたらすビジネス変革」
    誰もが開発者になる時代 ~業務システム開発の現場を行く~
    さとうなおきの「週刊Azureなう」
    より賢く活用するためのOSS最新動向
    「Windows 10」法人導入の手引き
    北川裕康「データアナリティクスの勘所」
    Windows Server 2003サポート終了へ秒読み
    米株式動向
    Windows Server 2003サポート終了
    実践ビッグデータ
    中国ビジネス四方山話
    日本株展望
    ベトナムでビジネス
    アジアのIT
    10の事情
    エンタープライズトレンド
    クラウドと仮想化