侵入防止システム(IPS)を探る(1/2)

高崎達哉 2005年07月14日 10時00分

  • このエントリーをはてなブックマークに追加

現在、ワームによる被害が広まっている。前回までは、外部でワームに感染したPCを、企業ネットワーク内に持ち込むことにより広がる感染の被害を防ぐ仕組みとして「検疫ネットワーク」を紹介した。今回からは、外部からのワームの侵入や内部でのワームの拡散を防ぐ「侵入防止システム(IPS)」の仕組みや効果について、2回に分けて解説する。

IPSは従来のIDSに防御機能を追加したもの

 従来から侵入検知システムIDS(Intrusion Detection System)という仕組みがあり、数多くの製品が存在する。IDSの目的は主に、「侵入行為を検知して、検知結果を管理者に通知すること」であった。しかし、IDSで検知することができても、管理者がそれを知ったときには侵入行為は行われてしまっている、という問題があった。

 そこで、「侵入を検知して、自動的にその侵入行為から防御すること」を目的とした侵入防止システムIPS(Intrusion Prevention System)が登場した。つまり、IPSは、IDSの持つ機能に加えて、検知した侵入行為を自動的に遮断する機能を持つものである。この防御機能を追加したことで、IPSには、IDSとは違った機能や性質が求められる。

IPSはインラインで設置する

 IDSの場合、IDSの監視用インタフェースをネットワークに接続し、ネットワーク上を流れるパケットをコピーして内容をチェックすることによって不正なパケットを検知する。

 監視用インタフェースの接続方法にはさまざまなものがあるが、現在主流となっているのはミラーリング機能を実装したスイッチを利用する方法である(図1)。スイッチのポートの1つを、指定したポート(ソースポート)に流れるパケットをコピーして出力する「ミラーポート」として設定し、そのミラーポートにIDSの監視用インタフェースを接続してキャプチャする方法である。

図1 IDSはネットワークに流れるパケットをハブのミラー・ポートでキャプチャする形態を採る場合が多い

 もちろん、パケットをコピーしているだけなので、もともとのパケットは通常通り転送される。このため、パケットが不正であるとIDSが検知した場合でも、そのパケットを遮断することはできない。

 これに対して、IPSでは、IPS装置をネットワークに挿入する(図2)。これを「インライン接続」と呼ぶ。IPS装置はブリッジと同じように動作するため、ネットワーク構成への影響はない。

図2 IPSは、ブリッジの形態で導入し、ネットワーク上を流れる全情報のゲートウェイになる場合が多い

 しかし、ブリッジとは異なり、パケットを詳細に分析して検知処理を行う必要があるため、転送処理だけでなく、検知処理も含めたスループットが高くないと、ネットワークの性能がダウンしてしまうという問題がある。

 また、挿入したIPS機器が故障した場合などにネットワークがストップしてしまわないよう、冗長化などの機能も必要となる。IPS機器によっては、電源を二重化した製品や、故障が生じた場合でも通信が遮断されないように「Fail-Open機能」を備えている製品がある。

IDSとIPSの防御機能の違い

 実は、現在のIDSは、検知機能のほかに遮断機能も実装したものが多い。例えば、攻撃がTCPを用いていて行われた場合に、IDSからTCPリセットパケットを送信してそのTCPセッションを切断する。このほか、別に設置されたルータやファイアウォールのアクセス制御の設定を動的に追加すして、その送信元IPアドレスからの通信を一定時間遮断する方法もある。

 IDSに実装されているこれらの遮断機能を使用すれば、IPSでなくても侵入行為から防御することができると思うかもしれない。しかし、IDSが侵入を検知した時には、すでにその攻撃パケットは宛先に届いてしまっている。TCPリセットパケットを送信したり、ファイアウォールの設定を変更したりしたとしても、その時には既に攻撃は成功してしまっており、手遅れになっている場合が多いのである。

 これに対してIPSは、パケットが正当なものと判明するまでは宛先に転送しない。このため、攻撃パケットが宛先に届くことはなく、検知さえすれば防御することができるのである。

IPSはIDSよりも高い検知精度が求められる

 IDSやIPSの問題は、正常なアクセスを不正として判断して検知してしまう「false positive」(誤検知)と、不正なアクセスを正常なアクセスと判断して検知しない「false negative」(検知漏れ)が発生してしまう点である。

 IDSの場合、基本的には攻撃を検知して管理者に通知するだけであるため、「false positive」が多い場合は、管理者がアラームの内容を調査する手間は増えることはあっても、実際のネットワークの利用には影響が出ることはない。

 しかし、検知した攻撃を自動的に遮断する機能を持つIPSの場合は、この「false positive」が発生してしまうと、正常なアクセスを遮断してしまうことになり、ネットワークの利用に影響が出ることになる。このため、IPSでは、IDSよりも高い検知精度が求められる。

 そこでIPSでは、パケットをIDSよりも詳細に分析し、さらに、いくつかの検知アルゴリズムを組み合わせて検知することによって、検知精度を高めている。しかし、検知精度を高めようとすると、多くの処理が必要となるため、リアルタイムに検知することが難しくなる。このため、専用のASIC(Application Specific Integrated Circuit)を搭載するなどして、複雑な検知処理を高速に行えるようにしている製品が多い。

 以上、今回は、IDSとIPSの違いについて主に説明した。次回は、IPSでワームを検知するための検知アルゴリズムと、効果的な設置形態について解説する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算