侵入防止システム(IPS)を探る(2/2)

高崎達哉 2005年07月28日 10時00分

  • このエントリーをはてなブックマークに追加

前回は、外部からのワームの侵入や内部でのワームの拡散を防ぐ「侵入防止システム(IPS)」の概要と防御の仕組みについて解説した。今回は、IPSにおける侵入検知の方式と、設置や導入の方法について解説する。

代表的な侵入検知の方式は3種類ある

 IPS(侵入防止システム)の検知方式は、実はIDS(侵入検知システム)のものと変わらない。IDS/IPSの攻撃の検知方式には、大きく分けて「不正検知方式(Misuse Detection)」と「異常検知方式(Anomaly Detection)」の2種類がある。

 不正検知方式は、「シグネチャ検知方式」や「シグネチャ・マッチング方式」とも呼ばれる。この方式では、図1のように、既知の攻撃の特徴を記述したシグネチャと呼ばれるデータをデータベースに格納しておき、ネットワーク上を流れるパケットの内容と比較して、一致した場合に攻撃が発生したとして検知する。

図1 シグネチャ検知方式では既知の攻撃の特徴をもとに検知する

 これに対して、異常検知方式とは、正常なアクセスのデータを持っておき、ネットワーク上を流れるパケットの内容と比較して、一致しなかった場合に攻撃が発生したとして検知するものである。

 異常検知方式には、保持しておく正常アクセスのデータの違いによって、さらに「統計的異常検知方式(Statistical Anomaly Detection)」と「プロトコル異常検知方式(Protocol Anomaly Detection)」に分かれる。

 統計的異常検知方式では、図2のように、ネットワーク上を定常的に流れるトラフィックの特徴を学習しておき、それを「プロファイル」として保持しておく。ワームが発生した場合には、プロファイルの内容から大きく外れたアクセスが発生するため、検知することができるのである。

図2 統計的異常検知方式では通常と異なるトラフィックを検知する

 プロトコル異常検知方式は、プロトコルの仕様に準拠していないアクセスを異常として検知する。プロトコルの仕様はRFCに記述されている。ただ、アプリケーションプロトコルのフィールドの最大長などは、RFCでは規定されていない場合が多く、これでは、ワームの侵入に利用されることの多いバッファオーバーフロー攻撃を検知することができない。このため、多くのIDS/IPSベンダでは、通常のアクセスで利用される長さの範囲をフィールド毎に独自に規定することで、バッファオーバーフロー攻撃などを検知できるようにしている。

IPSの効果的な設置の仕方

 内部でのワームの拡散を防ぐためには、各セグメントの境界にIPSを設置するのが有効だろう。しかし、それぞれの境界に別々にIPSを設置していたのでは、IPSの台数が非常に多くなり、コストがかかってしまう。このため、多くのIPS機器では、複数のセグメントを同時に監視できる機能を備えている。

 例えば、インタフェースを6つ持つIPSの場合は、インタフェースを2つずつ3グループに分けることによって、図4のように、3つのセグメントを1台でまとめて監視することができる。バーチャルIPS機能を持つ製品であれば、この3つのセグメントをそれぞれ別のポリシーで監視することもできる。製品によっては、VLANに対応したものもあり、その場合は、2つの物理インタフェースで複数のVLANセグメントを監視することも可能となる。

図3 1台のIPSで複数のセグメントの境界を監視

IPSの効果的な導入手順

 IPSをいきなりインラインで設置して動作させると、誤検知された正常なアクセスが遮断されて業務が中断されたり、全体のネットワークの性能が急激に下がったりしてしまう可能性があり、お勧めできない。IPSは、以下の3つの手順を踏んで導入するのが良いだろう。

  1. IPSをIDSモードにして監視のみを行い、検知精度のチューニングを行う
  2. IPSをインラインで設置して監視のみを行い、パフォーマンスの確認を行う
  3. IPSの防御機能を有効にして運用する

  • IDSモードで監視する
  • 導入するIPSに、IDSのようにトラフィックをキャプチャして監視するモードが備わっている場合は、すでに設置してあるスイッチングハブの余っているポートを、上位ルータと接続しているポートのミラーポートとして設定し、IPSのインタフェースを接続して監視のみを行う。そしてこの状態で、発生するアラームを監視し、誤検知の発生状況を把握する。もし、誤検知が発生するようであれば、その誤検知のもととなるシグネチャのパラメータを変更したり、シグネチャ自体を無効にしたりする。
  • インライン接続で監視する
  • IDSモードでチューニングを行い、誤検知が発生しないようになれば、実際にIPSをインラインで設置して動作させてみる。しかし、ここではまだIPSの遮断機能は無効にしておき、通常アクセスのパフォーマンスに影響がないかどうかを確認する。
  • 遮断機能を有効にする
  • チューニングが終了し、通常アクセスのパフォーマンスに影響が出ていないようであれば、IPSの遮断機能を有効にする。この場合もいきなりすべての項目を遮断するのではなく、確実に侵入だと判断されるものから徐々に遮断をしていくのが良いだろう。

    ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

    • このエントリーをはてなブックマークに追加

    この記事を読んだ方に

    関連キーワード
    セキュリティ

    関連ホワイトペーパー

    SpecialPR

    連載

    CIO
    トランザクションの今昔物語
    エリック松永のデジタルIQ道場
    研究現場から見たAI
    Fintechの正体
    米ZDNet編集長Larryの独り言
    大木豊成「仕事で使うアップルのトリセツ」
    山本雅史「ハードから読み解くITトレンド放談」
    田中克己「2020年のIT企業」
    松岡功「一言もの申す」
    松岡功「今週の明言」
    内山悟志「IT部門はどこに向かうのか」
    林 雅之「デジタル未来からの手紙」
    谷川耕一「エンプラITならこれは知っとけ」
    大河原克行「エンプラ徒然」
    内製化とユーザー体験の関係
    「プロジェクトマネジメント」の解き方
    ITは「ひみつ道具」の夢を見る
    セキュリティ
    「企業セキュリティの歩き方」
    「サイバーセキュリティ未来考」
    「ネットワークセキュリティの要諦」
    「セキュリティの論点」
    スペシャル
    課題解決のためのUI/UX
    誰もが開発者になる時代 ~業務システム開発の現場を行く~
    「Windows 10」法人導入の手引き
    ソフトウェア開発パラダイムの進化
    エンタープライズトレンド
    10の事情
    座談会@ZDNet
    Dr.津田のクラウドトップガン対談
    展望2017
    Gartner Symposium
    IBM World of Watson
    de:code
    Sapphire Now
    VMworld
    Microsoft WPC
    Microsoft Connect()
    HPE Discover
    Oracle OpenWorld
    Dell EMC World
    AWS re:Invent
    AWS Summit
    PTC LiveWorx
    より賢く活用するためのOSS最新動向
    古賀政純「Dockerがもたらすビジネス変革」
    中国ビジネス四方山話
    ベトナムでビジネス
    米株式動向
    日本株展望
    企業決算