第4回 不正侵入に対抗するIDS/IPSの常識知ってるつもり? 「セキュリティの常識」を再確認(2/3 ページ)

» 2004年12月10日 17時55分 公開
[横森利裕(三井物産セキュアディレクション),ITmedia]

ネットワーク型IDS

 ネットワーク型IDSは、企業ネットワークのDMZに配置され、攻撃パターンをシグネチャベース*1やアノマリベース*2で検知したり、連続するパケットを(フラグメント化された)組立て直して解析し攻撃の有無を判断する。最近では、ギガビットネットワークやIPv6に対応する製品もリリースされ、コアバックボーンの速くて太い帯域にも配置できるように進化してきた。

*1 不正アクセスのパケットパターンをマッチング可能にしたデータベースから検知する方法

*2 RFC規格外の通信のやり取りや、正常と異常を定義したシステム規格から脱していないかを検知する方法

 しかしながら、多量のネットワークトラフックから探るシグネチャベースのマッチングの複雑さや多量なセッション管理によるCPU負荷から、パケットの取りこぼしや誤報を発することがあり、監視ルールの作成時や運用面での工夫が必要である。

図3 ネットワーク型IDS

ホスト型IDS

 ホスト型IDSは、保護するサーバごとに導入して、サーバ自身のNICを出入りするパケットをネットワークIDSと同様の手法で解析する製品である。各種OSが独自に持つログファイルを注意深く監視し、OS特有のセキュリティ機能(Sun BSM "Basic Security Module"など)と連動して、システムコールレベルの監視を行う。管理者の特権コマンドの実行や、監査機能を用いて特定アカウントを一時的に使用不能にし、要塞化したサーバをさらに強固にできる。いわば、監視カメラとボディガードをつけたような動作をするのである。

 ただ、ホスト型IDSはネットワーク型IDSと比べて、ホスト単体の中で起こる各種の監査イベントを横取りしてしまう。そのため、策定するルール次第ではIDSに負荷がかかり過ぎ、運用や提供しているサービスに悪影響を及ぼす場合がある。

図4 ホスト型IDS

IDSの限界を補うIPS

 IDSと重複する部分が多いものの、その限界を補う機能を備えているのがIPS(不正侵入防御装置)だ。通常ゲートウェイと同じように配置して、すべてパケットをNICのデータバス内で監視。IDSが苦手なコネクションレス(UDP/ICMP)パケットに含まれる不正な攻撃を“遮断する”働きをする。

図5 監視するだけでなく、不正なパケットを遮断するIPS

 既存のネットワークに挿入できるインライン型のIPSが現在のトレンドで、各ベンダーからリリースされている。これらは、特にワームなど送信元IPアドレスを改ざんして、多量のトラフィックを生成、拡散する攻撃に対して有効といえる。

 ゲートウェイ方式で設置されるため、不正なパケットがサーバに届く前に遮断/破棄できる。そのため、侵入行為も比較的簡単に遮断することが可能だ。新型のワームが猛威をふるう場合においても、IPSで入り口を防御すれば、クライアントPCやサーバのパッチを導入するまでの作業時間において優位性を発揮する。この機能は、バーチャルパッチと呼ばれることもあり、大規模なネットワークインフラを持つ企業に効果があることから、徐々に導入が進んでいる。

 IPSの決定的な欠点は、インラインで動作していることから、検知できない未知のワームが暴れ始める時、ネットワークに多量の負荷をかけてしまうことだ。ハードの故障、電源断などの緊急時には、自動でバイパスユニットに切り替わり、パケットはスルーされる。この場合、当然ながらIPSの機能としては何の効力もない。

 IDS/IPS機能にしても、各ベンダーはハードウェアにあらかじめを搭載して提供するのが一般的で、最適にチューニングされた機能が簡単な初期設定で利用できるようになっている。

脆弱性情報を利用した検知

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ