本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


初級ネットワーク講座
第26回 IPSとIDSの仕組み

情報セキュリティの技術的対策の1つにファイアウォールがある。ファイアウォールは単に、許可されたパケットを通過させ、禁止されているパケットを遮断するだけである。それに対してIDSは、不正侵入を検出し、何らかの方法で管理者に通知する機能を持つ。更にIPSは不正侵入に対して自動的に防御する機能を備えている。いち早く不正侵入を検出し、適切に対応することで被害を最小限に抑えることができる、IDS/IPSの分類、侵入の検出方法などについて説明する。

1.IDS/IPSとは?

1-1.ファイアウォール、IDS、IPSの違い

IDS/IPSは、それらの機能をファイアウォールが内蔵しているケースが多いため、ファイアウォールの一機能と思われがちであるが、目的は大きく異なる。

IDSとは、Intrusion Detection Systemの略で、侵入(Intrusion)を検出(Detection)するシステムである。一方のIPSは、Intrusion Protection Systemの略で、侵入(Intrusion)を検出し、かつ防御(Protection)するシステムで、IDSの機能に防御機能が備わったものである。

火事を例に考えてみよう。ファイアウォールはその名のとおり防火壁、それに対してIDSは火災警報アラーム、IPSは火災警報アラームに連動したスプリンクラーと考えればよい。

防火壁は、火の粉や炎の侵入を食い止められるが、火事そのものへは対処できない。火災警報アラームによっていち早く火事を知らせることで、消火活動を開始し、被害を最小限に食い止めることができる。しかし火災警報アラーム自体は火を消すことはできない。スプリンクラーがあってはじめて、初期消火ができる。しかし、常時スプリンクラーを作動させているわけにはいかないので、必要なときにのみ散水できるような設定が必要である。

LANなどの閉じられたネットワークシステムを脅威から守るためには、ファイアウォールによって外部からの不正侵入を防御する必要がある。しかし、ファイアウォールでは100%防御することはできない。というのは、ファイアウォールの設定ミスや未知のセキュリティホールをついた攻撃、また内部からの不正操作による攻撃などは防御できないからだ。

そこで、いざ侵入された場合、またはその兆候がある場合、いち早く管理者に通知する仕組みがIDSである。そういった行為に対していち早く認識し、管理者が適切な対応をすることによって侵入による被害を極力少なくすることができる。


以上を整理すると、下記のようになる。

ファイアウォールには「アクセス制御」機能がある。
IDS/IPSには、「検出」「通知」機能がある。
IPSには「防御」機能もある。

1-2.ネットワーク型IDS(NIDS)とホスト型IDS(HIDS)

IDSは、データの収集方法(場所)によってネットワーク型IDS(以下NIDS)とホスト型IDS(以下HIDS)の2つのタイプに大別することができる(図1)。

図1 NIDSとHIDS
図1 NIDSとHIDS
DMZ(DeMilitarized Zone:非武装セグメント)

内部ネットワークを不正アクセスから防御するために、インターネットなど外部のネットワークと内部のネットワークとの間にファイアウォールを設置する。次のように、直列にファイアウォールを2台設置するのが、もっとも強固な防御方法だ。

インターネット
  │       バリアセグメント
ファイアウォール ──────
  │       DMZ(非武装セグメント)
ファイアウォール ──────
  │
内部ネットワーク


その際にファイアウォールとファイアウォールの間にできるゾーンを、DMZと呼ぶ。

一般的な設定では、インターネットとDMZの機器類、DMZにある機器類と内部ネットワークにある機器類の通信は許可するが、インターネットと内部ネットワークにある機器類とは直接の通信を禁止する。

NIDS

NIDSは、ネットワーク上を流れるパケットを採取し、リアルタイムに解析しながらネットワークトラフィックを監視する(図2)。1つひとつのパケットの解析に加え、時系列的、統計的なパケットの解析が可能である。これによって、通常値と大きく異なるトラフィックが発生したときに異常を発見できるため、ポートスキャンやDoS攻撃を検出することができる。設置箇所によってはすべてのパケットを採取できる。

図2 ネットワーク構成例
図2 ネットワーク構成例

NIDSは、パケットに含まれるウイルスをはじめとして、メールの中身、Webデータも解析できる。例えば、社内の機密データをパターンとして登録しておけば、メールでその機密データが社外に送信される時に検出することができる。

きめ細かい設定が可能ではあるが、あまり細かく設定すると解析に時間を要することになり、パケット量が多い場合、パケットの取りこぼしが生じる可能性もある。また、暗号化されたデータは解析することができない。


NIDS製品は、L2スイッチ(スイッチングハブ)のミラーポートからのパケットを収集するのに使われるのが主流だったが、ここ数年、隘路(ボトルネック)になる場所に設置するインライン型NIDS製品も数多く出回るようになってきた(図3)。ミラーリングによるパケットの取得では、すべてのパケットを取得することができないからである(表1)。インライン型NIDSでは、あらゆるパケットを収集できる反面、パケットの遅延が大きくなる可能性がある。

図3 NIDSとインライン型NIDS
図3 NIDSとインライン型NIDS
表1 図2の構成におけるパケットの取得
図2の構成におけるパケットの取得

○がミラーリングでパケットの取得できるところ、×はできない箇所を示す。Bでのパケット取得がもっとも効率的だが、内部同士の通信のパケットは取得できない。

HIDS

HIDSは、サーバなどの監視対象となる機器にソフトウェアとして組み込まれる監視システムだ。OSが記録するアクセスログをチェックし、異常なログを検出した場合に通知する。HIDSは、アクセスログのほか、サーバへのログイン・ログアウトなどのユーザ利用状況、使用コマンド、HDDの書き込み、読み取りなどのアクセス状況、CPU使用率、メモリ使用率なども監視できる。例えば「午前3時にAさんがファイルBのデータを読み取った場合に通知を行う」などのような、きめ細かな設定が可能である。

しかし、検出の精度を高めるにはより詳細な設定が必要となるとともに、頻繁な設定の更新も必要となる。また、サーバごとに設定が異なるので、監視対象のサーバが増えると管理者の負荷も大きくなる。

IDSによる侵入検出

IDSは通常、侵入検出に「パターンマッチング」を用いる。NIDSではネットワークのパケット、HIDSではアクセスログの特徴的な部分を「パターン」として取り出し、データベース化しておく。それを検索対象のパケットまたはアクセスログの内容と照合「マッチング」させる。これがパターンマッチングである。

パターンマッチングは、不正検出(Misuse detection)と異常検出(Anomaly detection)に分類することができる。

不正侵入検出(Misuse detection)

あらかじめ「不正なパターン」をデータベース化しておく。このパターンは一般的に「シグネチャ」と呼ばれる、攻撃者が侵入する手口のパターンである。パターンが既知の攻撃には有効だが、未知の攻撃に対しては見逃しが多い。

異常検出(Anomaly detection)

通常とは異なる振る舞いを検出する方法で、アノマリ型とも呼ばれる。

あらかじめ【正当なパターン】をデータベース化しておくと、そのパターンに当てはまらない振る舞いがあったときに検出できる。

この場合、時刻や使用コマンド、ネットワークトラフィックの状況なども判断基準とする。未知の攻撃に強いが、データベース化されていない正当なアクセスも不正侵入と認識してしまう確率が高くなる。

通知方法

IDSには自動通報機能が備わっており、侵入を検出したら、管理者にいち早く通報する。通知方法としては、コンソールへの出力のほか、有人運用であれば、警告灯を点灯したり、警報音を鳴らしたりする。無人運用、遠隔運用であれば、携帯電話や電子メールなどを使用する。携帯電話への通知の場合、複数人の携帯電話の番号をセットしておき、通話確認が取れるまでかけなおすといった機能もある。

1-3.IPS

IDSは、あくまでも不正アクセスや攻撃、またはその予兆をパケットやアクセスログの解析によって検出し、管理者に通知することを目的としていて、防御自体はしない。IDSに防御機能を付加したのがIPSである。

特にNIDSで用いられ、多くの場合、IPSがファイアウォールと連係して防御を行う。

IPSが異常を検出したときファイアウォールに対し、対象のパケット(もしくはすべてのパケット)を通過させないようにファイアウォールの設定変更を指示して不正侵入を食い止める。

インライン型NIDSでは、侵入を検出すると、それ自体でネットワークを遮断する機能を持っている。

2.製品選択のポイント:IDS/IPS(不正侵入検出/防御)

前述のとおり、NIDSはパケットを、HIDSはアクセスログを収集して解析し、不正な侵入かどうかを判定する。不正侵入の検出には時間がかかり、検出されたときにはすでに侵入されている可能性が高い。当然のことながら、解析対象のパケットやアクセスログを絞り込めば検出に要する時間が短くなる。逆にきめ細かい検出をするためには時間が長くなる。

したがって、NIDSでは、設置場所やトラフィック量によって、採取するパケットの量が膨大になるので、パケットの中身をどこまで解析するか、HIDSでは、監視対象とするサーバのOS、解析するアクセスログの種類などがポイントになってくる。

検討の手順としては、IDS/IPSを設置しなかった場合における攻撃発生の可能性や、攻撃された場合の被害想定金額などからリスク値を算出する。リスク値によって、検出までにどれくらいの時間がかけられるのか、IDS/IPSにどれくらいのコストがかけられるのか、が明らかとなる。

この結果を踏まえ、ネットワークの速度やパケット量、アクセスログの量といった要素とあわせて、適切な機器を選択することになる。


以下に、製品選択のポイントをいくつか挙げる。

● アプライアンス製品か
これまでは汎用のOSにIDSソフトウェアをインストールして構築するタイプが主流だったが、現在ではIDSアプライアンス製品(IDSに特化したハードウェア)があり、検出時間の高速化をはじめ、誤認識率も低下している。

● バッファの容量は十分か
パケットやアクセスログは、いったんバッファと呼ばれる一時記憶場所に書きこまれ、解析(パターンマッチング)される。解析の作業に時間がかかって大量のパケットやアクセスログが流れ込んでくると、バッファがいっぱいになり、データを取りこぼしてしまう可能性がある。

● 収集機能と解析機能が分離しているか
パケットの収集と解析はそれぞれ負荷がかかるため、分離されていなければ、お互いにパフォーマンスの低下を招きかねない。それぞれ分離しているほうが望ましい。

● 設定変更作業は容易か
事態に応じて柔軟に設定変更ができなければ適切な対応はできない。設定変更作業が容易であることは重要なポイントとなる。
【次回予告】 高信頼性設計その2
信頼性の高いネットワークを構築するには、冗長構成をとるのが一番だ。冗長構成にはホットデュアル構成・アクティブ・スタンバイ構成などがある。コストパフォーマンス上有利な、稼働系+待機系構成であるアクティブ・スタンバイ構成が主流である。しかし、不適切な冗長構成をしてしまうと、いざ障害発生時に待機系に切り替わらないばかりか、二次被害を生じるおそれがある。次回は、冗長構成の基本、注意点などについて解説する。

取材協力 : アイテック

掲載日:2010年1月13日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2009年12月8日掲載分

検索

このページの先頭へ