IDS/IPS(侵入検知・防御システム)とは?機能や製品の選び方について
不正な通信を検知するIDS/IPS。 WAFやファイアウォールとともに、重要なセキュリティ製品として紹介されることが多いですが、どのようなはたらきをするのか、製品ごとに何が違うのか、いまひとつ理解できないという人も多いのではないでしょうか。 本記事では、IDS/IPSの仕組みや2つの違い、製品の選び方について解説いたします。
目次
IDS/IPSとは何か?仕組みの違い
まず、IDSとIPSの仕組みについて解説します。
IDS(侵入検知システム)とは?
IDSとは、「Intrusion Detection System」の略で、日本語では侵入検知システムと言います。 その名の通り、不正または異常な通信を検知し、管理者に通知するシステムで、主に検出パターンや、検出のルールが記述された「シグネチャ」に基づき、システムを通過する不正な通信を検知します。
ただし、検知するのみで、その後の具体的なアクションは実行しません。 検知後のアクションもセットにして対策を講じたい場合は、IDSではなく、後述するIPS(侵入防御システム)を導入するか、IDSやIPSの機能を有したUTM(Unified Threat Management)を導入し、統合的なセキュリティ管理を実装するのが得策です。
IPS(侵入防御システム)とは?
IPSは、「Intrusion Prevention System」の略で、日本語では侵入防御システムと言います。 IDSとの決定的な違いは、不正な通信を検知するだけでなく、防御・遮断するところまで対応する点です。 その代わりにIPSでは定期的に設定の調整が必要となる場合が多く、もし不適切な設定がされていた場合、正常な通信も不正なパケットとみなし遮断してしまい、事業活動を妨げる恐れがあります。
IDS/IPSの違いとは
前述したように、IDSとIPSの違いは、IDSが不正な通信を検知するまでの役割にとどまるのに対し、IPSは検知後の不正な通信の防御・遮断まで実行するという点です。
IDSは少ないもののIPSを個別に構築するケースはありますが、最近では、IDSやIPSの機能を備えているUTM(Unified Threat Management)を導入するのが一般的です。
IDS/IPSの種類
IDS/IPSには、「ネットワーク型」「ホスト型」「クラウド型」の3つの監視方法が存在します。
ネットワーク型(NIDS・NIPS)
ネットワーク型は、ネットワーク上に設置し監視するIDS/IPSのことで、ネットワーク上を流れる通信パケットの中身を監視します。 NIDS・NIPSとも。 NIDS・NIPSは、インターネットの出入口であるゲートウェイ付近に設置することで、その配下の社内ネットワークを保護することができます。 そのため、サーバ上に設置するホスト型のHIDS・HIPSに比べると、導入の負担は小さくなります。
ホスト型(HIDS・HIPS)
ホスト型のIDS/IPSは、サーバ上にインストールし、ログファイルやファイルの改ざんなどを監視します。 HIDS・HIPSとも。 ホスト型は、監視対象のサーバのイベントを監視できるため、サーバ内での不審な挙動や不正な変更に対しても検知可能です。 また、製品によっては、アプリケーションエラーやオペレーションミスの検知や、ファイル、レジストリの改ざんを検知し、復元することも可能です。
ただし、ホスト型はサーバごとに設置する必要があるため、導入・運用コストが非常に高くなってしまうのが難点です。
クラウド型
クラウド型は、ネットワーク構成の変更や、新しくネットワークの構築を行う必要がなく、スムーズに導入できるのが利点です。 設定もシンプルで運用が簡単な一方、クラウド事業者の通信障害やサービス提供事業者の障害の影響をダイレクトに受けるなど、ベンダーに依存してしまう難点もあります。
IDS/IPSの検知方法
IDS/IPSは、検知方法においても2つの種類があります。
シグネチャ型
シグネチャとは、直訳すると「署名」という意味ですが、セキュリティ用語では「様々な攻撃を識別するためのルールや符号」を表します。 監視対象の通信と、あらかじめ登録されていたシグネチャを照合し、不正か否かを判断します。 IDS/IPSに限らず、多くのセキュリティ製品において、このシグネチャ型が採用されています。 ただし、未知な通信は、たとえ不正な通信であっても、シグネチャと合致せず正常と判断してしまうため、シグネチャリストの定期的な更新が必要です。 なお、シグネチャリストの更新頻度は、製品に依存します。 製品を選ぶ際には更新頻度も検討材料の一つとして考えておく必要があるでしょう。
アノマリ型
アノマリは、英語では「anomaly」、日本語では「変則的な」「異常」という意味です。 アノマリ型の場合、ふるまいなどを学習しながら未知の脅威を検知する「ふるまい検知型アノマリ」が主流です。
未知の脅威を検出できることがシグネチャ型と大きく異なるところです。 シグネチャ型と組み合わせて使うと、大きな効果を発揮します。 しかし、アノマリ型は誤検知が多く、設定のチューニングが適宜必要になります。
IDS/IPSで防げる攻撃の種類
IDS/IPSでは、以下のような攻撃を防御できます。
不正なプログラム(バックドア・トロイの木馬等)
不正なプログラムを設置されないようにするには、まず水際の対策が重要です。 IDS/IPSでは、バックドア・トロイの木馬、ボットなどの危険がある不正な通信を検知し、遮断します。
DoS攻撃/DDoS攻撃
DoS攻撃とは、Webサイトやサーバに大量の通信を送り込むことで、正常なシステム動作を停止させ、事業活動を妨害するサイバー攻撃です。 DDoS攻撃は、別名「分散型サービス拒否攻撃」とも言い、複数のIPから分散的に攻撃を仕掛けるため、犯人の特定がしにくく、防御が困難な攻撃の一つです。
SYNフラッド攻撃
SYNフラッド攻撃とは、接続元IPを偽装したボットから接続要求通信(SYN)を大量に送リ、Webサイトのサーバーをダウンさせる攻撃のこと。 SYNフラッド攻撃では接続元IPを偽装できるため、正規の通信なのか、サービス妨害攻撃なのか、判別が難しいとされています。 しかしIDS/IPSであれば、パケットの中身を精査できるため、不正な通信と判断し検知・防御することができます。
バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃とは、バッファオーバーフローの脆弱性を突いて、システムやソフトウェアに大量のデータや不正なコードを送り、誤作動を起こさせるサイバー攻撃のこと。 IDS/IPSでは、これらの通信を異常と判断しブロックします。
IDS/IPSで防ぎにくい攻撃の種類
IDS/IPSは決して万能なわけではなく、中には検知できない攻撃もあります。 特に、SQLインジェクション/クロスサイトスクリプティングなどは、IDS/IPSで検知するのが難しいとされています。
SQLインジェクションは、データベース言語「SQL」に、不正なコードを注入しサイトを改ざんしたり、データを奪取したりする攻撃です。
SQLインジェクションに類似する攻撃として、クロスサイトスクリプティングがあります。 クロスサイトスクリプティングは、脆弱性のあるサイトに不正スクリプト付きのURL等のトラップを仕掛け、そこを訪れたユーザーを別のサイトに誘導する攻撃で、直接データベースを攻撃せず、ユーザーの個人情報などを奪取することが目的です。
SQLインジェクション/クロスサイトスクリプティングといった攻撃は、コードを分かりにくい形に変換した「難読化攻撃」であり、IDS/IPSにはこのような攻撃の検知が難しいとされています。
これらの攻撃に対処できるのがWAFです。 WAFでは、Webアプリケーションの脆弱性を突いた攻撃などから防御する役割を果たします。 ネットワークに設置し、ユーザーからのリクエストを精査・検知します。 SQLインジェクション/クロスサイトスクリプティングといった不正な挙動が見られれば、即座に検知し通信を遮断します。
IDS/IPS製品の選び方
IDS/IPSの製品を選ぶポイントは、「導入形態」「サポート体制/導入実績」「運用コスト」の3つです。
導入形態
IDS/IPSには、「ネットワーク型」「ホスト型」「クラウド型」の3つのタイプがあります。 「ホスト型」は、サーバごとに設置の必要があり、導入コストが高くなります。 その点、ネットワーク型はネットワーク領域ごとに、クラウド型はソフトウェアやネットワーク構成の変更も必要なく導入できるため、「ホスト型」に比べると少しコストが安くなります。
サポート体制/導入実績
IDS/IPSの運用では、不正な通信を検知した後に、どう対処するかが重要です。 「シグネチャ型」「アノマリ型」の場合でも、設定のチューニングは適宜必要となります。 社内に専任担当者がいない場合は、有名かつ実績豊富な製品を選ぶと安心でしょう。 運用コストは高くなりますが、サポート体制も手厚く、柔軟に対応してくれます。
導入コスト・運用コスト
導入コストを安くおさえたいのであれば、「ネットワーク型」「クラウド型」になります。 また、運用コストはどのような機能を使うか、プランを選ぶかによって異なりますが、特にIPSは制御・運用が難しいため、多少コストが高くても運用サポートが手厚いベンダーを選ぶのが理想です。
IDS/IPSとWAFの違い
IDS/IPSと同様に外部ネットワークからの攻撃を防ぐ手段としてWAFがあります。 ここでは、IDS/IPSとWAFにはどのような違いがあるのか解説します。
IDS/IPSとWAFの違いは防御範囲です。 WAFは「Web Application Firewall」の略で、Webアプリケーションへの脆弱性に対する不正な攻撃から防御する働きをします。 例えば、WAFはクロスサイトスクリプティングやSQLインジェクションといった不正なトラフィックがみられた場合、ただちに遮断をします。 これらの攻撃はIDS/IPSでは検知が難しいため、WAF特有の導入メリットと言えるでしょう。
一方で、WAFはWebアプリケーションに有効ですが、あくまでパケットのIPアドレスやポート番号、プロトコル通信などのレベルで検知するため、パケットの内容までは精査できません。 つまり、中身が不正であっても、IPアドレスやポート番号が正しければ許可してしまいます。 その点、IDS/IPSは通信内のパケットの内容も監視するため、OSやミドルウェア層への攻撃を遮断できます。
このように、ISD/IPSとWAFはそれぞれ防御する範囲が異なるため、組み合わせて導入することで、お互いをカバーし、より強固なセキュリティ体制が構築できるでしょう。
UTMの有用性と課題点
IDS/IPS製品の導入を検討するのであれば、より包括的な機能を持つUTMについても知っておくと良いでしょう。 UTMは「Unified Threat Management」の略で、IDS/IPSやファイアウォール、WEBフィルター、アンチウィルスなどのセキュリティ対策を統合的に行うセキュリティ製品です。 最小限のコストで最大のパフォーマンスを発揮でき、多くの企業で導入が進んでいます。
ただし、UTMにも欠点があります。 それは、統合的であるがゆえに複数の機能をフルに使用してしまうとスループット(通信性能)低下の可能性があること、障害が発生したときには全てのセキュリティ体制が無効化され、ネットワークの接続維持が困難になる場合があることです。
これらの欠点を解消するには、障害時におけるサポート体制が万全、かつ機能性の高い製品を選ぶもしくは冗長構成にする必要がありますが、当然そのような製品はコストも高くなります。 UTMにセキュリティを統合するか、もしくは単一製品を組み合わせて万が一の障害リスクに備えるか、予算と照らし合わせて検討しましょう。
まとめ
IDS/IPSを導入しただけでは、大きな効果は発揮しません。大切なのは、導入後の設定です。 不適切な設定を行えば、正常な通信も遮断され、サービス提供などに大きな影響を与えます。 また、IDS/IPS単体だけでなく、WAFなど製品との組み合わせや、UTMの導入も検討してみると良いでしょう。 ベンダーのサポートを受けながら、自社の状況に合った状態を常に保ち、不正な攻撃に備えましょう。