NETWORK WORLD　2005.3 『すべてがわかる！ネットワークの守護神IPS』 by BOSE

NETWORK WORLD　2005.3 『すべてがわかる！ネットワークの守護神IPS』 by BOSE

新しいセキュリティソリューションとしてIDSが登場してからまだ間もないと
いう印象がありましたが、ここ１年ほどで急速に定番化しましたね。インター
ネット接続の際、ファイアウォールだけではセキュリティを保てず、IDS/IPS
等を組み合わせるのはもはや常識になりつつあります。IDSを一歩進化させた
ものがIPSだよね、って理解してましたが、この記事でその特徴を整理してお
さらいすることができました。

Part.1　IPSの基本機能とメカニズム
そもそもIDSとIPSって何が違うの？ということを理解することで、IPSの機能
や特徴がより見えてきます。
以下、一部記事を抜粋してIDS/IPSの特徴を簡潔にまとめてみました。

●IDSの目的：
IDSの目的は「侵入を検知して、検知結果を管理者に通知すること」です。通
常インターネット接続から企業NWへの入り口となる部分付近に設置され、流れ
るパケットを監視します。

◆IPSの目的：
IPSは「侵入を検知して、その侵入行為からシステムを防御すること」が目的
です。IDSに「防御する」機能を追加したものがIPSであると言えるでしょう。
「防御する」機能があるために、ネットワークへの設置構成や、チューニング
の方法がそれぞれ異なってきます。

●IDSの設置形態
すべてのフレームをチェックする必要があるため、リピータハブを使用して、
流れるパケットを監視する、またはスイッチのミラーポートを利用して接続し
ます。パケットキャプチャと同じ要領ですね。

◆IPSの設置形態
ネットワークにインラインで設置し、ブリッジのように動作します。「パケッ
トの転送処理とともに検知処理も行うため、その処理速度がネットワークの性
能に影響」します。

●IDSのアクセス防御機能
実はIDSにも防御機能を実装したものが多いそうです。TCPを用いた攻撃の場
合、TCPリセットパケットを送信して強制的にTCPセッションを遮断するなどし
ます。しかしこの機能だけでは十分とはいえません。なぜなら、IDSが侵入を
検知したときにはすでにその不正なパケットが宛先に届いてしまっているの
で、TCPリセットパケットを送信したりしたとしても、手遅れになっている場
合が多いからです。

◆IPSのアクセス防御機能
IPSは逐一パケットをチェックし,正当なものと判断するまではパケットを宛先
に転送しません。このため不正なデータは宛先に届くことはなく、事前に防御
することができます。

●IDSの不正アクセス検知の精度
高い精度が求められるが、IPSほどではありません。攻撃を検知しても管理者
に通知するだけなので、「誤検知が多くても管理者の手間が増えるだけで、
ネットワークの利用に影響が出ることはない」といえます。

◆IPSの不正アクセス検知の精度
誤検知があると正常なアクセスまで遮断してしまうことになるため、より高い
精度が求められます。「誤検知を減らそうとすると、逆に検知漏れが増える傾
向にあり、不正な行為を見逃してしまう可能性が高くなる点が問題」です。

Part.2　IPS導入前に検討すべき項目をまとめよう
実際の導入の際の検討項目と導入手順が以下の通り解説されています。

・検知する対象を明確にする
・監視・防御するポイントを決定する
・ネットワークの状態に応じて必要なスループットを確定する
・IPSの各機能を確認して必要十分な機器を選択する
・３段階に分けてIPSを導入する

IPSはインラインで設置されるため、耐障害性も注意が必要です。IPSを二重化
できる機器もあるようですが、「IPSに障害が発生した場合に、通信をすべて
通過させるファイルオープンモード」を実装しているものを検討することも必
要です。

機器によってはフォレンジック機能を実装したものもあるようです。フォレ
ンジック機能とは、通信キャプチャデータをすべて保存しておいて、後で事件
となった際に証拠として解析できるものです。個人情報保護法の関係でますま
すセキュリティ対策要件は厳しくなるため、この辺の機能が今後拡充していく
かもしれませんね。

導入に際してのチューニングも注意が必要です。いきなりネットワークにIPS
を挿入して防御機能を有効にしてしまうと、ご検知によって正常なアクセスも
遮断される可能性があります。そこで以下のような手順を踏むのが一般的だそ
うです。

1.IPSをIDSモードにして監視のみを行い、検知精度を向上させるチューニング
を行う
　→通信を遮断しない位置に設置し、ご検知を減らすためのチューニング
2.IPSをインラインで設置して監視のみを行い、パフォーマンスの確認を行う
　→パフォーマンスに影響がないか
3.IPSの防御機能を有効にして運用する
　→急にすべての項目を遮断するのではなく、確実なものから順番に設定して
いく

ただ設置して終わりではなく、実環境でここまでチューニングの手順を踏む必
要があるのはIPSならではですね。ただ後々の運用負荷を軽減するためには、
このチューニングをしっかりやる必要があるでしょう。

IPSはセキュリティ対策の定番になりつつありますが、誤検知は完全に無くせ
ない、IPSを経由しない同一セグメントの攻撃は防げない、など技術的な課題
も多く存在するようです。ただ、IPS機能が効果的であるのには違いなく、機
能を実装する位置がさらにエンドポイント側にシフトする傾向にあるようで
す。今後はルータやL2SWにもIPS機能を搭載したものが出てくるかもしれませ
んね。

by BOSE　 ☆自己投資のための読書　～知識を力にしよう～

BOSEさん、ありがとうございます。IDS/IPSについての話題は今年、いっぱい出てきそうですね。ぼくも見本誌をいただいて、この記事を読みました。とてもよくまとまっている内容でしたね。(Gene)

「NETWORK WORLD」の詳細と購読申し込み